Google

Como detectar um ataque de um hacker?

A maioria das vulnerabilidades dos computadores podem ser exploradas de várias formas. Os ataques dos hackers podem explorar uma única e específica vulnerabilidade, várias vulnerabilidades em simultâneo, um erro de configuração num componente de sistema operativo, ou mesmo um backdoor criado por um ataque anterior.
Por estes motivos, detectar um ataque de um hacker não é uma tarefa simples, especialmente para um utilizador sem experiência ou incauto. Este artigo tem por objectivo fornecer um conjunto de regras simples para ajudar a identificar quando é que o seu computador está debaixo de um ataque ou se a segurança do seu sistema operativo foi comprometida. Mas tal como com os vírus, não há 100% de garantias que você venha a detectar um ataque de um hacker desta forma. Contudo, existe uma grande possibilidade que o seu sistema tenha sido vítima de um hacker se ele apresentar um ou mais dos comportamentos seguintes.
 
Computadores Windows:
· Tráfego de rede de saída elevado e suspeito. Se você tem o seu computador ligado à Internet, usando um qualquer meio de acesso residencial (ex: ADSL, Cabo, etc) e nota um pouco volume de tráfego elevado de saída (especialmente quando o seu computador está em descanso e não está a transmitir dados), então é possível que o seu computador esteja comprometido. Pode ser que o seu computador esteja a ser usado para enviar spam, ou um worm o esteja a usar para se replicar enviando cópias de si mesmo para vários endereços de mail.
· Actividade de disco intensa ou abertura de ficheiros suspeitas em directórios raiz ou qualquer drive. Depois de entrar num sistema, alguns hackers correm verificações massivas de ficheiros na expectativa de encontrarem documentos interessantes ou ficheiros contendo palavras chaves, logins para contas bancárias ou sistemas de pagamento electrónico tais como o PayPal. Similarmente, alguns worms procuram ficheiros contendo endereços de mail para os usarem para a sua própria propagação. Se notar uma actividade de disco fora do comum, mesmo quando o sistema está em descanso em conjunção nomes de ficheiros suspeitos em directórios comuns, então isto pode ser a indicação que o sistema operativo foi atacado ou está com uma infecção de malware qualquer.
· Um grande número de pacotes que provém de um único endereço de rede descartados pela firewall pessoal. Depois de identificar um objectivo (ex: gama de endereços de uma empresa, ou uma gama de endereços de utilizadores ADSL), os hackers usualmente recorrem a ferramentas de teste automáticas que tentam aplicar às várias vulnerabilidades para ganhar acesso ao sistemas. Se tiver uma firewall pessoal (ferramenta fundamental para se defender dos ataques de hackers) e notar um número pouco usual de pacotes descartados vindos do mesmo endereço, isto é uma boa indicação que o seu computador está a ser atacado. As boas notícias é que a sua firewall que lhe está reportar estes ataques, e você está provavelmente em segurança. Contudo, dependendo de quantos serviços você expõe na Internet, a firewall pessoal pode falhar a protecção contra um ataque desferido directamente a um serviço de FTP que executa no seu computador, e que cujo acesso foi aberto para todos. Neste caso a solução é bloquear o endereços IP que tenta nos atacar temporariamente até as tentativas de conexão cessarem. Muitas ferramentas de firewall e IDS possuem esse tipo de funcionalidade integrada.
· O seu antivirus residente de repente começa a reportar que backdoors ou trojans foram detectados, mesmo que você não tenha feito nada de especial fora das tarefas ordinárias. Apesar que os ataques de hackers possam revistir-se de alguma complexidade e inovação, muitos dependem de trojans ou backdoors conhecidos para ganhar acesso total a um sistema comprometido.Se o componente residente do seu antivirus está a detectar e reportar um malware, isto quer dizer que o seu sistema pode ser acedido a partir do exterior.
 
Computadores Unix:
· Ficheiros suspeitos na directoria /tmp. Muitas vulnerabilidades no mundo Unix dependem da criação de ficheiros temporários no directório /tmp que não são sempre apagados depois de um sistema ter sido atacado. O mesmo é verdade para alguns worms conhecidos por infectarem um sistema Unix; estes recompilam-se a si próprios na directoria /tmp que usam como o seu directório “home”.
· Modificação de binários de sistema tais como: 'login', 'telnet', 'ftp', 'finger' or daemos mais complexos tais como: 'sshd', 'ftpd' e outros do genéro. Depois de entrar num sistema, um hacker procura garantir o acesso instalando um backdoor, num dos daemons com acesso permanente à Internet, ou modificando utilitários do sistema operativo standard que poderão ser usados para se ligar a outros sistemas. Os binários modificados são usualmente parte de um rootkit e geralmente tem uma protecção contra uma inspecção directa simples. Em todos os casos é uma boa ideia manter uma base de dados de checksums de todos os utilitários de sistema, e verificálos periodicamente com o sistema off-line, e se possível em modo “single user”.
· Modificação do /etc/passwd, /etc/shadow ou outros ficheiros de sistema no directório /etc.
Muitas vezes os hackers durante um ataque adicionam utilizadores no /etc/passwd que mais tarde podem recorrer para aceder ao sistema. Procure nomes de utilizadores suspeitos no ficheiro de passwords e monitore tudo o que aí houver de novo, especialmente em sistema multiuser.
· Serviços suspeitos adicionados ao /etc/services. Abrir um backdoor en sistemas Unix é às vezes uma questão de adicionar duas linhas de texto. Isto pode ser alcançado modificando o /etc/services assim como o /etc/ined.conf. Monitore de perto estes dois ficheiros que podem indicar um backdoor ligado a um porto suspeito não utilizado.
 

0 Response to "Como detectar um ataque de um hacker?"