Post on 28-Nov-2018
<<seu nome aqui!>>
Universidade Federal de Ouro PretoDECEA / João Monlevade
Os Riscos que Rondam as Organizações
Profa. Msc. Helen de Cássia S. da Costa LimaUniversidade Federal de Ouro Preto
CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS
Os Riscos que Rondam as Organizações
● Atacantes
● Possíveis ataques
● Técnicas e ferramentas utilizadas
● Objetivo: mostrar que a preocupação com segurança é essencial para continuidade do negócio
Atacantes
● Termo genérico: Hacker
● Atacantes apresentam objetivos
diferentes e o seu sucesso depende
do grau de segurança dos alvos e da capacidade do hacker
● Se auto-descrevem como pessoas co conhecimento para invadir sistemas sem intuito de causar danos, mas sim como dasafio às suas habilidades
● Crackers: esses são os hackers do mal...
Atacantes● O que vamos ver:
– Script kiddies: iniciantes
– Cyberpunks: velhos, experientes e ainda anti-sociais
– Insiders: empregados insatisfeitos
– Coders: os que escrevem sobre sua proeza
– White hat: contratados para testar segurança
– Black hat: crackers
– Gray hat: vivem no limite entre white e black hat
*Obs: usuários comuns podem causar danos sem intenção, por meio de erros ou ignorância
Atacantes● Script Kiddies (newbies)
– Conseguem ferramentas prontas na Internet e
usam sem saber direito o que estão fazendo
– São a maioria dos hackers da Internet
– Alvo: empresas sem políticas de segurança
bem definidas
– Exemplo: Michael Calce (Mafiaboy)● Ataque de negação de serviço contra sites de reputação
(eBay, CNN, Amazon, Dell e Yahoo) em 2000
● Ele tinha 15 anos e o dano foi de 1.2 bilhões
Atacantes● Cyberpunks
– Românticos: se dedicam a invasão de sistemas por puro divertimento e desafio
– Possuem extremo conhecimento e acreditam em teorias da conspiração
– Ficam no anonimato, mas publicam as vulnerabilidades encontradas
– Muito usado para sub-gênero de ficção científica: hackers que são heróis solitários que combatem a injustiça
Atacantes● Insiders
– Causa dos incidentes mais graves das organizações
– Funcionários, ex-funcinários ou pessoas que conseguem infiltrar-se nas organizações (terceirizados)
– Conhecem os detalhes da organização
– Exemplo: Timothy Allen Lloyd● Instalou uma bomba lógica que destruiu softwares de manufatura da
Omega Engeneering Corp.
● Crime aconteceu em 1996 e sentença saiu em 2002
● Ele trabalhava há 11 anos
● Prejuízos: 10 milhões
Atacantes
Edward Snowden é ou não é um insider?
Atacantes
● Coders
– Resolvem compartilhar seu conhecimento em livros ou palestras
– Exemplo: Kevin MitnickCondenado por 5 anos e mais 3 anos de liberdade condicional (sem uso de computadores)
● Engenharia social e técnicas de apropriação de informações confidenciais
● Liberto em 2000
● Hoje trabalha como consultor em segurança
de sistemas
● Filme: Caçada Virtual ("Takedown" - 2000)
Atacantes
● White hat
– Utilizam seu conhecimento para descobrir vulnerabilidades nos sistemas e aplicar as correções necessárias
– Trabalham de maneira legal e profissional dentro das organizações
– Simulam ataques para medir níveis de segurança
– Serviço esporádico, não é a melhor solução
– Podem ser pesquisadores também
Atacantes
● Black hat
– Possuem conhecimento para roubar informações secretas das organizações
– Objetivo: chantagem, venda para concorrente
– Exemplo: Ataque a Creditcards.com● Hacker roubou 55 mil números de cartão de crédito e exigiu 20 mil dólares
para destruir os dados dos clientes
● Caso da Carolina Dieckmann
Atacantes
● Gray hat
– Black hats que fazem o papel de white hat a fim de trabalhar numa empresa de segurança
– Normalmente não são profissionais
– Exemplo: Um agência governamental americana contratou um gray hat para cuidar de sua segurança interna. Após o serviço, o gray hat divulgou as vulnerabilidades em um site de hackers
Atacantes● Cyberterroristas
– Objetivo: transmitir uma mensagem política ou religiosa, derrubar a infra-estrutura de comunicação ou para obter informações que podem comprometer a segurança nacional de alguma nação
– Meios● Ataques semânticos (pichação de sites)
● Invasões com intuito de obter informações confidenciais
● DDoS – Negação de serviços distribuídos (milhares de computadores acessam simultaneamente um servidor, que se sobrecarrega e cai)
● Uso de criptografia para armazenar instruções e planos de ação
– Exemplo: grupo Anonymous Brasil● Ataques a sites governamentais e o propósito desses ataques seria
apenas uma forma de protesto contra Rio+20 em 2012
Algumas terminologias do mundo dos hackers
Carding: fraudes com número de cartão de crédito
Easter egg: uma mensagem, imagem ou som que um programador esconde em seu software, como brincadeira (apt-get moo)
Media whore: hacker que quer ganhar atenção da mídia
Worm: similar ao vírus, mas tem capacidade de auto-replicação, espalhando-se de uma rede para outra rapidamente sem precisar ser ativado pelo usuário
O Planejamento de um Ataque● Depende da motivação
● Passos:
1) obtenção de informação sobre o sistema a ser atacado
2) Ataque
● Monitorando a rede → vazamento de informações confidenciais
● Penetrando no sistema → fraude ou perdas financeiras
● Inserindo códigos ou informações falsas no sistema → perda de confiança e reputação
● Enviando uma enxurrada de pacotes desnecessários ao sistema → negação ou corrupção de serviços
3) Encobrir a ação
● Substituição ou remoção de arquivos de logs
● Troca de arquivos importantes do sistema para mascarar atividades
● Formatação completa
Ataques para obtenção de informação
● Técnicas para obtenção de informação relevante para o ataque
– Trashing
– Engenharia social
– Ataques físicos
– Informações livres
– Packet sniffing
– Port scannig
– Firewalking
– IP spoofing (técnica auxiliar para outras)
Ataques para obtenção de informaçãoTrashing
● Verificação de lixo - Técnica legal!
● Busca de informações sobre:
– Organização
– Rede
– Nomes de contas
– Senhas
– Informações pessoais e
– Informações confidenciais
Ataques para obtenção de informaçãoTrashing
● Informações que podem ser utilizadas:
– Lista telefônica corporativa
– Memorandos internos
– Manuais
– Calendário de reuniões
– Impressão de código-fonte
– Inventários de hardware
● Solução: fragmentador de papéis (política de segurança)
Ataques para obtenção de informaçãoEngenharia Social
● Explora fraquezas humanas e sociais, enganando pessoas ao assumir uma falsa identidade
● Kevin Mitnick usou engenharia social em mais de 80% de seus ataques
● Ataca o elo mais fraco da segurança → humano
● Técnicas:
– Visitar escritórios e tentar distrair secretárias
– Disfarces para ter acesso a empresa (serviço terceirizado)
– Uso de informações de empregados disponíveis na Web
Ataques para obtenção de informaçãoAtaques Físicos
● Roubo de equipamentos
● Ataque direto = uso de máquinas da própria empresa
● O que pode ser feito:
– Acesso a documentos confidenciais
– Modificar ou excluir arquivos importantes
– Implantar bombas lógicas
● Solução:
– Controle de acesso ao prédio, salas restritas...
– Sistemas de identificação → biometria
– Câmeras de vídeo
Ataques para obtenção de informaçãoInformações Livres
● Uso de informações da internet
● Técnicas não intrusivas, pois não podem ser detectadas
● Técnicas:
– Consultas a servidores de DNS (sistema de nome de domínio)
– Análise de cabeçalho de e-mail
– Busca de informações em mecanismos de busca
– Redes Sociais, listas de discussão...
Ataques para obtenção de informaçãoInformações Livres
● Finger (uso de sockets – busca de informações em máquina remota)
● Rusers (Linux – mostra usuários logados)
● Netstat (processos, portas,etc)
– Ex.: finger –l usuario@host
– Ex.: netstat –a (lista processos)
– Ex: netstat –e (estatísticas)
Ataques para obtenção de informaçãoInformações Livres
● Whois: https://registro.br/cgi-bin/whois/
Ataques para obtenção de informaçãoInformações Livres
● Whois: https://registro.br/cgi-bin/whois/
Ataques para obtenção de informaçãoPacket Sniffing
● Captura informações diretamente pelo fluxo de pacotes da rede
● Software: sniffer
– Capaz de interpretar e registrar o tráfego de dados de uma rede
– Linux – tcpdump
–
● Senhas trafegam abertamente (FTP, Telnet, POP)
● Uma solução: uso de protocolos que utilizam criptografia, como SSH ao invés de Telnet
Ataques para obtenção de informaçãoPacket Sniffing
● Um packet sniffer localizado em um dos servidores do seu provedor de serviços pode monitorar:
– Quais sites da Web você visitou
– O que você olhou no site
– Pra quem você enviou um e-mail
– O conteúdo do e-mail enviado
– Que download você fez de um site
Ataques para obtenção de informaçãoPort Scannig
● Obtém informações dos serviços que são acessíveis (portas abertas) em um sistema
– TCP ou UDP
● Depois de descobrir a vulnerabilidade, o hacker concentra-se em em técnicas para serviços específicos
– Software: nmap
● Solução: IDS (sistemas de detecção de intrusão) fazem o reconhecimento de padrões de scannig, alertando contra tentativas de mapeamento
Ataques para obtenção de informaçãoScannig de vulnerabilidade
● Obtém informações sobre vulnerabilidades específicas para cada serviço em um sistema
● O port scanning identifica os alvos e os tipos de sistemas e serviços que são executados, em seguia, o scanning pode ser realizado especificamente para os alvos mepeados
● Pode utilizado tanto para prevenção, na busca de falhas para correção, quanto para ataques, na identificação de vulnerabilidades acessíveis ao atacante
Ataques para obtenção de informaçãoScannig de vulnerabilidade
● Pela checagem de roteadores, servidores, firewalls, SO e outras entidades IP, os scanning podem analisar se existe vulnerabilidade:
– Fraqueza de senhas, usadas em branco ou fáceis de serem adivinhadas
– Vulnerabilidades envolvendo o Internet Explorer
– Exploração do acesso remoto ao registro do sistema
– Vulnerabilidades no SSH
– Vulnerabilidades no FTP
– Vulnerabilidades no servidor remoto de impressão (LPD – Line Printer Deamon)
Ataques para obtenção de informaçãoFirewalking
● Técnica para obtenção de informação sobre uma rede remota protegida por um firewall
● Firewall: é um programa ou dispositivo de hardwareDedicado que inspeciona o tráfego que passa por elee nega ou permite esse tráfego com base em um con-junto de regras que você determina durante a configu-ração
● Como?
– Ao monitorar um pacote, é possível obter informações sobre regras de filtagem do firewall e também criar um mapa da topologia da rede
Ataques de negação de serviços (DoS) Técnicas
● Objetivo: explorar recursos de maneira agressiva para que usuários legítimos fiquem impossibilitados de utilizá-los
● Flooding
– TCP SYN flooding
– UDP flooding
– ICMP flooding
● Smurf e Fraggle
– ICMP echo
– UDP echo
Ataques de negação de serviços (DoS) Flooding
● Objetivo: inundar um serviço com requisições falsas
● Conceito: three-way handshake → estabelecimento de conexão no TCP
– 1. Cliente: Servidor, estou enviando a mensagem X (Número de sequência do cliente). Dá pra sincronizar (SYN)?
– 2. Servidor: Claro, sincroniza a mensagem Y (Número de sequência do servidor) que estou enviando (SYN). Prossiga com a mensagem X+1 (ACK).
– 3. Cliente: Ok, estou enviando a mensagem X+1. Prossiga com a mensagem Y+1 (ACK).
Ataques de negação de serviços (DoS) Flooding
● SYN flooding (Lembra do port scannig?)
– Um grande número de requisições é enviado, de tal forma que o servidor não é capaz (overflow da pilha de memória) de responder a todas elas. Próximas tentativas de conexão de usuários legítmos são então desprezadas...
Ataques de negação de serviços (DoS) Smurf e Fraggle
● Consistem em ataques de flooding distribuído
● Utilizam broadcasting em redes inteiras para amplificar seus efeitos
● Utilizam o endereço IP da vítima como endereço de origem dos pacotes (IP Spoofing)
● Protocolos utilizados:
– Smurf ICMP (ping)
– Fraggle UDP (echo)
● Conceito: endereço de broadcast → endereço que permite que a informação seja enviada para todos os nós de uma rede, em vez de um único host
Ataques de negação de serviços (DoS) Smurf e Fraggle
Ataques de negação de serviços (DoS) Smurf e Fraggle
Ataques de negação de serviços (DoS) Smurf e Fraggle
A vítma fica desabilitada para executar suas ações normais, sofrendo assim uma negação de serviço
Ataques ativo contra o TCP Técnicas
● Objetivo: sequestro de conexão ou a injeção de tráfego
● Sequestro de conexão
– MAC spoofing (tipo de man-in-the-middle)
● Prognóstico do número de sequência do TCP
Ataques ativo contra o TCP MAC spoofing
● Envia requisição para alvo como se fosse roteador, mas MAC é do atacante (diferente)
– Conceito: Protocolo ARP → permite conhecer o endereço físico de uma placa de rede que corresponde a um endereço IP
Ataques ativo contra o TCP MAC spoofing
● Envia requisição para roteador como se fosse máquina da rede, mas MAC é do atacante
Ataques ativo contra o TCP MAC spoofing
● Resultado: agora tudo passa pela máquina do atacante
IP forwarding: É estabelecido quando colocamos uma máquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessário
Ataques ativo contra o TCP Prognóstico do número de sequência do TCP
● Objetivo: possibilita a construção de pacotes TCP de uma conexão, de modo a injetar tráfego, passando-se por um outro equipamento
● Alguns sistemas possuem comportamento padrão de sequência de pacotes, como incremento de 128 ou 125 mil a cada segundo
● Atualmente, alguns sistemas implementam padrões de incremento do número de sequência mais eficiente, que dificulta seu prognóstico e, consequentemente, os ataques
● Utilidade: o hacker utiliza essa informação para se inserir numa conexão (man-in-the-middle)
Ataques coordenados (DDoS)Distributed Denial of Servicer
● Um ataque proveniente de uma única máquina geralmente não é capaz de causar dano a uma rede ou servidor
● Nos DdoS, os atacando coordena um grande grupo de máquinas para que ataquem simultaneamente um único servidor
● Servidores Web possuem um número limitado de usuários que pode atender simultaneamente ("slots"). Se um número grande máquinas são usadas, o número repentino de requisições pode esgotar esse número de slot, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido
● Ferramentas sofisticadas, utilizam criptografia para o tráfego de controle do hacker
Ataques coordenados (DDoS)Distributed Denial of Servicer
● Etapas:
– 1. Intrusão em massa
● Scannig de portas e vulnerabilidades em redes consideradas "interessantes", como por exemplo, redes com conexões de banda-larga ou com baixo grau de monitoramento
● O seguinte passo é explorar as vulnerabilidades reportadas, com o objetivode obter acesso privilegiado nessas máquinas
– 2. Instalação do software DdoS
● Softwares são instalados nestas máquinas para permitir que elas sejam controladas remotamente. As máquinas comprometidas serão os masters ou agentes
Ataques coordenados (DDoS)Distributed Denial of Servicer
● Etapas:
– 2. Instalação do software DdoS
● Master devem ser máquinas que não são frequentemente monitoradas e agentes, máquinas muito utilizados em universidades e provedores de acesso (acesso rápido à Internet)
– 3. Disparo do ataque
● O atacante controla uma ou mais máquinas master, as quais, por sua vez, podem controlar um grande número de máquinas agentes
● É a partir destes agentes que é disparado o flooding de pacotes que consolida o ataque
● Agentes ficam aguardando instruções dos masters para atacar vítimas por um período específico de tempo
Ataques coordenados (DDoS)Distributed Denial of Servicer
Ataques no nível de Aplicação
● Ataques que exploram vulnerabilidades em aplicações, serviços e protocolos que funcionam no nível de aplicação
● Técnicas utilizadas:
– Crackers de senha
– Vírus, Cavalo de Troia, Worms, Bots
– Adware e Spyware
– Backdoors
– Keylogger
– Spam
Ataques no nível de AplicaçãoCrackers de senha
● Programas capazes de revelar senhas cifradas
● Método:
– Realizam análise comparativa
● Técnica:
– Froça bruta: usam dicionários de termos e bancos de senhas comuns
● Desempenho:
– Podem ser executados de forma distribuída
Ataques no nível de AplicaçãoCrackers de senha
● Como criar senhas seguras?
● Pense em uma frase memorável, como:
– "o sol da liberdade em raios fúlgidos brilhou no céu da pátria neste instante."
● Em seguida, transforme-a num acrônimo (incluindo a pontuação)
– osdlerfbncdpni.
● Adicione complexidade substituindo letras por números e símbolos no acrônimo. Substitua n por 9 e a letra d pelo símbolo @:
– os@lerfb9c@p9i.
● Adicione mais complexidade colocando pelo menos uma das letras em caixa alta, como F
– os@lerFb9c@p9i.
Ataques no nível de AplicaçãoVírus
● É um programa ou parte de um programa malicioso
● Propaga-se infectando, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador
● Depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção
Ataques no nível de AplicaçãoVírus
● Como um vírus afeta um computador?
– Normalmente tem controle total
– Pode dar uma simples mensagem
– Pode apagar arquivos, etc...
● Como o dispositivo é infectado?
– É preciso sempre um programa/arquivo previamente infectado
– E-mails
– Qualquer arquivo (macros no MS Office)
– Programas desconhecidos
– Mídias de armazenamento
Ataques no nível de AplicaçãoVírus
● O que fazer para se proteger?
– Uso de anti-vírus
– Deve estar sempre atualizado
– Desabilitar no leitor de e-mails a auto-execução de arquivos anexados
– Não abrir arquivos de outras fontes sem passar pelo anti-vírus
Ataques no nível de AplicaçãoCavalo de Troia
● Programa recebido como um “presente”
– Cartão virtual, foto, protetor de tela, jogo, etc...
– Executa códigos maliciosos
– Instalação de keyloggers ou mouseloggers
– Furto de senhas e outras informações sensíveis
– Inclusão de backdoors para permitir acesso total ao computador
– Alteração ou destruição de arquivos
Ataques no nível de AplicaçãoCavalo de Troia
● Não é vírus nem worm por não infectar outros arquivos e nem se propagar automaticamente
● Normalmente é único arquivo que precisa ser executado
● Podem ter vírus ou worms embutidos
● Como proteger?
– Uso de anti-vírus
– Uso de firewall pessoal
Ataques no nível de AplicaçãoAdware e Spyware
● Adware: software projetado para propagandas, normalmente na Web ou na instalação de outro programa no seu computador
– Diversos adwares tentam utilizar nomes aleatórios para dificultar sua remoção
● Spyware: monitorar atividades de um sistema e envia para terceiros
● Existem adware que agem como spyware que monitoram comportamento do usuário
● Podem ser usados de forma legítima, mas muitas vezes não é o que ocorre
Ataques no nível de AplicaçãoAdware e Spyware
● Uso ilícito de spyware:
– Monitoramento de URLs acessadas pelos usuários
– Alteração da página inicial do browser
– Varredura dos arquivos do HD
– Monitoramento e varredura de informações em outros programas
– Instalação de outros programas spywares
– Monitoramento de teclas digitadas ou captura de mouse
– Captura de senhas
Ataques no nível de AplicaçãoAdware e Spyware
● Uso legal:
– Monitoramento hábitos de usuários / funcionários desde que especificado em contrato
– Monitorar o que estão acessando do seu computador
● Como proteger?
– Uso de anti-spyware
– Firewall pessoal
Ataques no nível de AplicaçãoAdware e Spyware
É UM SPYWARE?
Ataques no nível de AplicaçãoBackdoor
● Todo atacante quer retornar ao alvo
● Disponibilização de um serviço ou alteração de um serviço que permita acesso remoto
● Pode ser incluído por um cavalo de tróia ou através de softwares de acesso remoto mal configurados, não caracterizando invasão
● Podem ser inclusos em qualquer SO
Ataques no nível de AplicaçãoBackdoor
● Como proteger?
– Monitorar softwares de acesso remoto
– Firewall pessoal
– Não executar arquivos desconhecidos
– Atualizar softwares e SO
Ataques no nível de AplicaçãoKeylogger
● Software que captura e armazena teclas digitadas pelo usuário
● Pode obter qualquer informação: e-mail, senha...
● Instalado através de spyware ou cavalo de tróia
● A maioria possui função que permite envio automático das informações por e-mail
– Solução: Uso de teclados virtuais
● Foram criados os mouseloggers que capturam posição do mouse
– Solução: Uso de teclado virtual com posição aleatória
Ataques no nível de AplicaçãoWorms
● Programa capaz de se propagar automaticamente através da rede, enviando cópias de si
● É diferente do vírus, pois não precisa ser executado e não embute cópias de si em arquivos
● Propagação através de vulnerabilidades
Ataques no nível de AplicaçãoBots
● Semelhante ao worm (propagação automática através de vulnerabilidades) só que com comunicação com o invasor, permitindo controle remoto
● Podem:
– Desferir ataques na Internet
– Executar ataques de negação de serviço
– Enviar spam
– Enviar e-mail phishing
● Conceito: phishing → tentativas de adquirir dados pessoais de diversos tipos: senhas, dados financeiros como número de cartões de crédito e outros dados pessoais
Ataques no nível de AplicaçãoSPAM
● Termo usado para recebimento de mensagens não solicitadas
● Normalmente enviado para grande número de pessoas
● Problemas aos usuários:
– Não recebimento de e-mails (caixa lotada)
– Tempo desnecessário
– Aumento de custo
– Conteúdo impróprio ou ofensivo
Ataques no nível de AplicaçãoSPAM
● Problemas aos provedores/backbones:
– Impacto na banda
– Má utilização de servidores
– Inclusão em lista de bloqueios
– Investimento em pessoal e treinamento
● Como spammers obtém informações?
– Compra de BD de usuários
– Spywares
– Varre páginas web, lista de discussões...
Ataques no nível de AplicaçãoSPAM
● Como filtrar?
– Spam e-mail blocking and filtering:
● http://spam.abuse.net/userhelp/#filter
– Anti Spam Yellow Pages:
● http://www.antispamyellowpages.com/
– Reclame com cópia para: mail-abuse@cert.br (que mantém dados estatísticos de spam no Brasil)
– Informe o cabeçalho do e-mail:
● www.antispam.org.br/header.html
– Tracking Spam:
● http://www.claws-and-paws.com/spam-l/tracking.html
Bibliografia
● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 4.
● Vasconcelos, L. E. G. Notas de aula. Segurança da Informação. FATEC Guaratinguetá, 2013
● Kleinschmidt J. H. Notas de aula. Segurança da Informação. Universidade do ABC, 2011