| INVASAO POR MONITORA�AO |
| INTRODU��O Os ataques por monitora��o s�o baseados em software de monitora��o de rede conhecido como "sniffer", instalado surrepticiamente pelos invasores. O sniffer grava os primeiros 128 bytes de cada sess�o login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tr�fego de/para qualquer m�quina naquele segmento, bem como o tr�fego que passar por aquele segmento. Os dados capturados incluem o nome do host destino, o username e a password. A informa��o � gravada num arquivo posteriormente recuperado pelo invasor para ter acesso a outras m�quinas. Em muitos casos os invasores obtem acesso inicial aos sistemas usando uma das seguintes t�cnicas: Obtem o arquivo de passwords via TFTP em sistemas impropriamente configurados Obtem o arquivo de password de sistemas rodando vers�es inseguras do NIS Obtem acesso ao sistema de arquivos locais via pontos exportados para montagem com NFS, sem restri��es Usam um nome de login e password capturada por um sniffer rodando em outro sistema. Uma vez no sistema, os invasores obtem privilegios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division, e arquivos utmp pass�veis de escrita por todo mundo ou usando uma password de root capturada. Eles ent�o instalam o software sniffer, registrando a informa��o capturada num arquivo invis�vel. Adicionalemente, eles instalam cavalos de Troia em substitui��o e uma ou mais dentre os seguintes arquivos do sistema, para ocultar sua presen�a: /bin/login /usr/etc/in.telnetd /usr/kvm/ps /usr/ucb/netstat Entenda o barramento do micro SOBRE OS BARRAMENTOS: Vamos l�, por partes: ISA - O barramento surgiu com os XT's, os ISA originais eram 8bits e rodavam a (se eu n�o estou enganado, a 4.77 Mhz) Com o advento dos AT, veio o ISA de 16 bits operando a freq��ncia de 8Mhz, utilizados at� hoje. Por exemplo, as Fax-modem possuem barramento ISA 8 bits. Os barramentos usados atualmente s�o o ISA, VESA e PCI, esses dois �ltimos s�o o que se chama "local bus". Sao "local bus" por funcionarem em conex�o direta com a cpu. VESA - Hoje muito popular, n�o chega a constituir um barramento novo, ele eh basicamente um ISA alterado,e � um barramento r�pido, de 32bits e frequencia de funcionamento de 33Mhz. A velocidade de transmiss�o � de 130 Mbits/S Ele chega a ser mais r�pido do que o PCI, porem em determinadas condi��es. O VESA envia dados diretamente para a CPU, e gera uma impedancia muito alta, o problema do VESA, � que vc, nao pode ter mais do que tr�s placas ligadas a CPU, se vc tiver duas vc percebe queda na velocidade de transferencia e com tr�s vc corre at� o risco de "sobrecarregar a CPU". PCI - O futuro sucessor do ISA, � o mais poderoso barramento hoje, e vem conquistando mais espa�o a cada dia. Ele � um barramento de 64 bits e opera com a frequencia de 33MHz, com veloc. de transf de 120Mbits/S . Embora denominado "local bus" ele n�o envia os dados diretamente para a CPU, um processador, chamado "host bridge control" controla o acesso PCI/CPU. Isso faz com que a impedancia nos circuitos se mantenha baixa e permita alta velocidade de transfer�ncia . Vc. pode ter at� dez placas PCI conectadas sem PERDA de velocidade. Nota: Quanto a velocidade VESA/PCI, o VESA eh realmente mais rapido que o PCI, pois como j� foi dito , ele envia dados direto para a cpu, porem ao se ter duas placas VESA conectadas, o rendimento cai e a velocidade de transfer�ncia cai abaixo do PCI. Com duas VESA conectadas, a velocidade das placas caem para + ou - 110Mbit/S e com tr�s ela cai ainda mais. IDE - Padr�o de controladora de perifericos, uma IDE controla duas COM ports, uma serial de jogos, os floppies disks, HD e impressora. A IDE pode possuir barramentos ISA, PCI ou VLB. |