Seguranca Vulnerabilidades

Laboratrio de Administrao e Segurana de Sistemas Instituto de Computao Universidade Estadual de Campinas
Segurana e Vulnerabilidades de Redes
Edmar Roberto Santana de Rezende edmar.rezende@ic.unicamp.br Mestrado Cincia da Computao
Apresentao
! !
Cenrio atual Ameaas e vulnerabilidades

Ataques para obteno de informaes Ataques ativos contra o TCP/IP Ataques de negao de servio Ataques coordenados Ataques no nvel de aplicao
Mecanismos de segurana

Firewalls IDS (Intrusion Detection System) Criptografia
Referncias
Cenrio atual
Cenrio atual
Fatos marcantes
!
Internet Worm

2 de novembro de 1988 Autor: Robert Morris Jr. Parou cerca de 50% da Internet na poca Considerado por muitos o maior hacker da histria. Entrou no sistema de Dan Farmer e roubou uma verso ainda no lanada de seu software SATAN. 25 de Dezembro de 1994 ! invadiu o sistema pessoal de Tsutomo Shimomura (expert em segurana do Centro Nacional de Supercomputao em San Diego). Preso em fevereiro de 1995 ! libertado em janeiro de 2000. 25 acusaes federais: fraude no sistema telefnico, roubo de software proprietrio (ex: Sun, Motorola, Novell e Nokia), etc.
Kevin Mitnick

Cenrio atual
Retrospectiva 2000
!
Fevereiro de 2000
Ataques coordenados a grandes sites:

! !
Yahoo! , E-Trade, Datek , ZDNet, Amazon.com, Buy.com, CNN.com e eBay.com. No Brasil: o UOL e o Cad?
Fevereiro e Setembro de 2000
nmeros de cartes de crdito roubados por hackers:

! !
RealNames ! 20 mil Western Union ! 15 mil
Grupos brasileiros (Prime Suspectz e Insanity Zine):
Assinaram invases aos sites:

!
Banco Central, Congresso Nacional, Dell, UOL, Microsoft Brasil e s pginas brasileiras das empresas McAfee e Network Association.
Cenrio atual
Vrus e Worms
! !
I love you (maio de 2000)
Prejuzos: ~ US$11 bilhes Cerca de 50 mil computadores infectados em 2001 Prejuzos: ~US$1,15 bilhes Cerca de 103 mil computadores infectados. Prejuzos: ~US$635 milhes Cerca de 225 mil computadores infectados. Prejuzos: ~US$2,62 bilhes Total em 2001 = ~US$13,2 bilhes
SirCam (julho de 2001)

Nimda (setembro de 2001)

Code Red (metade de 2001)

Cenrio atual
Incidentes
Ano 1988 1989 Total Incidentes 6 132 138
Ano 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 Total
Incidentes 252 406 773 1.334 2.340 2.412 2.573 2.134 3.734 9.859 25.817
Ano 2000 2001 *2002 Total
Incidentes 21.756 52.658 43.136 117.550

1 Semestre*
"Total: 143.505
1988-2002
Fonte: CERT/CC (Computer Emergency Response Team / Coordination Center) http://www.cert.org
Cenrio atual
Incidentes
Fonte: CERT/CC (Computer Emergency Response Team / Coordination Center) http://www.cert.org
Cenrio atual
Incidentes Brasil
Fonte: NBSO (NIC BR Security Office) http://www.nbso.nic.br
Cenrio atual
Incidentes Brasil
Fonte: NBSO (NIC BR Security Office) http://www.nbso.nic.br
Ameaas e Vulnerabilidades
" Ataques para obteno de informaes " Ataques ativos contra o TCP/IP " Ataques de negao de servio " Ataques coordenados " Ataques no nvel de aplicao
Ataques para obteno de informaes

!
Tcnicas:

Dumpster diving ou Trashing Engenharia Social Eavesdropping ou Packet Sniffing Scanning War dialing Firewalking

!
Dumpster diving ou Trashing

Revirar o lixo a procura de informaes. Pode revelar informaes pessoais e confidenciais.
Engenharia Social

Tem como objetivo enganar e ludibriar pessoas. Ataca o elo mais fraco da segurana ! o usurio. Normalmente o atacante se faz passar por um funcionrio da empresa.

!
Eavesdropping ou Packet Sniffing
A interface de rede colocada em modo promscuo. Captura pacotes no mesmo segmento de rede. Senhas trafegam em claro (Telnet, FTP, POP, etc)
> 10.1.1.90.1458: P 69:111(42) ack 21 win 5840 (DF) 4006 8ac6 0a01 012d E..R.W@.@......2457 8112 1da0 6849 ...Z....$W....hI 3333 3120 5061 7373 P.......331.Pass 7569 7265 6420 666f word.required.fo 7374 7261 646f 722e r.administrador.
14:54:00.356981 10.1.1.45.ftp 0x0000 4500 0052 9957 4000 0x0010 0a01 015a 0015 05b2 0x0020 5018 16d0 8e1c 0000 0x0030 776f 7264 2072 6571 0x0040 7220 6164 6d69 6e69 0x0050 0d0a
14:54:12.986981 10.1.1.90.1458 > 10.1.1.45.ftp: P 21:36(15) ack 111 win 17410 (DF) 0x0000 4500 0037 a96e 4000 8006 3aca 0a01 015a E..7.n@...:....Z 0x0010 0a01 012d 05b2 0015 1da0 6849 2457 813c ...-......hI$W.< 0x0020 5018 4402 06c2 0000 5041 5353 2070 736b P.D.....PASS.psk 0x0030 4036 3779 640d 0a @67yd..

!
Scanning
Port Scanning
!
Obtm informaes a respeito dos servios acessveis (portas abertas) em um sistema. Obtm informaes sobre vulnerabilidades especficas (conhecidas) para cada servio em um sistema.
Scanning de vulnerabilidades
!
War dialing

Realiza uma busca por modens. Modem ! entrada alternativa para a rede

!
Firewalking
1 2 3 4 5 6 7 8 9 10 11 12 13 14
Obtm informaes sobre uma rede remota protegida por um firewall. Funcionamento similar ao traceroute.
143.106.16.148 (143.106.16.148) 1.970 ms saserver.grad.dcc.unicamp.br (143.106.16.150) 0.582 ms 143.106.7.1 (143.106.7.1) 3.139 ms capivari.dcc.unicamp.br (143.106.7.15) 1.288 ms ansp-gw.unicamp.br (143.106.2.45) 1.730 ms unicamp-fe02-core.cas.ansp.br (143.106.99.25) 3.485 ms advansp-border.core.unicamp.br (143.106.99.73) 3.104 ms spo-cps.ansp.br (143.108.254.129) 5.765 ms rnp.ix.spo.ansp.br (200.136.34.2) 6.527 ms mg-atm108.bb3.rnp.br (200.143.254.153) 21.774 ms tutu.pop-mg.rnp.br (200.131.1.2) 17.328 ms ufv4.pop-mg.rnp.br (200.19.158.18) 56.750 ms * * * atenas.cpd.ufv.br (200.17.79.41) 45.060 ms
Ataques ativos contra o TCP/IP

!
Tcnicas:
Spoofing
! ! !
ARP Spoofing IP Spoofing DNS Spoofing
Man-in-the-middle
!
Session Hijacking
Replay attack Fragmentao de pacotes

! !
Spoofing
Enganar a vtima fazendo-se passar por outro host. ARP Spoofing

! !
Tipos:
Gerar respostas ARP falsas ARP (Address Resolution Protocol) Mapeia: Endereos IP ! Endereos MAC Gerar pacotes com endereo IP falso Gerar respostas de DNS falsas DNS (Domain Name Service) Mapeia: Nomes ! Endereos IP
IP Spoofing
! ! !
DNS Spoofing

!
ARP Spoofing
1 Passo:
Roteador 10.1.1.1
00:C0:3B:47:02:D4
arp reply 10.1.1.1 is-at 00:E0:4C:39:01:F3
Atacante 10.1.1.7
00:E0:4C:39:01:F3
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
00:50:56:C0:00:08

!
ARP Spoofing
2 Passo:
Roteador 10.1.1.1
00:C0:3B:47:02:D4
arp reply 10.1.1.5 is-at 00:E0:4C:39:01:F3
Atacante 10.1.1.7
00:E0:4C:39:01:F3
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
00:50:56:C0:00:08

!
ARP Spoofing
Resultado:
Roteador 10.1.1.1
00:C0:3B:47:02:D4
Atacante 10.1.1.7 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5

00:50:56:C0:00:08 00:E0:4C:39:01:F3 IP forwarding ligado

!
IP Spoofing

UDP e ICMP: trivial TCP: maior grau de dificuldade

1)
necessrio impedir que o host confivel responda.

Impede que o host verdadeiro responda
Internet
Atacante 200.131.10.20 Host confivel 64.221.8.50
rsh vtima comando src: 64.221.8.50 dst: 143.106.7.8
Vtima 143.106.7.8

!
IP Spoofing
2)
necessrio prever o nmero de sequncia inicial.

atacante servidor cliente

!
DNS Spoofing

Contaminar o cache do servidor com resposta falsa. Dificuldade: Adivinhar o transaction ID.
Atacante

!
Man-in-the-middle
O atacante intercepta os dados e responde pelo cliente, podendo alterar os dados.
Cliente
IP Dados IP Dados
Servidor
Dados alterados
Atacante
Session hijacking O atacante derruba o cliente e mantm a conexo em andamento.
Conexo em andamento
IP
Dados
X
Cliente
Impede que o host responda Mantm a conexo em andamento
Servidor
Atacante

!
Replay attack
Dados interceptados podem ser retransmitidos pelo atacante. possvel utilizar dados cifrados.
IP Dados
Cliente
Interceptao dos dados
Servidor
Atacante
Cliente
IP
Dados
Servidor
Reenvio dos dados
Atacante

!
Fragmentao de pacotes
Se tamanho do pacote > MTU do meio, ento ocorre fragmentao. possvel sobrescrever cabealhos durante a remontagem dos pacotes ! driblar as regras de filtragem do firewall.
Fragmentao Fragmentao
IP UDP Dados Dados
IP
UDP
IP
UDP
Incio dos dados
IP
Restante dos dados
IP
UDP
Incio dos dados
IP
TCP
Dados alterados
IP
UDP
Dados
IP
TCP
Dados alterados
Remontagem
Remontagem
Ataques de negao de servio (DoS)

!
Tcnicas:
Flooding
! ! !
TCP SYN flooding UDP flooding ICMP flooding
Smurf e Fraggle Teardrop Land Attack Ping of Death

! !
Flooding
Inundar o servidor com requisies falsas. TCP SYN flooding UDP flooding ICMP flooding
Tipos:

...
Atacante 200.131.10.20
SYN SEQ=0 SYN SEQ=0 SYN SEQ=0 src=1.2.3.4:7 src=1.2.3.4:6 src=1.2.3.4:5 dst=64.221.8.50:80 dst=64.221.8.50:80 dst=64.221.8.50:80
Internet
SYN SEQ=5324761 ACK=1 src=64.221.8.50:80 dst=1.2.3.4:5
Vtima 64.221.8.50
1. src=1.2.3.4:5 SEQ=1 2. src=1.2.3.4:6 SEQ=1 3. src=1.2.3.4:7 SEQ=1 ...

!
Smurf e Fraggle

Consistem em ataques de flood distribudo. Utilizam broadcasting em redes inteiras para amplificar seus efeitos. Utilizam o endereo IP da vtima como endereo de origem dos pacotes (IP Spoofing). Protocolo utilizado: Smurf ! ICMP (ping) Fraggle ! UDP (echo)

!
Smurf e Fraggle
Internet
Atacante 200.131.10.20 Vtima 200.221.8.50 icmp echo request src: 200.221.8.50 dst: 143.106.10.255 143.106.7.8 Roteador 143.106.10.1 143.106.10.0/24
Etapa 1:
...
143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254

!
Smurf e Fraggle
Internet
Atacante 200.131.10.20 Vtima 200.221.8.50
Etapa 2:
143.106.7.8 Roteador 143.106.10.1 143.106.10.0/24
...
143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254

!
Smurf e Fraggle
Internet
Atacante 200.131.10.20 Vtima 200.221.8.50
Resultado:
143.106.7.8 Roteador 143.106.10.1 143.106.10.0/24
...
143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254

!
Teardrop

Se aproveita de uma falha na implementao das rotinas de remontagem de pacotes. Consiste em enviar um pacote com um tamanho invlido ! o sistema obtm um n negativo ao calcular o offset. Resulta em crash do sistema. Consiste em conectar uma porta de um sistema a ela mesma. Causa o travamento do sistema em diversas plataformas.
Land Attack


!
Ping of Death
Consiste em enviar um pacote de ICMP echo request (ping) com mais de 65.507 bytes de dados. Tamanho mximo de um datagrama IP = 65.535 (216-1) bytes (RFC 791) Datagrama cabealho IP cabealho ICMP = 65.535 20 8 = 65.507 bytes de dados. Implementaes do ping no permitem a emisso de datagramas invlidos, exceto Windows 95 e NT. Resulta em reboot, panic ou travamentos.
Ataques coordenados (DDoS)

!
Ferramentas:

Fapi (1998) Blitznet Trin00 (jun/99)* TFN (ago/99)* Stacheldraht(set/99)* Shaft TFN2K(dez/99)* Trank Trin00 win version

!
Etapas:
1. 2. 3.
Intruso em massa Instalao do software DDoS Disparo do ataque IP Spoofing SYN Flooding Pacotes decoy Execuo de comandos remotos Fragmentao de pacotes Criptografia na comunicao entre o atacante e os masters
Tcnicas utilizadas:


!
Personagens
Atacante
Masters
Agentes
Vtima
Ataques no nvel de aplicao

!
Tcnicas:

Crackers de senha Buffer overflow Missing format string Exploits

! ! !
Sistemas Operacionais Protocolos Aplicaes
Vrus, worms e trojans Rootkits e backdoors

!
Crackers de senha

Programas capazes de revelar senhas cifradas. Mtodo:

! !
Utilizam o mesmo algoritmo usado para cifrar as senhas. Realizam anlise comparativa. Ataque de dicionrio; Ataque de fora bruta; Ambos. Podem ser executados de forma distribuda.
Tcnicas:
! ! !
Desempenho:
!

!
Buffer overflow
Idia bsica:

!
Buffer overflow
Visa prover uma quantidade de dados maior do que a memria do programa/servidor pode suportar. Provoca um desvio no curso de execuo do programa vulnervel.

!
Missing format string
Programas usualmente no validam os dados de entrada.
$mail_to = &get_name_from_input; #pegue o e-mail do formulrio open (MAIL, | /usr/lib/sendmail $mail_to); print MAIL To: $mail_to\nFrom: me\n\nHi there!\n; close MAIL;
Se $mail_to for igual a joao@uol.com.br; cat /etc/passwd, o comando executado ser: /usr/lib/sendmail joao@uol.com.br; cat /etc/passwd
que alm de enviar o e-mail pretendido, exibe uma cpia do arquivo de senhas do unix.

!
Exploits
Programas que exploram falhas conhecidas de segurana. Exploram falhas de:

! ! !
Sistemas Operacionais Protocolos Aplicaes
Normalmente possuem man pages e podem ser facilmente obtidos na Internet. Permite a qualquer leigo se tornar um hacker (Script Kiddies).

Vulnerabilidades descobertas
Fonte: Security Focus - http:// www.securityfocus.com.br

Vulnerabilidades conhecidas

Vulnerabilidades conhecidas

!
Vrus, worms e trojans Vrus
Programa que se anexa aos arquivos na mquina alvo e realiza alguma ao indesejada. Se diferem dos vrus por se espalharem automaticamente, sem necessidade de interao com o usurio. Qualquer programa legtimo que tenha sido alterado com a insero de cdigo no autorizado e que realiza uma funo oculta e indesejvel.
Worms
Trojans (Cavalos de Tria)

!
Worms atuais SirCam

Tcnicas avanadas de contgio, via e-mail e compartilhamento. Possui um servidor de e-mail prprio. Subject aleatrio, pego de arquivos do computador da vtima.
CodeRed

Buffer overflow do Internet Information Service (IIS). Checa a data da vtima e gera uma lista aleatria de endereos IP para contgio. 1 a 19 de cada ms: fase de infestao. 20 a 28 de cada ms: atacar o site da Casa Branca.

!
Worms atuais Nimda
Diferentes meios de disseminao:

! ! ! !
Bug do IIS E-mail, via Automatic Execution of Embedded MIME Types JavaScript Compartilhamento
Klez

Desabilita o anti-vrus. No preciso abrir o e-mail para o contgio. Faz o spoofing de sua origem. Servidor de e-mail prprio.

!
Rootkits e backdoors Rootkits
Conjunto de ferramentas que o atacante instala no host vtima para ocultar sua presena e facilitar futuros acessos.
Backdoors
Programas que permitem acesso ao atacante por meio de portas desconhecidamente abertas no host vtima.
Mecanismos de Segurana
Firewalls IDS (Intrusion Detection System) Criptografia

Firewalls
!
Definio:
Sistema ou conjunto de sistemas que restringe o acesso entre duas redes.
Componentes:

Packet-filter ( Static / Dynamic / Stateful) Proxy (Application-level / Circuit-level) NAT (Network Address Translation) VPN (Virtual Private Network)
Firewalls
!
Packet-filter
Realiza o roteamento seletivo de acordo com as informaes do cabealho do pacote, como:

! ! ! ! !
Endereo IP Protocolo Servio Estado Flags
Firewalls
!
Proxy
Atua como um intermedirio entre o cliente e o servidor.

! !
Application-level: analisa o payload do pacote Circuit-level: simplesmente repassa os dados
Firewalls
!
NAT (Network Address Translation)

Internet
Realiza a converso de endereos IP (RFC 1631) Criado para solucionar o problema de escassez de endereos IPv4. Rede interna ! endereos privados (RFC 1918):
#10.0.0.0
143.106.7.8
NAT
10.1.1.1
- 10.255.255.255 #172.16.0.0 - 172.31.255.255 #192.168.0.0 - 192.168.255.255
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
10.1.1.6
Firewalls
!
VPN (Virtual Private Network)
Rede privada construda sobre a infra-estrutura de uma rede pblica, normalmente a Internet.
Vantagens: ! Reduo de custos ! Conectividade global
Desvantagens: ! Implicaes de segurana
IDS (Intrusion Detection System)

!
Definio:
Sistema de monitoramento, anlise e deteco de atividades indevidas ou anmalas. Tipos:

! ! !
Host-based Intrusion Detection System (HIDS) Network-based Intrusion Detection System (NIDS) Hybrid Intrusion Detection System (Hybrid IDS)
Sistemas com a exclusiva finalidade de colher informaes relativas a invases e assinaturas de ataques.
Honeypots
!
Criptografia
!
Definio:
Arte ou processo de escrever em caracteres secretos ou em cifras.
Criptografia
!
Visa garantir:
Privacidade - garantia de que a mensagem no ser entendida por um intruso. Integridade - garantia de que a mensagem no foi modificada por um eventual intruso ativo. Autenticidade - garantia de que o emissor da mensagem realmente quem diz ser. SSL SSH IPSec
Alguns protocolos seguros:

Referncias
Referncias
Livros
! ! ! ! ! !
Practical Unix & Internet Security
Simson Garfinkel and Gene Spafford Richard Stevens Brent Chapman Bill Cheswick and Steve Bellovin Bruce Schneier Emlio Tissato Nakamura e Paulo Lcio de Geus
TCP/IP Illustrated, Volume I
Building Internet Firewalls
Firewalls and Internet Security
Applied Cryptography
Segurana de Redes em Ambientes Cooperativos
Referncias
Links
! ! ! ! ! ! ! !
http://www.cert.org http://www.nbso.nic.br http://www.securityfocus.org http://www.insecure.org http://www.securenet.com.br http://www.security.unicamp.br http://www.securitybase.net http://www.las.ic.unicamp.br

Seguranca Vulnerabilidades

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguranca Vulnerabilidades

Încărcat de

Drepturi de autor:

Formate disponibile

Laboratrio de Administrao e Segurana de Sistemas Instituto de Computao Universidade Estadual de Campinas

Segurana e Vulnerabilidades de Redes

Edmar Roberto Santana de Rezende edmar.rezende@ic.unicamp.br Mestrado Cincia da Computao

Cenrio atual Ameaas e vulnerabilidades

Firewalls IDS (Intrusion Detection System) Criptografia

Ataques coordenados a grandes sites:

Fevereiro e Setembro de 2000

nmeros de cartes de crdito roubados por hackers:

RealNames ! 20 mil Western Union ! 15 mil

Grupos brasileiros (Prime Suspectz e Insanity Zine):

Assinaram invases aos sites:

I love you (maio de 2000)

SirCam (julho de 2001)

Nimda (setembro de 2001)

Code Red (metade de 2001)

Ano 2000 2001 *2002 Total

Incidentes 21.756 52.658 43.136 117.550

Fonte: CERT/CC (Computer Emergency Response Team / Coordination Center) http://www.cert.org

Fonte: CERT/CC (Computer Emergency Response Team / Coordination Center) http://www.cert.org

Fonte: NBSO (NIC BR Security Office) http://www.nbso.nic.br

Fonte: NBSO (NIC BR Security Office) http://www.nbso.nic.br

Ataques para obteno de informaes

Ataques para obteno de informaes

Dumpster diving ou Trashing

Revirar o lixo a procura de informaes. Pode revelar informaes pessoais e confidenciais.

Ataques para obteno de informaes

Eavesdropping ou Packet Sniffing

Ataques para obteno de informaes

Ataques para obteno de informaes

Ataques ativos contra o TCP/IP

ARP Spoofing IP Spoofing DNS Spoofing

Replay attack Fragmentao de pacotes

Ataques ativos contra o TCP/IP

Enganar a vtima fazendo-se passar por outro host. ARP Spoofing

Ataques ativos contra o TCP/IP

arp reply 10.1.1.1 is-at 00:E0:4C:39:01:F3

Ataques ativos contra o TCP/IP

arp reply 10.1.1.5 is-at 00:E0:4C:39:01:F3

Ataques ativos contra o TCP/IP

Atacante 10.1.1.7 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5

Ataques ativos contra o TCP/IP

UDP e ICMP: trivial TCP: maior grau de dificuldade

necessrio impedir que o host confivel responda.

rsh vtima comando src: 64.221.8.50 dst: 143.106.7.8

Ataques ativos contra o TCP/IP

necessrio prever o nmero de sequncia inicial.

Ataques ativos contra o TCP/IP

Ataques ativos contra o TCP/IP

Session hijacking O atacante derruba o cliente e mantm a conexo em andamento.

Ataques ativos contra o TCP/IP

Interceptao dos dados

Ataques ativos contra o TCP/IP

Incio dos dados

Restante dos dados

Incio dos dados

Ataques de negao de servio (DoS)

TCP SYN flooding UDP flooding ICMP flooding

Smurf e Fraggle Teardrop Land Attack Ping of Death

Ataques de negao de servio (DoS)

Ataques de negao de servio (DoS)

Ataques de negao de servio (DoS)

Ataques de negao de servio (DoS)

Ataques de negao de servio (DoS)