Seus dados podem estar em risco simplesmente transferindo arquivos entre seu próprio dispositivo e um site. Para proteger suas informações pessoais, as configurações de firewall para servidores externos e internos devem ser configuradas corretamente. É por isso que é fundamental que você esteja familiarizado com o servidor FTP e entenda várias estratégias de ataque do ponto de vista de um invasor.
Então, o que são servidores FTP? Como os cibercriminosos podem interceptar seus dados se eles não estiverem configurados corretamente?
O que são servidores FTP?
FTP significa Protocolo de Transferência de Arquivos. Ele fornece transferência de arquivos entre dois computadores conectados à internet. Em outras palavras, você pode transferir os arquivos que deseja para os servidores do seu site via FTP. Você pode acessar o FTP a partir da linha de comando ou do cliente Graphical User Interface (GUI).
A maioria dos desenvolvedores que usam FTP são pessoas que mantêm regularmente sites e transferem arquivos. Este protocolo ajuda a tornar a manutenção do aplicativo da web fácil e sem complicações. Embora seja um protocolo bastante antigo, ainda é usado ativamente. Você pode usar o FTP não apenas para carregar dados, mas também para baixar arquivos. Um servidor FTP, por outro lado, funciona como um aplicativo usando o protocolo FTP.
Para que um invasor ataque efetivamente o servidor FTP, os direitos do usuário ou as configurações gerais de segurança devem ser configurados incorretamente.
Como os hackers comprometem a comunicação RCP?
RCP significa Chamada de Procedimento Remoto. Isso ajuda os computadores em uma rede a fazer algumas solicitações entre si sem conhecer os detalhes da rede. A comunicação com o RCP não contém nenhuma criptografia; as informações que você envia e recebe são em texto simples.
Se você usar RCP durante a fase de autenticação do servidor FTP, o nome de usuário e a senha irão para o servidor em texto simples. Nesta fase, o invasor, que está ouvindo a comunicação, entra no tráfego e chega até suas informações capturando este pacote de texto.
Da mesma forma, como a transferência de informações entre o cliente e o servidor não é criptografada, o invasor pode roubar o pacote que o cliente está recebendo e acessar as informações sem a necessidade de senha ou nome de usuário. Com o uso de SSL (Secure Socket Layer), você pode evitar esse perigo, porque essa camada de segurança criptografará a senha, o nome de usuário e toda a comunicação de dados.
Para usar essa estrutura, você deve ter um software compatível com SSL no lado do cliente. Além disso, se você quiser usar SSL, precisará de um provedor de certificado terceirizado e independente, ou seja, Autoridade de Certificação (CA). Como a CA faz o processo de autenticação entre o servidor e o cliente, ambas as partes devem confiar nessa instituição.
O que são configurações de conexão ativa e passiva?
O sistema FTP funciona em duas portas. Estes são os canais de controle e dados.
O canal de controle opera na porta 21. Se você já fez soluções CTF usando software como nmap antes, você provavelmente já viu a porta 21. Os clientes se conectam a esta porta do servidor e iniciam a comunicação de dados.
No canal de dados, ocorre o processo de transferência de arquivos. Portanto, este é o principal objetivo da existência do FTP. Existem também dois tipos diferentes de conexão ao transferir arquivos: ativa e passiva.
Conexão ativa
O cliente seleciona como os dados serão enviados durante uma conexão ativa. Eles então solicitam que o servidor inicie a transmissão de dados de uma determinada porta, e o servidor o faz.
Uma das falhas mais significativas desse sistema começa com o servidor iniciando a transferência e o firewall do cliente aprovando essa conexão. Se o firewall abrir uma porta para habilitar isso e aceitar conexões dessas portas, é extremamente arriscado. Como consequência, um invasor pode escanear o cliente em busca de portas abertas e invadir a máquina usando uma das portas FTP descobertas como abertas.
Conexão Passiva
Em uma conexão passiva, o servidor decide para que lado transferir os dados. O cliente solicita um arquivo do servidor. O servidor envia as informações do cliente de qualquer porta que o servidor possa receber. Este sistema é mais seguro do que uma conexão ativa porque a parte inicial é o cliente e o servidor se conecta à porta relevante. Dessa forma, o cliente não precisa abrir a porta e permitir conexões de entrada.
Mas uma conexão passiva ainda pode ser vulnerável, pois o servidor abre uma porta para si mesmo e espera. O invasor verifica as portas no servidor, conecta-se à porta aberta antes que o cliente solicite o arquivo e recupera o arquivo relevante sem a necessidade de detalhes como credenciais de login.
Nesse caso, o cliente não pode executar nenhuma ação para proteger o arquivo. Garantir a segurança do arquivo baixado é um processo totalmente do lado do servidor. Então, como você pode impedir que isso aconteça? Para se proteger contra esse tipo de ataque, o servidor FTP deve permitir apenas o Endereço IP ou MAC que solicitou que o arquivo fosse vinculado à porta que ele abre.
Mascaramento IP/MAC
Se o servidor tiver controle de IP/MAC, o invasor deve detectar os endereços IP e MAC do cliente real e se mascarar de acordo para roubar o arquivo. Claro que, neste caso, a chance de sucesso do ataque diminuirá, pois é necessário conectar-se ao servidor antes que o computador solicite o arquivo. Até que o invasor execute o mascaramento de IP e MAC, o computador que está solicitando o arquivo estará conectado ao servidor.
Período de tempo limite
Um ataque bem-sucedido em um servidor com filtragem IP/MAC é possível se o cliente passar por breves períodos de desconexão durante a transferência de arquivos. Os servidores FTP geralmente definem um determinado período de tempo limite para que a transferência de arquivos não termine em caso de interrupções de curto prazo na conexão. Quando o cliente enfrenta esse problema, o servidor não faz logoff do endereço IP e MAC do cliente e espera que a conexão seja restabelecida até que o tempo limite expire.
Fazendo o mascaramento de IP e MAC, o invasor se conecta à sessão aberta no servidor durante esse intervalo de tempo e continua baixando os arquivos de onde o cliente original parou.
Como funciona um ataque de salto?
A característica mais importante do ataque de ricochete é que ele dificulta a localização do atacante. Quando usado em conjunto com outros ataques, um cibercriminoso pode atacar sem deixar rastros. A lógica desse tipo de ataque é usar um servidor FTP como proxy. Os principais tipos de ataque para os quais existe o método de rejeição são a varredura de portas e a passagem de filtros básicos de pacotes.
Varredura de portas
Se um invasor usar esse método para varredura de portas, ao examinar os detalhes dos logs do servidor, você verá um servidor FTP como o computador de varredura. Se o servidor de destino a ser atacado e o servidor FTP atuando como um proxy estiverem na mesma sub-rede, o servidor de destino não fará nenhuma filtragem de pacotes nos dados provenientes do servidor FTP. Os pacotes enviados não estão conectados ao firewall. Como nenhuma regra de acesso será aplicada a esses pacotes, a chance de sucesso do invasor aumenta.
Passando Filtros Básicos de Pacotes
Usando esse método, um invasor pode acessar o servidor interno por trás de um servidor FTP anônimo protegido por um firewall. O invasor que se conecta ao servidor FTP anônimo detecta o servidor interno conectado pelo método de verificação de porta e pode alcançá-lo. E assim, um hacker pode atacar o servidor que o firewall protege contra conexões externas, a partir de um ponto especialmente definido para comunicação com o servidor FTP.
O que é um ataque de negação de serviço?
Ataques DoS (Denial of Service) não são um novo tipo de vulnerabilidade. Os ataques DoS são feitos para impedir que o servidor entregue arquivos, desperdiçando os recursos do servidor de destino. Isso significa que os visitantes de um servidor FTP invadido não podem se conectar ao servidor ou receber os arquivos solicitados durante o ataque. Nesse caso, é possível incorrer em grandes perdas financeiras para um aplicativo da Web de alto tráfego - e deixar os visitantes muito frustrados!
Entenda como funcionam os protocolos de compartilhamento de arquivos
Os invasores podem descobrir facilmente os protocolos que você usa para fazer upload de arquivos. Cada protocolo tem seus pontos fortes e fracos, então você deve dominar vários métodos de criptografia e ocultar essas portas. Claro, é muito melhor ver as coisas através dos olhos de um invasor, a fim de descobrir melhor quais medidas você precisa tomar para proteger a si mesmo e aos visitantes.
Lembre-se: os invasores estarão um passo à sua frente de várias maneiras. Se você puder encontrar suas vulnerabilidades, poderá obter uma grande vantagem sobre elas.