Tipos de Ataques Luiz Kacuta Luiz Romero Viviane Oliveira.
Transcript of Tipos de Ataques Luiz Kacuta Luiz Romero Viviane Oliveira.
Tipos de AtaquesTipos de AtaquesLuiz Kacuta Luiz Kacuta
Luiz Romero Luiz Romero Viviane OliveiraViviane Oliveira
2
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Agenda
Motivação
Porque atacar?
Quem são os atacantes?
O que os ataques exploram?
Qual o impacto para a organização?
Tipos de Ataques:
• IP Spoofing
• Buffer overflow
• Seqüestro de Sessão
• Denial of Service
Intrusion Detection System
Plano de Trabalho
Objetivo
Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns.
3
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003;
80% das empresas admitiram ter sofrido perdas financeiras;
44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000;
perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000);
• pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque.
• somente 61% das empresas utilizam Intrusion Detection Systems.
Fonte: Computer Security Institute
Motivação
4
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Curisiodade
• Diversão
• Obtenção de ganhos financeiros
• Espionagem industrial
• Vingança (ex-funcionários, funcionários descontentes)
• Desafio
Porque atacar?
5
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Hackers
• Crackers
• White hat (hacker ético)
• Funcionários insatisfeitos
• Ex-funcionários, ex-prestadores de serviço
“Segurança é um problema social, não somente tecnológico”
Quem são os atacantes?
6
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Bugs no desenvolvimento
• Senhas fracas
• Mau uso de ferramentas/serviços legítimos
• Configuração inadequada de recursos
• IDS mau implementado
“Ferramentas existentes vão proteger somente contra os ataques conhecidos”
O que os ataques exploram?
7
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Vazamento de informações confidenciais
• Modificação indevida de dados
• Indisponibilidade de serviço
• Fraude, perdas financeiras
• Reputação prejudicada
• Perda de negócios, clientes e oportunidades
“Algumas perdas são irreversíveis”
Qual o impacto para a organização?
Tipos de AtaquesTipos de AtaquesIP SpoofingIP Spoofing
Buffer OverflowBuffer Overflow
Seqüestro de SessãoSeqüestro de Sessão
Denial of ServiceDenial of Service
9
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado.
A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote.
IP Spoofing - Definição
10
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IP Spoofing - Como é feito?
•Exemplo 01:
11
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IP Spoofing - Como é feito?
•Exemplo 02:
12
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
•Alteração básica de endereço nas configurações da rede
•Utilização do roteamento de origem
•Exploração da relação de confiança
IP Spoofing - Formas de exploração
13
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
•Limitar o acesso as configurações da máquina;
•Utilizar filtros ingress e egress;
•Desabilitar o roteamento de origem; e
•Não utilizar relação de confiança nos domínios Unix.
IP Spoofing - Medidas Preventivas e Corretivas
14
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Definição
O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita.
Condições de buffer overflow podem geralmente resultar:
- execução de códigos arbitrários nos sistemas;
- modificação de dados e/ou perda de informações;
- perda da controle do fluxo de execução do sistema.
15
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Como é feito?
Exemplificação:
Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer.
Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do
ataque.
Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02.
Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado.
16
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Medidas Preventivas e Corretivas
•Revisão nos códigos fonte;
•Aplicação de patches;
•Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO;
•Execução de sistemas com o menor privilégio;
•Utilização de IPS - Intrusion Prevention System.
17
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Ataques Conhecidos
•Ping of Death;
•Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas);
18
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Seqüestro de Sessão - Definição
Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente.
Também classificado como um ataque “man in the middle”.
19
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Seqüestro de Sessão - Como é feito?
Atividades necessárias para seqüestro da conexão:
- Encontrar o alvo
- Encontrar uma sessão ativa
- Executar a predição da sequência que são trocadas entre as máquinas
- Tornar o computador offline
- Assumir a sessão
Tipos de seqüestro:
- Ativo
- Passivo
- Híbrido
20
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IP Spoofing x Seqüestro de Sessão
IP Spoofing Seqüestro de Sessão
21
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
•Utilização de criptografia
•Utilização de um protocolo seguro
•Limitar o número de conexões entrantes
•Minimizar acesso remoto
•Adotar autenticação forte (menos efetivo)
Seqüestro de Sessão - Medidas Preventivas e Corretivas
22
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida.
Denial of Service - Definição
23
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho:
- SYN Flooding
- Fragmentação IP
Denial of Service - Como é feito?
24
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Denial of Service - SYN flooding
Cliente Servidor
SYN seq = x
SYN seq = y; ACK x+1
ACK y+1
Explora o mecanismo de estabelecimento de conexão do TCP.
Ações preventivas:
- comparação das taxas de requisição e conexões em aberto
- monitorar número de seqüência (faixa específica)
- estabelecer time out da conexão
- aumentar a fila de conexões
25
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Denial of Service - Fragmentação IP
MTU: quantidade máxima de dados que podem passar em um pacote por meio físico.
Overflow da pilha TCP no momento do reagrupamento dos pacotes.
26
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Distributed Denial of Service - DDOS
Diversos hosts sendo atacados simultaneamente
Ataque de difícil contenção
27
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Design robusto e efetivo da rede
Limitar a largura de banda
Manter os sistemas atualizados
Executar a menor quantidade de serviços ativo
Permitir somente o tráfego necessário
•Bloquear o endereço IP
Denial of Service - Medidas Preventivas e Corretivas
Intrusion Detection Intrusion Detection SystemSystem - - IDSIDS
29
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
AgendaTrinômio da Segurança
IDS - Síndrome da “Bala de Prata”
Conceitos
Estratégias de Prevenção
IDS x IPS
Topologia de uma solução
Política para DOS - Denial of
Service
Eventos de Intrusão
Eventos Avaliados
Outros Ataques
Lógica de Funcionamento
Conclusão
Estratégias de Defesa
Objetivos
Descrever o funcionamento de IDS para os ataques descritos.
30
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Trinômio da Segurança
• Prevenção– Criptografia, – Firewall, – Vulnerabilidade
• Monitoração– IDS– Syslog Server
• Reação
31
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IDS - Síndrome da “Bala de Prata”
Intrusion Detection System A solução de todos os
problemas de segurança
32
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Conceitos
Problemas de Gerenciamento IDS:
• Altissima interação e constante monitoração.
• Complexidade a detecção,monitoramento e respostas a incidentes.
• Falso Positivos (avalanche de informações imprecisas)
• Integração com todo ambiente
33
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Problemas de Gerenciamento IDS:
Conceitos
34
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Estratégias de Prevenção
Melhores práticas para gerenciar o IDS
• Riscos, Ameaças e Vulnerabilidade;
• Politica de Segurança;
• Estratégia de Implementação do IDS;
• Auditória e Teste.
35
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IDS x IPS
Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente
gerar uma ação.
36
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Topologia de uma solução
37
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Política para DOS - Denial of Service
38
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos de Intrusão
39
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos Avaliados
40
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Outros Ataques
41
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos Avaliados
42
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos Avaliados
43
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Lógica de Funcionamento
44
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Cada vez mais torna-se evidente que nem
tecnologia, nem políticas isoladas podem
realmente oferecer proteção para sua
organização…as organizações que querem
sobreviver necessitam desenvolver uma
abordagem abrangente em relação a segurança
da informação, a qual deve combinar pessoas,
tecnologia e processo.
Conclusão
Obrigado!Obrigado!Luiz Kacuta Luiz Kacuta
Luiz Romero Luiz Romero Viviane OliveiraViviane Oliveira