WannaCry: As razões por detrás de um RansomWare

Os motivos não poderiam ser mais graves que os enfrentados hoje. Um poderoso vírus se espalha a uma impressionante velocidade e em força. Sequestra computadores, e sim!! Evitamos mesmo as aspas, porque ele sequestra mesmo. Obrigando as suas vitimas ao pagamento duma especie de coima em Bitcoins a moeda virtual digital criada por uma figura que de tão sinistra até faria o grafiteiro Britânico Banksy morrer de inveja.

Vírus que sequestram os dados dos computadores e pedem resgates, os chamados RansomWares, não são uma novidade, existem aos montões. Em Angola, pelo menos em uma vez pediram-me que auxiliasse uma situação desse tipo. Não são tão vulgares por aqui. Os seus criadores querem dinheiro e por isso escolhem a dedo os seus alvos. Africa, com excepção da Africa do Sul, não é ainda um mercado bastante atrativo. O seu burocrático sistema financeiro não facilita os pagamentos que os seus criadores tanto anseiam.

Este tipo de ameaça parece ter surgido na Russia por volta do meio da década de 2000. A principio as primeiras versões limitavam-se a comprimir arquivos selecionados, subscreviam os originais e pediam um resgate em que a contraparte (vitima) voltaria a ter acesso aos seus documentos por meio dum pagamento de algumas centenas de dólares. Consumado o pagamento, a vitima teria então acesso a password dos ficheiros sequestrados em formato .zip.

Ora, não e que isto começou por se revelar um bom negocio? Foi a isca necessária para que jovens talentosos e desempregados das nações da Europa do Leste, incluindo Romênia e mais um pouco pelo Médio Oriente, abrangendo a Turquia, encontrassem ali o ganha-pão que tanto ansiavam, esgotado que se mostrava o ‘modelo antigo de financiamento’ através de invasão a bancos, sistemas financeiros e afins. Sabe-se que estes últimos estavam cada vez mais a sofisticar-se e a ganhar experiencia de combate contra hackers.

Com as mentes brilhantes a funcionar e a enveredarem pelo ‘negocio’ era só uma questão de tempo para que se notassem esquemas de sofisticação intrigantes.

O surgimento dos Police Ransomware

Os métodos de massificação de infecção das vitimas por RansomWare contam sempre com uma modalidade não técnica, mas sim psicológica do hacking, conhecida como engenharia social. Nela as vitimas são induzidas a realizarem uma acção por meio duma mensagem falsa (fake news) e geralmente com conteúdo sensacionalista, alarmante ou gratificante.

simple-ransomware-infection-chain-1-1

Esquema de infecção por RansomWare

O uso de correio eletrônico falso não é uma novidade, mas estes hackers sabem que os usuários estão cada dia mais sensibilizados com o que recebem na caixa de correio eletrônico. Neste contexto, preferiam agora camuflar-se na capa de quem eles sabem que os usuários confiam. Não era raro por isso, invadirem servidores de correio eletrônico, sistemas de e-mail marketing e até websites de comercio eletrônico, onde disparavam landing pages contendo links para arquivos maliciosos, ou explorando falhas de segurança de browsers. Sao conhecidos casos de lojas de comercio eletrônico de grifes de luxo invadidas para esse fim. O mote não eh nada inocente. Eles sabem aonde encontrar quem tem poder financeiro, bastando para isso usar métodos de Geolocation das API’s (Application Programming Interfaces) de seu interesse e assim produzirem a mensagem correcta na língua nativa da vitima.

O aparecimento dos CryptoLocker’s e dos Crypto-ransomware’s

Rapidamente os sistemas de antivírus e antimalware tornaram-se mais eficazes no combate a este tipo de pragas, e os sistemas eram recuperados com alguma facilidade. Bom, foi exactamente isso que motivou o aparecimento dos CryptoLockers, algo bem diferente dos primeiros RansomWares que comprimiam os ficheiros em formato .zip com password, este facilmente desbloqueável.

Os CryptoLockers por seu lado usam criptografia forte e possuem uma certa parte vingativa. Ora, se o RansomWare é apagado, nada garante que os dados serão recuperados, porque estes estão encriptados com criptografia assimétrica, o que significa que existe uma chave para encriptar os ficheiros sequestrados e outra para desencriptar os mesmos ficheiros. Essa variante é bastante agressiva. Se um antivírus apaga o RansomWare, o que eh expectável, o RansomWare activa um contador regressivo no wallpaper do ambiente de trabalho ou uma janela de Graphical User Interface (GUI) do computador . Se a vitima durante esse período (que podem ser alguns dias) não realizar um determinado pagamento dum determinado montante, simplesmente perde a possibilidade de recuperar os ficheiros a menos que consiga desencriptar os ficheiros encriptados com algoritmos RSA e AES+RSA (criptografia simétrica), dizem que com chaves a 2048 bits. Isso exigiria um poder de computação brutal, só acessível a centros de computação e agencias de segurança, embora alguns fabricantes de antivírus têm liberado algumas ferramentas para tal. Ora, neste caso um antivírus é inútil. O sistema não esta mais infectado, contudo, a vitima tem todos os seus ficheiros (word, excel, txt, ppt, vídeo, musica etc) bloqueados porque estão encriptados.

A sanha chega a tanto que o Wallpaper ou a mensagem do GUI do RansomWare recomenda mesmo a reinstalação do já detectado e apagado RansomWare para conseguir realizar o pagamento, sob pena da perda definitiva da possibilidade de recuperação da chave de desencriptação, findo o prazo de pagamento do resgate.

Bitcoin, a CryptoMoeda

Para evitarem riscos de rastreamento em pagamentos de resgate recebidos e rastreados pelo sistema financeiro mundial, os Hackers começaram a preferir pagamentos em CryptoMoedas (CryptoCurrencies), um tipo de dinheiro digital e encriptado, conhecidas como Bitcoins (BTC). Em Janeiro de 2016 1 BTC equivalia a 431 U$D. Em Março de 2017 já tinha valorizado a 1.082,55 U$D.

WannaCry, um novo paradigma?

Para mim a resposta é um retumbante não. Não existe nada de novo no WannaCry que possa suscitar nos especialistas um grande alarme, a não ser o facto de que temem perder o emprego por terem as redes desprotegidas negligentemente. Sabe-se que esta versão de RansomWare tem estado a infectar milhares de computadores pela Europa, Estados Unidos e America do Sul, contudo, ainda não se sabe a sua origem, nem os motivos por detrás. O que se sabe, isto sim, é que ele tira proveito duma falha do Windows para ganhar privilégios de execução ou de técnicas de infecção por e-mail, e se replicar pela rede interna por meio da exploração duma falha conhecida no protocolo SMB do Windows.

Wana_Decrypt0r_screenshot-1

A tela GUI do Vírus WannaCry

Ora, o que espanta aqui é que estas técnicas eram também utilizadas por algumas ferramentas da Agencia Nacional de Segurança dos EUA (NSA), por isso se supõe que elas poder ao estar em mãos alheias.

A existência de ferramentas automatizadas de ataque não é algo propriamente novo no mundo do hacking. Desde o inicio dos anos 90 que elas começaram a ser criadas, primeiro por Wietse Wenema e Dan Farmer, depois a Federal Bureau of Investigation (FBI) com o tenebroso farejador de pacotes Carnivore que desenvolveu-se para algo mais sofisticado com o conceito PRISM da NSA. O inicio dos anos 2000 foi a galinha dos ovos de ouro desse mercado com o aparecimento duma amalgama deles, dos mais eficientes aos mais óbvios, a maior parte a explorar falhas de segurança no Windows. As ferramentas da NSA apenas vieram a tona por meio das revelações do ex-espião Norte-Americano Eduard Snowden, entretanto foragido em Moscovo.

A culpa não pode morrer solteira

O admirável neste imbróglio é a revelação espantosa, que grandes instituições como Portugal Telecom, EDP, Ministério do Interior Russo, Hospitais Londrinos e tantas outras tenham se deixado infectar porque mantinham em funcionamento computadores sem as actualizaçoes de segurança. Ora, vejam só!! Actualizar computadores em rede é tao só mais difícil quanto são as burocracias do pessoal da administração da rede, descansadinha na tipoia dos antivírus e firewalls de borda, esquecendo por completo o usuário final, este muito mais vulnerável a actividades de crimes informáticos. De nada adianta proteger a fronteira, se o interior não esta preparado e poderia estar com uma simples actualização do sistema já a muito disponibilizado pela Microsoft. No entretanto é de notar o diminuto grau de infecção por parte de usuários singulares do Windows, o que pode ser explicado primeiro, porque os seus sistemas se actualizam automaticamente pelo Windows Update e segundo, por causa da segmentação natural das redes provedoras de serviço.

Propagacao wannacry

Como o WannaCry se espalha na rede

Neste contexto, a culpa não pode morrer solteira. Não se pode agora acusar a Microsoft de ser o menino mal comportado. Não é verdade!! Não seria até anormal encontrar copias de Windows piratas, mesmo havendo licenças disponíveis e compradas, mas que por mero capricho não foram simplesmente actualizadas. Usar copias piratas do Windows é uma faca de dois gumes. Você não tem garantia de nada, nem de reclamar com o fornecedor.

Esquemas de protecção

Proteger-se pode ser tao simples quanto a simples capacidade de nos vermos vitimas dessa situação. Isto é como na vida real: A não ser que exista uma catástrofe e elas acontecem, nunca devemos descurar os cuidados básicos: manter o sistema actualizado, não baixar arquivos potencialmente danosos, usar um browser seguro como o google chrome, não usar sites de compartilhamento duvidosos, manter um bom antivírus sempre actualizado. Para os administradores de rede, devem manter restrições ao protocolo SMB, ou corrigir as falhas dele nos dispositivos finais, devem procurar segmentar a rede por meio de VLAN’s, activar as rules adequadas nos sistemas de deteccao de intrusos (IDS) e configurar correctamente os firewalls de borda.

EIGRP: Balanceamento de carga por métrica desigual

 

unequal cost load balancing

Loop de encaminhamento em R3 devolve o pacote a R1, porque o custo do link R3-R1 é menor que o cuso R3-R2.

 

Observe a figura acima: Suponha que R1 pretenda enviar pacotes para R2. Ele o poderá fazer pela rota de menor custo directamente por R1->R2. Poderá faze-lo também por R3, R1->R3->R2. Acontece que de R3->R2 o custo é de 100. E de R3->R1, o custo é de 20. Logo o pacote a caminho de R2 por R3, será devolvido a R1 que encaminhará novamente a R2 provavelmente por R3 . A esse acontecimento chamamos Routing Loop, ou laços de encaminhamento.

unequal cost load balancing 02
Observe a figura acima. Os custos para a chegada dos pacotes de E para A, pelas 03 rotas são os seguintes:

E->B->A=30
E->C->A=20
E->D->A=45

A rota com menor custo, conhecida como Feasible Distance (FD) é igual a 20 (E->C + C->A = 10+10 = 20). Se essa rota falha por qualquer motivo, uma rota alternativa, chamada de Feasible Sucessor Route, FS, é activada, e essa rota é E->B->A = 30, porque o custo anunciado pelo encaminhador B para alcançar A, ou seja a Reported Distance, RD = 10, é menor que a FD=20.

Redes sérias precisam necessariamente de ter algum bom esquema de balanceamento de carga. As vantagens são inúmeras. Por exemplo é sempre bom enviar pacotes por mais do que um caminho, desse modo pode-se diminuir a sobrecarga nos enlaces (desculpe mas não encontrei um termo mais PT-pt para link, diferente de ‘ligação’) de dados.

Outra vantagem é a rápida convergência em caso de quebra ou falha de um dos enlaces de dados. Nao é necessário esperar pelo processo de convergência, que pode ser moroso porque ja existe uma ou mais rotas alternativas na tabela de roteamento.

Configura-se o balanceamento de carga de rotas com desiguais métricas (deve ser assim que se pronuncia Unequal Metric Route Load Sharing) recorrendo ao comando Variance que multiplica o seu argumento que varia de 1 a 128 pelo valor da rota FD. Todas as rotas com custo menor a FD serão consideradas como rotas sucessoras FS.

Por exemplo. Configure-se uma variância de 02. O novo valor da métrica será FD = (10+10)*2 = 40. FS = (10*2) = 20 < FD.
Na linha de comando teríamos:

>router eigrp 33
>variance 2

O encaminhador irá adicionar todas rotas menores ou iguais a 40, valor de FD. E->D->A não é adicionado porque a RD de D = 25*2 = 50 > FD.

Abrangência IP e a sumarização de rotas

Existem motivos muito fortes pelos quais voce necessita sumarizar ou agregar rotas. Um factor é que o processo de encaminhamento, introduz uma grande sobrecarga no sistema. Tendo o encaminhador que calcular mais rotas, maior é a sobrecarga. Outro motivo para sumarizar rotas é que ela acelera o processo de convergência em protocolos IGP (Interior Gateway Protocol) como o protocolo EIGRP. Observe a figura abaixo:

Stuck in active

Se o encaminhador 1 perde uma rota ele envia uma mensagem de solicitação e aguarda por uma mensagem de resposta. Quanto maior o numero de encaminhadores a frente de 1, menor é a probabilidade dele receber uma mensagem de resposta em menor tempo e dessa forma convergir rapidamente. Ja ensinamos num artigo anterior como sumarizar rotas. O problema que se coloca aqui é quando estamos em presença de redes algo descontínuas. O gerente do projecto entrega a voce 4 (quatro) rotas e solicita a sua sumarização. Como proceder? O exemplo abaixo dá uma dica sobre o assunto:

An engineer plans to configure summary routes with the ip summary-address
eigrp asn prefix maskcommand. Which of the following, when added to such a
command, would create a summary that includes all four of the following subnets:
10.1.100.0/25, 10.1.101.96/27, 10.1.101.224/28, and 10.1.100.128 /25?
a.  10.1.0.0  255.255.192.0
b. 10.1.64.0  255.255.192.0
c.  10.1.100.0  255.255.255.0
d. 10.1.98.0  255.255.252.0

Como se observa, estamos perante 4 redes algo descontínuas. Qual das seguintes alíneas corresponde a uma rede que satisfaça a sumarização delas?

Uma forma fácil de verificar isso é por fazer uma analise de abrangência. Para isso voce deve lembrar para que serve uma mascara de sub-rede. Ela não apenas serve para indicar o endereço de rede fazendo a operação matemática de AND com um determinado e válido endereço IP, mas também para determinar os limites ou a abrangência da sub-rede.

Repare: Se voce tem uma rede com o endereço 10.0.0.0/8 qual é a sua abrangência? Eu que sou experiente neste calculo digo que é de 10.0.0.0/8 a 10.255.255.255. Como provar? Simples: subtraia a mascara de sub-rede pela mascara todos 1 (255.255.255.255). Fica assim:

255.255.255.255
– 255.  0  .   0. 0
________________
0    . 255 . 255 . 255

Somar (OR) o endereço IP (10.0.0.0) ao resultado da subtração do todos 1 com a mascara de sub-rede:

  10 . 0  . 0   . 0
+ 0 .255.255.255
________________
10 . 255.255.255

Ou seja a rede vai de 10.0.0.0/255.0.0.0 a 10.255.255.255/255.0.0.0.

Respondendo a pergunta destacada anteriormente, voce pode repetir os passos que fizemos agora nas quatro alíneas para obter a resposta. Observe as redes em análise:

10.1.100.0/25, 10.1.101.96/27, 10.1.101.224/28, and 10.1.100.128 /25

Nota-se que a rede mais a direita ou seja com o endereço IP maior é 10.1.101.224/28, logo temos de encontrar uma sub-rede que abranja este endereço. Analisando a alínea d) temos: 10.1.98.0  255.255.252.0. Qual é a sua abrangência?

255.255.255.255 – 255.255.252.0 = 0.0.3.255

Somando: 10.1.98.0 + 0.0.3.255 = 10.1.101.255

Ou seja a sua abrangência vai de 10.1.98.0 a 10.1.101.255.

O endereço 10.1.101.224 está dentro desse intervalo, logo a alínea d) está correcta.

 

 

 

 

 

 

 

 

GNS3 e o problema da escalabilidade

Das melhores ferramentas de estudo, design e projecto de redes o GNS3 ocupa uma posição primordial, porque passamos do processo da simples simulação de redes para a emulação dos próprios encaminhadores (routers) em si. Ou seja você roda em cima do seu computador pessoal versões robustas de encaminhadores Cisco. Ferramentas de simulação como o Cisco Packet Tracer ou outras ajudam muito pouco quando você sobe de nível nas carreiras Cisco. Os comandos são limitados, os serviços são limitados, algumas configurações assumem um carácter básico, quando não são, etc, etc.

Eu não tenho nada contra ferramentas de simulação, pelo contrario, o meu Trabalho de Conclusão de Curso (TCC) foi baseado numa ferramenta desse gênero, ou seja se eu quisesse projectar uma rede metropolitana de Fibra Óptica eu recorreria ao OPNet, poderoso simulador, agora adquirido pela Riverbed.

O bom do GNS3 é que você pode ir adicionando maquinas virtuais e conectar a sua topologia a elas. O mau dele é que isso requer demasiado espaço em Memoria de Acesso Aleatório (RAM). Com 4 (quatro) encaminhadores a 512 MBytes você tem no minimo 2048 GBytes de RAM, e isso é muito para um computador pessoal meu caro. Situação: Você usa o GNS3 e não usa mais nada. Se apertar muito você pode nem o GNS3 conseguir usar mais.

Solução? Ter uma boa maquina com uns bons MB de RAM. Essa maquina pode ser um servidor, uma workstation ou mesmo um portentoso laptop. Depois disso você instala um gerenciador de maquinas visuais, ou seja, um Hypervisor que nada mais nada é, um servidor de maquinas virtuais. Depois de instalado, você pode acessar as suas maquinas virtuais a rodarem imagens de roteadores Cisco, via rede. Tao simples quanto isso, ou seja, você tem um Servidor/Hypervisor que roda os seus laboratórios Cisco, o que o deixa sem necessidade de se preocupar com a memoria RAM do seu computador pessoal. Se quiser escalar, aumenta a memoria RAM do Hypervisor e ponto final. Quer ‘brincar ‘mais? Experimente utilizar Drives de Estado Solido (SSD), placas de rede Gigabit Ethernet, mini clusters etc etc. Se quiser ‘piorar’ a brincadeira ‘ alugue um endereço IP fixo e mesmo quando você se viajar ou se ausentar você ainda poderá usar seu laboratório.

vmware esxi

Existem algumas dicas de como fazer isso disponíveis na net, não são muitas. A maior parte delas de pessoal com grau CCIE, porque a esse nível é exigível determinada topologia que ou está disponível fisicamente ou você emula ela por meio de computador, o que não é fácil dada a parca disponibilidade de memoria RAM. Deixo com vocês 3 (três) links bem interessantes de como configurar um laboratório Hypervisor de encaminhadores Cisco.

The “Perfect” virtual Lab (será?)
How to build CCIE v5 Lab with Cisco CSR 1000v Routers
VMs Running In My ESXi Networking Lab as of 23-Dec-2014

 

 

Configurando serviço DHCPv6 Stateless

Similar ao protocolo DHCP, o protocolo DHCPv6 também faz uso do protocolo Internet Control Message Protocol, mas na sua versão 6, o ICMPv6, que por seu lado recorre a outro protocolo, o Neighbor Discovery (ND), que vem assim substituir o protocolo de descoberta e resolução ARP pertencente ao protocolo IP.

Ao contrario do serviço DHCPv6 Stateful, o serviço DHCPv6 Stateless não conserva o estado dos dispositivos a que ele atribui endereços. Geralmente o esquema é composto pela atribuição simples ao cliente do endereço DNSv6 e do Domain Name (DN) e do prefixo bem como seu tamanho.

O endereço IPv6 é obtido pela combinação do prefixo (64 bits) e do endereço MAC do dispositivo que sao 48 bits. Como o endereço IPv6 é composto por 128 bits isso significa que ainda restam (64-48)bits = 16 bits. Esses bits sao completados com a inserção da assinatura FFFE (onde o bit 70 é complementado) na metade dos 48 bits ou seja depois do bit 24 do MAC Address. A este tipo de técnica, denomina-se StateLess Address AutoConfiguration (SLAAC) e o formato do de endereço denomina-se EUI-64.

Os comandos ipv6 address autoconfig e ipv6 nd other-config-flag em modo de interface, habilitam a configuração automática do endereço IPv6 e a obtenção do outras configurações enviadas pelas mensagens RA (já falaremos disto parágrafo abaixo) dos servidores-encaminhadores (DHCPv6 Routers).

Aquando da obtenção da informação DHCPv6 o cliente e o servidor trocam mensagens ND. Geralmente um cliente envia uma mensagem Multicast Router Solicitation (RS) a todos agentes DHCPv6 que podem ser servidores-encaminhadores ou servidores de reencaminhamento (relay servers) ao endereço Multicast FF02::1:2 com escopo local, a solicitar uma mensagem Unicast Router Advertisement (RA) do servidor-encaminhador, que, por sua vez responde com o tal RA que também indica o seu tipo de configuração DHCPv6 (stateful ou stateless). O Default Router do cliente é o endereço de link local do servidor-encaminhador.

Geralmente configura-se o servidor-encaminhador para gerar e enviar Unicast RA’s com o comando ipv6 unicast-routing. Dessa forma, ele não irá proceder a geração e envio de mensagens RS.

A topologia abaixo é bastante elucidativa. Temos dois encaminhadores, nomeadamente R2, que faz o papel de servidor-encaminhador, e R3 que faz o papel de cliente. R2 é configurado como servidor DHCPv6 Stateless de modo que envia RA’s com informações sobre o seu prefixo, o seu tamanho, o endereco DNSv6 e o Domain Name.
o cliente R3 na sua interface fastethernet 0/0 por seu lado obtêm de R2 apenas o prefixo, de modo que estando configurado para autoconfiguração ela gera o seu endereço IPv6 por meio do método EUI-64 e obtêm de R2 apenas o DNSv6 e o Domain Name.

 

DHCPv6 Stateless
R2 Configuration

hostname R2

ipv6 unicast-routing

ipv6 dhcp pool SEQEUELE
address prefix 3111:1111:2222:3333::/64 lifetime infinite infinite
dns-server 2001:4860:4860::8888
domain-name http://www.snnangola.co.ao

interface FastEthernet0/0
no ip address
speed auto
duplex auto
ipv6 address 3111:1111:2222:3333::1/64
ipv6 dhcp server SEQEUELE rapid-commit
!
ip forward-protocol nd
!
no cdp advertise-v2

R3 Configuration

hostname Router

interface FastEthernet0/0
ipv6 address autoconfig
ipv6 nd other-config-flag
ipv6 dhcp client pd SEQEUELE rapid-commit

ip forward-protocol nd
!
no cdp log mismatch duplex

Testes

Interfaces associadas em R2

R2#sh ipv6 dhcp int
FastEthernet0/0 is in server mode
Using pool: SEQEUELE
Preference value: 0
Hint from client: ignored
Rapid-Commit: enabled

Confirmação da ausência de estado em R2

R2#sh ipv6 dhcp binding
R2#sh ipv6 dhcp database

Nao retorna qualquer informação de associação. Mas…

Interfaces associadas em R3

#sh ipv6 dhcp interface
FastEthernet0/0 is in client mode
State is SOLICIT
List of known servers:
Reachable via address: 3111:1111:2222:3333::1
DUID: 00030001CA0210EC0000
Preference: 0
Configuration parameters:
IA PD: IA ID 0x00040001, T1 60, T2 120
DNS server: 2001:4860:4860::8888
Domain name: http://www.snnangola.co.ao
Prefix name: SEQEUELE
Rapid-Commit: enabled

 

O ano de 2013 em numeros

2013 não foi dos melhores anos para o SNNAngola. Não que não quiséssemos partilhar convosco muita informação que possuímos em mãos.

Pensamos quem em 2014, infalivelmente a situação será melhor, já sob uma nova gestão e um novo escopo definido. Brevemente detalharemos.

 

Entretanto fique com as estatísticas de 2013:

Brian McGaham e como ele passou o CCIE Data Center

B. MacGaham é instrutor no renomado, as vezes contestado INE. Neste post, ele pretende dar umas dicas de como conseguiu ser bem sucedido em obter a certificação CCIE Data Center, apenas 1 (um) ano e poucos meses depois de ter obtido a certificação CCDE.

CCIE Blog

Ele admite que o mercado começa a requerer mais treinamento na appliance Cisco Nexus por um lado, e por outro lado, que a melhor maneira de se preparar para o exame é por ler, entender e praticar com a documentação fornecida pela Cisco sobre o Nexus. Recomenda também alguns livros, dá umas dicas, etc. Mesmo que você não esteja nesta track, a experiencia pode ser proveitosa para algum fim.