Post on 17-Apr-2015
Principais ataques
• Engenharia social
• Coleta de informação
• Varredura
• Negação de serviço
• Exploração de bugs
• Exploração de protocolos
• Sniffers
• Ataque do dicionário
• Código malicioso
Internet
• NÃO foi projetada para
– Uso em ambiente comerciais
– Tráfego de informações importantes/sensíveis
– Resistir a usuários/agentes maliciosos
Internet
• Conseqüências
– rede gigantesca sem controle centralizado
– vários caminhos para um mesmo ponto
– não existem limites definidos
– anonimato facilmente obtido
– SEM SEGURANÇA
Maiores Problemas
• Mecanismos fracos de identificação/autenticação
• Maioria dos meios de transmissão utilizam broadcast
– Ethernet
– IP sobre TV a Cabo
– Microondas e rádio
• Dados são transmitidos em claro
Maiores Problemas
• Mecanismos fracos de identificação/autenticação– Protocolos “confiam” na origem dos pacotes que
trafegam na Internet
– Muitos mecanismos de autenticação baseiam-se no endereço IP de origem do pacote
– CRC ou checksum não impedem falsificações (falsificador recalcula)
Maiores Problemas
• Meios de transmissão em broadcast– Permite monitorar o tráfego da rede
– Permite copiar dados transmitidos
Host A
Host B
XPara Host B
Placa de rede em operação normalPlaca de rede em modo promíscuo
Maiores Problemas
• Dados são transmitidos em claro– Qualquer um pode capturar dados da rede (sniffer)
– Qualquer um pode entender os dados sendo transmitidos
– Qualquer um pode alterar os dados sendo transmitidos (interceptar e retransmitir)
Protocolos
Protocolos TCP/IP
Deficiências do IP
• Ataques de fragmentação– Normal
– Sobreposição de fragmentos
IP Header
TCP Header
DADOS
IP Header
MAIS DADOS...
IP Header
TCP Header
DADOS
IP Header
MAIS DADOS...
Deficiências do IP
• Ataques de fragmentação– DoS (Denial of Service): ocasionados por problemas de
reconstrução de pacotes fragmentados
– Evasivos: obscurecer o ataque através de fragmentos sobrepostos, dificultando a detecção deste
– Ataques a portas bloqueadas: um atacante pode construir um pacote com um cabeçalho aceitável no primeiro fragmento, mas sobrescrevê-lo num segundo fragmento que possua um cabeçalho falso
Deficiências do IP
• IP Spoofing– Origem e/ou destino do pacote IP são forjados
– IP Spoofing é parte de um ataque mais sofisticado
– Casos em que o ataque é utilizado:» O atacante pode interceptar a resposta
» O atacante não precisa receber a resposta
» O atacante não quer a resposta, o seu objetivo e mandar a resposta para alguma outra maquina
Deficiências do IP
• IP Spoofing– O atacante pode interceptar a resposta
Vítima
Atacante
Host A
From: Host ATo: Vítima
From: VítimaTo: Host A
Deficiências do IP
• IP Spoofing– O atacante não precisa receber a resposta: DoS
Vítima
Atacante
Host A
From: Host ATo: Vítima
Deficiências do IP
• IP Spoofing– O atacante não quer a resposta, o seu objetivo e
mandar a resposta para alguma outra maquina
Vítima
Atacante
Host A
From: Host ATo: Vítima
From: VítimaTo: Host A
Deficiências do IP
• Soluções Possíveis– Redes baseadas em switch: dificultam ataques
passivos (sniffers)» mas existe ARP redirect
– Regras no firewall: » evitar que IPs diferentes dos da rede local saiam para a
Internet
» evitar que IPs iguais aos da rede local entrem pela Internet
Deficiências do ICMP
• Cabeçalho ICMP
32 bits
Tipo
(conteúdo depende do Tipo e Código da mensagem)
ChecksumCódigo
Deficiências do ICMP
Address-Mask Reply18
Address-Mask Request17
Echo Request (ping)8
Redirect (change route)5
Source Quench4
Destination Unreachable3
Echo Reply (ping)0
Mensagem ICMPCampo Type
Mensagens ICMP
Enumeração de alvos
DoS
Descoberta da rede
Deficiências do ICMP
• Enumeração de alvos– Echo Request
Atacante
Internet
Host A
Host B
Host C
Host DHost A, B, C, D
Deficiências do ICMP
• Smurf attack– IP Spoofing + ICMP Echo Request
Intermediário
Atacante
From: VítimaTo: IntermediárioPing de Broadcast
VítimaFrom: IntermediárioTo: Vítima
Deficiências do ICMP
• Denial of Service– Source Quench, ou ICMP Redirect ou ICMP
Destination Unreachable
Vítima
Atacante
Host A
From: IP SpoofedTo: VítimaDestination Unreachable
From: VítimaTo: Host A
Deficiências do ICMP
• Soluções possíveis– Bloquear pacotes ICMP no firewall
» Pode ser muito drástico
– Bloquear pacotes com IP de broadcast
– Configurar o SO para não responder a pacotes ICMP destinados a endereços de broadcast
– Bloquear certos pacotes ICMP» destination unreachable
» source quench
» Redirect
» Address-mask Request
» Echo Request
Deficiências do TCP
• Cabeçalho TCP32 bits
Porta origem Porta destino
Checksum
Dados (tamanho variável)
Número de seqüência
Número de confirmação
Tamanho da janela deslizante
Urgent pointer
Opções (tamanho variável)
Tamanho docabeçalho Reservado
FIN
SYN
RST
PSH
ACK
URG
32 bits32 bits
Porta origem Porta destino
Checksum
Dados (tamanho variável)
Número de seqüência
Número de confirmação
Tamanho da janela deslizante
Urgent pointer
Opções (tamanho variável)
Tamanho docabeçalho Reservado
FIN
SYN
RST
PSH
ACK
URG
Deficiências do TCP
• Network scanning techniques– Utilizam combinações ilegais de flags de controle do
TCP» SYN FIN é o mais conhecido
» SYN FIN PSH, SYN FIN RST, SYN FIN RST PSH e outras variações do SYN FIN
» Pacotes apenas com o bit FIN setado
» Pacotes com todos ou nenhum flag setado
Deficiências do TCP
• TCP SYN - uso normal
ServidorHost A
SYN
SYN ACK
ACK
DADOS
Host A
Deficiências do TCP
• TCP SYN Flooding (negação de serviço)
ServidorHost A
SYN
SYN ACK
SYN
Host A
SYN
SYN
Host A
Host A
Deficiências do TCP
• TCP SYN Flooding (negação de serviço distribuída)– Várias conexões são criadas junto a um servidor
» Servidor não consegue distinguir entre conexões legítimas e falsas
Deficiências do TCP
• TCP Kill– DoS baseado em pacotes RST ACK para encerrar
conexões
Vítima
Atacante
Host ATCP
RST ACK? ?
Deficiências do TCP
• TCP Hijacking
– Possibilidade de um atacante controlar uma conexão TCP existente
» Forjar pacotes TCP
» Conhecimento do número de seqüência de uma conexão
» Ter conhecimento da conexão
Deficiências do TCP
• TCP Hijacking
Vítima
Atacante
Host ATCP
cat /etc/shadow
Deficiências do TCP
• Soluções possíveis– Regras no firewall: barrar pacotes com combinações
ilegais de flags no firewall» Overhead no firewall
– Utilizar IDSs (Intrusion Detection System): monitorar pacotes “anormais” na rede
– Redes baseadas em switch: dificultam a monitoração da rede
Deficiências do UDP
• Cabeçalho UDP
32 bits
Porta origem Porta destino
Tamanho do datagrama Checksum
Dados (se existirem)
32 bits32 bits
Porta origem Porta destino
Tamanho do datagrama Checksum
Dados (se existirem)
Deficiências do UDP
• Difícil de ser monitorado– Não é orientado a conexão
– Primeira resposta recebida normalmente é aceita
– Permite a troca de informações e comunicações ilícitas: tunelamento UDP
Deficiências do UDP
• Soluções Possíveis
– Bloquear pacotes UDP no firewall» Muito drástico
» Pacotes DNS utilizam o protocolo UDP
Negação de Serviço
• DoS, ou denial-of-service
Ping of Death Pacotes de ping com tamanho exagerado ping -l 65500 host
Teardrop Datagramas IP são fragmentados e devem ser
remontados Ataque fornece valores errados de deslocamento
(valores muito grandes, valores negativos) Variações: newtear, bonk, boink
Negação de Serviço
• DoS, ou denial-of-service
Nestea Ataque de fragmentação, informando tamanhos errados
Sesquipedalian Ataque de fragmentação (primeiro fragmento de
tamanho zero) Saturação da cache de roteamento Após 4096 ataques, cache satura Nenhuma nova conexão é aceita
Negação de Serviço
• DoS, ou denial-of-service
Syn Flood Cliente envia SYN Servidor responde com SYN/ACK Cliente não responde mais Conexão cai por “time-out” Tempo entre 75 segundos a 23 minutos Ataque funciona com um pacote SYN por segundo
Negação de Serviço
• DoS, ou denial-of-service
Smurf Attack Envio de requisições de ping em broadcast, com
endereço fonte falsificado Exemplo: ICMP ECHO para x.y.z.255, a partir da vítima
x.y.z.k Todas as máquinas da sub-rede (amplifying network)
respondem para a máquina vítima
Variação: fraggle Usa porta 7 UDP - echo em vez de ICMP
Negação de Serviço
• DoS, ou denial-of-service
Octopus Abre o maior número possível de conexões na
máquina alvo Desvantagem: Requer conexões abertas no atacante
Coke: ataca WINS (Windows Internet Name Service) Pepsi: UDP flood Jolt: fragmentos super-dimensionados para Windows
9x
Negação de Serviço
• Impedir ataques de negação de serviço é quase impossível
• Toda máquina que aceita conexões do mundo externo é passível de ser atacada
• Distribuir os serviços para a maioria permanecer operacional
• Providenciar recursos suficientes para que o sistema continue funcionando mesmo com carga extrema
• Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema
Protocolos de Aplicação
• Utilizam os protocolos das camadas inferiores
• Possuem as mesmas deficiências– DNS (Domain Name System)
– Telnet
– FTP (File Transfer Protocol)
– SMTP (Simple Mail Transfer Protocol)
– POP (Post Office Protocol)
Deficiências do DNS
• DNS (Domain Name System) – Implementa uma base de dados distribuída com a
finalidade de traduzir nomes em endereços IP e vice-versa
– Utiliza basicamente o protocolo UDP, podendo também utilizar o protocolo TCP
Deficiências do DNS
• DNS não foi projetado para ser um protocolo seguro
– Não se tem como verificar a veracidade da resposta de retornada por um servidor de DNS
– O fato de utilizar preferencialmente o UDP facilita ataques
» DNS Spoofing
» DNS Cache Poisoned
Deficiências do DNS
• DNS Spoofing
Vítima
Atacante
www.ufrgs.br
Servidor DNS
Internet
www.ufrgs.br?!
www.ufrgs.br = IP atacante
X
Deficiências do DNS
• DNS Cache Poisoned
Atacante
Servidor DNS
Internet
Vítima www.ufrgs.br
www.ufrgs.br?!
www.ufrgs.br = IP atacante
IP atacante
Protocolos de Aplicação
• Telnet– Permite acesso remoto a outras máquinas
– Utiliza o protocolo TCP» Vulnerável as deficiências do protocolo TCP
» Nome e senha transmitidas em claro
» Dados da sessão transmitidos em claro
Protocolos de Aplicação
• SMTP (Simple Mail Transfer)– Protocolo utilizado para transferir mensagens de
correio eletrônico
– Utiliza o protocolo TCP» Vulnerável as deficiências do protocolo TCP
» Dados transmitidos em claro
» Autenticação fraca
Protocolos de Aplicação
• SMTP– HELO <transmissor>
– MAIL FROM:<remetente>
– RCPT TO:<destinatário>
– DATA
– QUIT
Protocolos de Aplicação
• POP (Post Office Protocol)– Permite recuperar mensagens em sistemas de
arquivos remotos (servidor de e-mail)
– Utiliza o protocolo TCP» Vulnerável as deficiências do protocolo TCP
» Exige autenticação
» Nome e senha transmitidos em claro
» Dados transmitidos em claro
Protocolos de Aplicação
• POP– USER <usuário>
– PASS <senha>
– LIST
– RETR <número mensagem>
– DELE <número mensagem>
– QUIT
Protocolos de Aplicação
• Soluções Possíveis
Uso de criptografia!
Uso de serviços seguros