s ataques com base na Web geralmente se encaixam em três categorias:
ataques contra o próprio servidor (um pedido de acesso), ataque
contra o conteúdo (desfigurando o site) e ataques contra empresas
ou organização (roubo de produtos ou informação).
De longe, os ataques mais comuns são os que desfiguram um site.
Isso acontece devido principalmente à vulnerabilidade do software
e da autenticação do sistema operacional. Por exemplo, se
um invasor puder obter o ID e a senha de usuário de um administrador
ao servidor da Web, será extremamente fácil executar a invasão.
>>> Prove antes
de acusar
A primeira regra de um bom investigador é reunir provas antes
de acusar alguém como culpado pelo crime. E a prova mais consistente
no caso de uma invasão on-line é o endereço IP do
cracker. Se o seu computador já está munido de um software
de monitoração das portas de conexão, tudo fica bem
mais fácil. O processo é bastante simples.
Em primeiro lugar, não desligue o computador invadido. Um simples
ligar e desligar pode apagar de vez as evidências, como os processos
que rodam na memória. Antes de coletar os dados necessários,
é melhor que o computador permaneça ligado.
A seguir, verifique as tentativas de conexão registradas pelo programa
e selecione alguns dados importantes, como hora, IP, entre outros. Com
o número de identificação nas mãos, é
possível conferir a origem do provedor. Um comando do próprio
Windows pode ajuda-lo nesta tarefa: basta se dirigir até a janela
do prompt do MS-DOS e executar tracert 192.168.0.10. (trocando
o IP pelo número identificado no relatório).
Está ação resultará em várias linhas
que identificam o caminho do pacote de dados percorridos da sua máquina
até chagar ao computador do cracker. Através do nome dos
equipamentos, é fácil deduzir o provedor de acesso. Você
também pode encontrar os e-mails de contato do provedor por meio
da consulta no site registro .Br. Caso não seja uma rede brasileira,
vá até http://whois.geektools.com/cgi-bin/proxy.cgi
e escreva o número no campo whois.
Também pode-se utilizar o Neotrace, que exibe em um mapa o caminho
do seu "Ping", indo de servidor em servidor até encontrar
o provedor correspondente.
Para quem prefere o NeoTrace, o endereço do programa é http://www.neoworx.com/goodonline/ntwor.asp.
Infelizmente, mesmo com a prova nas mãos, nem sempre se consegue
descobrir a verdadeira identidade do invasor, pois cada provedor segue
uma legislação especifica, e divulgar este tipo de informação
fere o comprometimento de sigilo dos administradores.
>>> Denunciando
o crime
Na hora de contactar o provedor de acesso de onde partiu
o ataque, é importante informar o maior número de dados
possível para que a investigação seja mais apurada.
Fonte:
Revista - The Web Masters
|