INVASÃO DE PRIVACIDADE - Glossário -

Para lidar com invasão, roubo de informações e lixo binário precisamos conhecer o jargão. São muitos os termos utilizados e nem sempre sabemos o seu significado.

Adware (propagandaware): software que traz propaganda dirigida para o seu computador após o seu consentimento. Alguns adwares podem sequestrar propaganda de outras empresas, substituindo-as pelas próprias. O adware, tipicamente, rastreia seus hábitos de navegação e transmite esta informação para um servidor central de propagandas.

Anarchy (anaquia): na cultura hacker existe uma forte crença na anarquia. Leis não deveriam ser criadas para o ciberespaço e nem poderiam ser aplicadas sem que ferissem violentamente as liberdades civis. Tais opiniões obviamente não são compartilhadas pelo público em geral ou pelos governos. Documentos anarquistas geralmente abordam a derrubada de sistemas, grandes ou pequenos.

Annoyance (torrar a paciência): qualquer trojan que não provoque outro estrago além de perturbar a paciência do usuário fazendo coisas do tipo virar o texto da tela de ponta cabeça ou provocar movimentos erráticos do mouse.

ANSI Bomb (bomba ANSI): sequências de caracteres que reprogramam teclas específicas do teclado. Se ANSI.SYS for carregado, algumas bombas mostrarão mensagens coloridas ou gerarão efeitos gráficos interessantes (porém indesejados).

AOL Pest (peste AOL): qualquer ladrão de senhas, exploit, ataque DoS ou hack de ICQ dirigido contra usuários da AOL.
O ICQ é um serviço de mensagens instantâneas da mirabilis.com, hoje AOL. O ICQ é um serviço muito apreciado por hackers e algumas características do ICQ são embutidas em muitos trojans (roubo de senha de usuários, UINs ou notificações para o hacker). Os usuários do ICQ são alertados: "Usando o serviço e o software ICQ... você pode estar sujeito a vários riscos, incluindo... Spoofing (uso da sua identidade), eavesdropping (bisbilhotice), sniffing (farejadores), spamming (spam), quebra de senhas, harassment (importunação), fraude, falsificações, impostura, violação eletrônica, intromissões, hacking, nuking (destruição do sistema da máquina), contaminação do sistema através de uso de vírus, vermes e trojans causando acesso não autorizado, destrutivo ou pernicioso e/ou a obtenção de informações e dados do seu computador e outras formas de atividade que podem até serem consideradas fora da lei."

Binder (encadernador): é uma ferramenta que combina dois ou mais arquivos em um único arquivo, geralmente com o propósito de escoder um deles. Um encadernador compila a lista de arquivos selecionados dentro do arquivo hospedeiro, o qual pode ser renomeado. Um arquivo hospedeiro é um programa simples que deve descomprimir e rodar os programas fonte. Quando o hospedeiro é iniciado, os arquivos nele embutidos são automaticamente descomprimidos e executados. Se um trojan estiver associado ao Notepad (bloco de notas do win), por exemplo, o resultado terá o aspecto do Notepad e parece rodar como o Notepad, mas o trojan também será executado.

Carding (fraude de cartão): fraude com cartão de crédito. Textos sobre carding dão dicas de como produzir cartões de crédito, como usá-los e outros exploits do sistema de cartões de crédito.

Crack (quebra): quebrar ou desabilitar sistemas de proteção de programas de software ou sistemas de rede ou bancos de dados. Obter senhas, números de série e outros dados de registro, desbloquear travas e habilitar funções bloqueadas.

Cracking doc (documento de crack): qualquer documento que oriente como crackear ou de como usar ferramentas de crack.

Cracking Tool (ferramenta de crack): qualquer software que modifique outro software com o propósito de remover restrições de uso. Um exemplo é um 'patcher' ou 'patch generator', o qual substitui bytes em locais especificados do arquivo transformando-o numa versão licenciada.

DDoS: um ataque de Rejeição Distribuída de Serviço (Distributed Denial of Service - DDoS) joga muitas máquinas contra uma única vítima. Um exemplo é o ataque de Fevereiro de 2000 a alguns dos maiores sites da web. Apesar desses sites possuírem uma largura de banda teórica de um gigabit/segundo, a distribuição de muitos agentes pela Internet que os inundassem com tráfego poderia fazer com que caíssem. Na maioria das vezes, os proprietários não sabem que suas máquinas estão infectadas e funcionando como atacantes. A Internet não tem defesa contra estes ataques. A melhor defesa ainda é a remoção de clientes DDoS pelos usuários através de anti-vírus ou similares, de modo que suas máquinas não possam funcionar como ferramentas de ataque. Outra medida é ativar um 'egress filtering' (filtro de saída) nos provedores: previne que pacotes saiam dos limites que não tenham origem em endereços IP designados pelo provedor. Isto melhora o problema dos endereços IP camuflados.

Dialer (discador): um trojan que disca números de telefone pagos sem o conhecimento ou a permissão do usuário.

Disassembler (desassemblador): um software que abre um executável revelando o seu código. Desassembladores são produtos legalmente aceitos e geralmente são comercializados porém são usados frequentemente por hackers que queiram fazer engenharia reversa num produto ou encontrar falhas que permitam um exploit.

DoS: é a Rejeição de Serviços (Denial of Service - DoS), ou seja, a exploração de uma falha de segurança (exploit) cujo propósito é impedir o uso de serviços - na realidade, derrubar ou pendurar um programa ou o sistema inteiro. Os exemplos de ataques DoS incluem inundar a vítima com um tráfego que não possa suportar, inundar um serviço (como o IRC) com mais eventos do que possa manipular (bomba), destruir uma pilha (stack) TCP/IP enviando pacotes corrompidos, destruir um serviço interagindo com ele de uma forma não prevista ou pendurando um sistema fazendo com que entre num loop infinito. Por exemplo, o exploit Ping of Death derruba máquinas ao enviar pacotes ilegalmente fragmentados à vítima. Um termo comum para DoS é "nuke", que se tornou popular a partir do programa WinNuke.

Dropper (inoculador): em vírus e trojans, o inoculador é a parte do programa que instala o código hostil no sistema.

Exploit (abuso): um modo de invadir um sistema. Não confunda exploit com explosão - é abuso, exploração. Um exploit tira vantagem das fraquezas de um sistema para invadí-lo. Os exploits são a base da cultura hacker. Hackers ganham fama quando descobrem exploits. Outros ficam famosos escrevendo textos explicativos. Fazendo sentido ou não, uma legião de script-kiddies aplicam o exploit em milhões de sistemas. Uma vez que as pessoas repetem sistematicamente seus erros, exploits para sistemas diferentes começam a ficar muito parecidos. A maioria dos exploits podem ser classificados numa das seguintes categorias: buffer overflow (estouro de buffer), directory climbing (escalada de diretórios), defaults, Denial of Service (DoS).

Explosives (explosivos): qualquer documento que explique como produzir ou usar explosivos.

Flooder (inundador): um programa que sobrecarrega uma conexão através de qualquer mecanismo, como pings repetidos rapidamente, causando um ataque DoS.

Hoax (enganação, pegadinha): qualquer problema inventado, como no caso dos alertas via email de que o arquivo sulfnbk.exe seria um vírus.

Hostile Java (Java hostil): os navegadores (browsers) incluem uma 'máquina virtual' que encapsula o programa Java, impedindo-o de acessar sua máquina local. A teoria por trás disso é que o 'applet' Java na realidade é conteúdo - como os gráficos - e não um aplicativo completo. Entretanto, em meados de 2000, todos os navegadores conhecidos tinham bugs nas suas máquinas virtuais Java (Java virtual machines) que permitiam que applets maliciosos 'fugissem' das suas 'caixas de areia' (sandbox) e acessassem outras partes do sistema. A maioria dos especialistas navegam com a Java desabilitada ou a encapsulam em caixas de areia/máquinas virtuais adicionais.

IRC War (guerra de IRC): qualquer ferramenta que use o Internet Relay Chat para falsificar a identidade (spoofing), bisbilhotar (eavesdropping), farejar (sniffing), praticar spam, quebrar senhas, importunar (harassment), fraudar, forjar, tornar-se impostor, violar eletronicamente, intrometer-se (tamper), hackear, destruir (nuke), contaminar sistemas com o uso ilimitado de vírus, vermes e trojans para obter acesso não autorizado, pernicioso ou destrutivo e/ou para obter informações e dados do seu computador.

Key Generator (gerador de chave): qualquer ferramenta que quebre a proteção de cópia de um sofware, extraindo chaves armazenadas internamente, as quais podem ser usadas para enganar o programa fazendo-o acreditar que o usuário é um comprador autorizado.

Key Logger (registrador de teclas): também conhecido como 'keystroke logger', é um programa que roda no fundo e fica registrando todas as teclas digitadas. O registro das teclas digitadas fica escondido na máquina para ser obtido posteriormente ou é enviado diretamente ao atacante. O atacante pode então analisá-lo minuciosamente com a perspectiva de encontrar senhas ou outra informação que possa ser útil e que possa ser utilizada para comprometer o sistema ou num ataque de engenharia social. Por exemplo, um registrador de teclas pode mostrar o conteúdo de um email escrito pela vítima. Programas de keylog comumente são incluídos em rootkits e RATs (Remote Administration Trojans - Trojans de Administração Remota).

Loader (carregador): qualquer programa desenvolvido para carregar outro programa.

Lockpicking (arrombamento de fechaduras): qualquer documento descrevendo como arrombar fechaduras.

Mailbomber (bomba de email): software que inunda a caixa postal da vítima com centenas ou milhares de emails. Esta correspondência geralmente não revela sua origem correta.

Misc (miscelânea): qualquer coisa (sem ser documento) que não pertença a uma categoria. Provavelmente porque pode ser classificada em diversas categorias, como, por exemplo, um conjunto de ferramentas.

Misc Doc (miscelânea de documentos): qualquer documento que não pertença a uma categoria específica como, por exemplo, "Gatos em fornos de microondas".

NT Cracking: documento ou ferramenta para invadir um sistema Windows NT.

NT Security Scanner (rastreador de segurança NT): uma ferramenta que testa um servidor NT, procurando por vulnerabilidades. Apesar da ferramenta ser usada por gerentes de segurança que queiram avaliar seus sistemas, ela é utilizada por atacantes para avaliar onde começar um ataque. É uma espécie de Ferramenta de Sondagem (Probe Tool).

Netware Cracking: documento ou ferramenta para invadir um sistema Netware.

Network Cracking Text: qualquer documento descrevendo como invadir uma rede.

Nuker (destruidor): um programa que desabilita uma máquina fazendo estragos no registry, key files, no sistema de arquivos, etc.

Packer (empacotador): um utilitário que comprime um arquivo, encriptando-o durante o processo. Adiciona um cabeçalho que, quando o arquivo é executado, expande automaticamente o arquivo na memória e depois transfere o controle ao arquivo. Alguns packers podem 'desempacotar' sem que o arquivo seja executado. Packers são "úteis" para autores de trojans, uma vez que fazem com que seus produtos não possam ser detectados por antivírus.

Password Capture (captura de senha): é uma variação do Key Logger (veja acima) que captura senhas assim que forem digitadas ou transmitidas. Alguns trojans de captura de senha imitam um prompt de login e pedem para o usuário fornecer sua senha.

Password Cracker (quebra de senha): uma ferramenta para desencriptar uma senha ou arquivo de senhas. Podem usar um algoritmo ou a chamada força bruta. O uso do password cracker pode ser legítimo quando administradores de segurança quiserem detectar senhas fracas e substituí-las para melhorar a segurança do sistema.

Password Cracking Word List (lista de senhas): uma lista de palavras que um password cracker baseado na força bruta pode usar para tentar quebrar a senha.

Patch (remendo): conjunto de bytes que devem ser adicionados ou substituídos num programa. Serve para atualizar versões do programa ou para obter um crack do mesmo (transformá-lo em versão licenciada ou sem restrições).

Pest (peste ou praga): qualquer software indesejado.

Phreaking Text: um documento descrevendo como hackear o sistema telefônico. A maioria destes documentos se referem a sistemas telefônicos mais antigos e descrevem técnicas que raramente funcionam nos sistemas mais modernos.

Phreaking Tool: qualquer executável que auxilia hackear o sistema telefônico, como no caso do uso de uma placa de som para imitar os vários tons audíveis.

Port Scanner (rastreador de portas): num reconhecimento hacker, um rastreamento de portas é a tentativa de se conectar a todas as 65536 portas de uma máquina para determinar se há alguém ouvindo uma destas portas. Em muitos lugares, o rastreamento de portas não é uma atividade ilegal, em parte porque não compromete o sistema, em parte porque pode ser facilmente camuflado de modo que é difícil comprovar culpa e, em parte, porque praticamente qualquer máquina na Internet pode ser induzida a rastrear outra máquina. Muitas pessoas acham que o rastreamento de portas é um ato abertamente hostil e que deveria ser classificado de ilegal. Um atacante geralmente varre milhares (ou milhões) de máquinas procurando por qualquer sistema que possa estar vulnerável. O rastreamento de portas sempre são automatizados através de ferramentas denominadas Port Scanners (rastreadores de portas).

Probe Tool (sonda): uma ferramenta que explora outro sistema, procurando por vulnerabilidades. Estas sondas podem ser utilizadas por administradores de segurança tentando aumentar os níveis de segurança, mas também podem ser usadas por atacantes para avaliar por onde começar um ataque. Um exemplo de sonda é o NT Security Scanner.

RAT: uma Ferramenta de Administração Remota (Remote Administration Tool - RAT) é um trojan que, enquanto estiver rodando, possibilita que um atacante possa controlar remotamente a máquina através de um "cliente" na máquina do atacante e de um "servidor" na máquina da vítima. Exemplos incluem o Back Orifice, o NetBus, o SubSeven e o Hack'a'tack. O que acontece na máquina da vítima depende das capacidades do trojan, do interesse do atacante e se o controle sobre o servidor é ou não adquirido por outro atacante - que pode ter interesses completamente diferentes.
Infecções por trojans de administração remota em máquinas windows estão se tornando mais frequentes. Um vetor comum é através da troca de arquivos e troca de impressão, quando usuários domésticos inadvertidamente abrem seus sistemas para o resto do mundo. Se um atacante puder acessar o HD, ele/ela pode colocar um trojan na pasta iniciar (startup). Isto fará com que o trojan seja ativado na próxima vez em que o usuário fizer um login. Outro vetor muito comum é quando o atacante simplesmente envia um email com o trojan ao usuário, juntamente com alguns comentários convincentes (engenharia social), e o usuário se deixa convencer e executa o trojan.

Remote Control (controle remoto): veja RAT.

Ripper (rasgador): na cultura underground, a palavra rip significa 'fazer uma cópia de'. Com frequência, isto tem uma conotação de fazer uma cópia ilegal de um trabalho que tenha direitos autorais (copyright). Os exemplos mais comuns são programas que arrancam (rip) músicas de CDs ou os chamados site rippers, que fazem uma cópia completa de todo o conteúdo de um site da web.

Risk (risco): a probabilidade de eventos não desejados multiplicada pela sua gravidade. "A combinação de eventos perniciosos a um estado de incidentes desejados de uma entidade, a chance de que estes eventos ocorram e as consequências da sua ocorrência, em função do tempo." - NSA Corporate Plan for INFOSEC Action, Abril de 1996

Security Scanner: veja Probe Tool.

Sniffer (farejador): um grampo que faz escuta numa rede de computadores. O atacante precisa estar entre o remetente e o destinatário para poder farejar o tráfego. Isto é fácil em comporações que usam meios compartilhados. Sniffers são usados com frequência como uma parte de programas automáticos que extraem informações do cabeamento, como senhas em texto raso e, algumas vezes, senhas misturadas (password hashes) para crackear.

Spoofer: fazer um spoof é forjar uma identidade. Atacantes usam spoofers para forjar seus endereços de IP (IP spoofing). Hoje em dia, os usos mais comuns de spoofing são os ataques smurf e fraggle. Estes ataques usam pacotes falsos contra amplificadores para sobrecarregar a conexão da vítima. Isto é feito mandando-se um pacote único para um endereço de broadcast indicando a vítima como endereço de origem. Todas as máquinas dentro do domínio do broadcast respondem à vítima, sobrecarregando a conexão com a Internet. Uma vez que o smurfing corresponde a mais da metade do tráfego em alguns backbones, os provedores estão começando a levar o smurfing mais a sério e começaram a implementar medidas em seus roteadores que verificam endereços de origem válidos antes de repassarem os pacotes.

Spyware (software espião): qualquer produto que utiliza uma conexões de usuários à Internet no fundo (o "backchannel"), sem o conhecimento dos mesmos, e extrai/transmite informações ou comportamentos dos usuários. Muitos produtos espiões coletam referrer info (informações do seu navegador que revela qual sua URL de link), endereço de IP (um número que é usado por computadores na rede para identificar a sua máquina), informações do sistema (como a hora da visita, tipo de navegador usado, o sistema operacional e a plataforma, a velocidade da CPU). Às vezes, produtos spyware envolvem outros produtos comerciais e são introduzidos nas máquinas quando estes produtos comerciais são instalados.

Spyware Cookie (cookie espião): qualquer cookie que seja compartilhado entre dois ou mais sites não relacionados com o propósito de obter e/ou compartilhar informações (privadas) de usuários. A definição de "privado" pode variar. Alguns consideram qualquer código como "privado" se ele identificar exclusivamente um usuário, mesmo que não seja seu nome ou endereço de email. Um cookie espião típico pode ter a seguinte aparência: "1 www.algumdomínio.com/ 0 2719785088 29508922 2980377808 29496852 * ". A informação codificada deste cookie inclui uma identificação de usuário (UserID) única designada por um servidor web. O cookie pode ser usado para rastrear o usuário quando visitar outros sites que aceitam este cookie.

Theft (roubo): qualquer documento que ensine a roubar - carros, livros, hamburgers...

Trojan (cavalo de tróia): qualquer programa com um propósito escondido. Os trojans são um dos líderes na invasão de máquinas. Se você fizer o download de um programa numa sala de chat, grupo de discussão ou mesmo de um email não solicitado, então o programa tem toda a probabilidade de estar "trojanado" com algum propósito subversivo. A palavra trojan pode ser usada como verbo: trojanar um programa é adicionar funcionalidades subversivas a um programa existente. Por exemplo, um programa de login trojanado pode ter sido programado para aceitar determinadas senhas para qualquer conta do usuário que o hacker pode usar a qualquer hora para logar no sistema. Rootkits com frequência contém um conjunto de tais programas trojanados.

Trojan Creation Tool (ferramenta de criação de trojans): um programa feito para criar trojans. Algumas destas ferramentas apenas empacotam trojans existentes para dificultar a sua identificação. Outras adicionam um trojan a produtos existentes (como o RegEdit.exe), transformando-os num inoculador (dropper).

Virus: software que se incorpora a outro software. Um vírus de boot insere seu código no registro de boot (boot record) ou no registro principal de boot (master boot record) de um disco de modo que, quando a máquina for iniciada através deste disco, o código do vírus também seja executado.

Virus Creation Tool (ferramenta para criação de vírus): um programa feito para criar vírus. Mesmo as primeiras ferramentas para criação de vírus eram capazes de gerar centenas ou milhares de vírus diferentes, os quais inicialmente não eram detectados pelos rastreadores da época.

Virus Tutorial (tutorial de vírus): explicam como criar vírus.

War Dialer (discador de guerra): também conhecido como demon-dialing ou carrier-scanning. A guerra de discagem (war-dialing) ficou conhecida em 1983 através do filme War Games. É o processo de discar todos os números de uma série até encontrar uma máquina que responda. Muitas corporações possuem computadores desktop com modems instalados; atacantes podem discar para tentar uma conexão com o desktop e, depois disso, com a corporação. De forma semelhante, muitas empresas possuem servidores com modems instalados, os quais não são considerados como parte do esquema geral de segurança. Uma vez que, hoje em dia, a maior preocupação é com os ataques vindos pela Internet, a guerra de discagem representa o golpe abaixo da linha de cintura que pode ser explorado na infraestrutura de segurança.

Worm (verme): um programa que se autopropaga atacando outras máquinas e se autocopiando. Tanto os vermes quanto os vírus são código auto-reprodutor que viajam de várias maneiras de uma máquina para outra. Tanto os vermes quanto os vírus têm como primeiro objetivo a sua propagação. Ambos podem ser destrutivos dependendo da carga destrutiva que receberam (se é que a receberam). Mas existem algumas diferenças: vermes podem substituir arquivos, porém não podem se incorporar aos mesmos. O contrário é válido: vírus podem se incorporar a arquivos mas não podem substituí-los.