Documente Academic
Documente Profesional
Documente Cultură
Apresentao
! !
Ataques para obteno de informaes Ataques ativos contra o TCP/IP Ataques de negao de servio Ataques coordenados Ataques no nvel de aplicao
Mecanismos de segurana
Referncias
Cenrio atual
Cenrio atual
Fatos marcantes
!
Internet Worm
2 de novembro de 1988 Autor: Robert Morris Jr. Parou cerca de 50% da Internet na poca Considerado por muitos o maior hacker da histria. Entrou no sistema de Dan Farmer e roubou uma verso ainda no lanada de seu software SATAN. 25 de Dezembro de 1994 ! invadiu o sistema pessoal de Tsutomo Shimomura (expert em segurana do Centro Nacional de Supercomputao em San Diego). Preso em fevereiro de 1995 ! libertado em janeiro de 2000. 25 acusaes federais: fraude no sistema telefnico, roubo de software proprietrio (ex: Sun, Motorola, Novell e Nokia), etc.
Kevin Mitnick
Cenrio atual
Retrospectiva 2000
!
Fevereiro de 2000
Yahoo! , E-Trade, Datek , ZDNet, Amazon.com, Buy.com, CNN.com e eBay.com. No Brasil: o UOL e o Cad?
Banco Central, Congresso Nacional, Dell, UOL, Microsoft Brasil e s pginas brasileiras das empresas McAfee e Network Association.
Cenrio atual
Vrus e Worms
! !
Prejuzos: ~ US$11 bilhes Cerca de 50 mil computadores infectados em 2001 Prejuzos: ~US$1,15 bilhes Cerca de 103 mil computadores infectados. Prejuzos: ~US$635 milhes Cerca de 225 mil computadores infectados. Prejuzos: ~US$2,62 bilhes Total em 2001 = ~US$13,2 bilhes
Cenrio atual
Incidentes
Ano 1988 1989 Total Incidentes 6 132 138
Ano 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 Total
Incidentes 252 406 773 1.334 2.340 2.412 2.573 2.134 3.734 9.859 25.817
"Total: 143.505
1988-2002
Cenrio atual
Incidentes
Cenrio atual
Incidentes Brasil
Cenrio atual
Incidentes Brasil
Ameaas e Vulnerabilidades
" Ataques para obteno de informaes " Ataques ativos contra o TCP/IP " Ataques de negao de servio " Ataques coordenados " Ataques no nvel de aplicao
Ameaas e Vulnerabilidades
Tcnicas:
Dumpster diving ou Trashing Engenharia Social Eavesdropping ou Packet Sniffing Scanning War dialing Firewalking
Ameaas e Vulnerabilidades
Engenharia Social
Tem como objetivo enganar e ludibriar pessoas. Ataca o elo mais fraco da segurana ! o usurio. Normalmente o atacante se faz passar por um funcionrio da empresa.
Ameaas e Vulnerabilidades
A interface de rede colocada em modo promscuo. Captura pacotes no mesmo segmento de rede. Senhas trafegam em claro (Telnet, FTP, POP, etc)
> 10.1.1.90.1458: P 69:111(42) ack 21 win 5840 (DF) 4006 8ac6 0a01 012d E..R.W@.@......2457 8112 1da0 6849 ...Z....$W....hI 3333 3120 5061 7373 P.......331.Pass 7569 7265 6420 666f word.required.fo 7374 7261 646f 722e r.administrador.
14:54:00.356981 10.1.1.45.ftp 0x0000 4500 0052 9957 4000 0x0010 0a01 015a 0015 05b2 0x0020 5018 16d0 8e1c 0000 0x0030 776f 7264 2072 6571 0x0040 7220 6164 6d69 6e69 0x0050 0d0a
14:54:12.986981 10.1.1.90.1458 > 10.1.1.45.ftp: P 21:36(15) ack 111 win 17410 (DF) 0x0000 4500 0037 a96e 4000 8006 3aca 0a01 015a E..7.n@...:....Z 0x0010 0a01 012d 05b2 0015 1da0 6849 2457 813c ...-......hI$W.< 0x0020 5018 4402 06c2 0000 5041 5353 2070 736b P.D.....PASS.psk 0x0030 4036 3779 640d 0a @67yd..
Ameaas e Vulnerabilidades
Scanning
Port Scanning
!
Obtm informaes a respeito dos servios acessveis (portas abertas) em um sistema. Obtm informaes sobre vulnerabilidades especficas (conhecidas) para cada servio em um sistema.
Scanning de vulnerabilidades
!
War dialing
Realiza uma busca por modens. Modem ! entrada alternativa para a rede
Ameaas e Vulnerabilidades
Firewalking
1 2 3 4 5 6 7 8 9 10 11 12 13 14
Obtm informaes sobre uma rede remota protegida por um firewall. Funcionamento similar ao traceroute.
143.106.16.148 (143.106.16.148) 1.970 ms saserver.grad.dcc.unicamp.br (143.106.16.150) 0.582 ms 143.106.7.1 (143.106.7.1) 3.139 ms capivari.dcc.unicamp.br (143.106.7.15) 1.288 ms ansp-gw.unicamp.br (143.106.2.45) 1.730 ms unicamp-fe02-core.cas.ansp.br (143.106.99.25) 3.485 ms advansp-border.core.unicamp.br (143.106.99.73) 3.104 ms spo-cps.ansp.br (143.108.254.129) 5.765 ms rnp.ix.spo.ansp.br (200.136.34.2) 6.527 ms mg-atm108.bb3.rnp.br (200.143.254.153) 21.774 ms tutu.pop-mg.rnp.br (200.131.1.2) 17.328 ms ufv4.pop-mg.rnp.br (200.19.158.18) 56.750 ms * * * atenas.cpd.ufv.br (200.17.79.41) 45.060 ms
Ameaas e Vulnerabilidades
Tcnicas:
Spoofing
! ! !
Man-in-the-middle
!
Session Hijacking
Ameaas e Vulnerabilidades
Spoofing
Tipos:
Gerar respostas ARP falsas ARP (Address Resolution Protocol) Mapeia: Endereos IP ! Endereos MAC Gerar pacotes com endereo IP falso Gerar respostas de DNS falsas DNS (Domain Name Service) Mapeia: Nomes ! Endereos IP
IP Spoofing
! ! !
DNS Spoofing
Ameaas e Vulnerabilidades
ARP Spoofing
1 Passo:
Roteador 10.1.1.1
00:C0:3B:47:02:D4
Atacante 10.1.1.7
00:E0:4C:39:01:F3
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
00:50:56:C0:00:08
Ameaas e Vulnerabilidades
ARP Spoofing
2 Passo:
Roteador 10.1.1.1
00:C0:3B:47:02:D4
Atacante 10.1.1.7
00:E0:4C:39:01:F3
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
00:50:56:C0:00:08
Ameaas e Vulnerabilidades
ARP Spoofing
Resultado:
Roteador 10.1.1.1
00:C0:3B:47:02:D4
Ameaas e Vulnerabilidades
IP Spoofing
Internet
Atacante 200.131.10.20 Host confivel 64.221.8.50
Vtima 143.106.7.8
Ameaas e Vulnerabilidades
IP Spoofing
2)
Ameaas e Vulnerabilidades
DNS Spoofing
Contaminar o cache do servidor com resposta falsa. Dificuldade: Adivinhar o transaction ID.
Atacante
Ameaas e Vulnerabilidades
Man-in-the-middle
O atacante intercepta os dados e responde pelo cliente, podendo alterar os dados.
Cliente
IP Dados IP Dados
Servidor
Dados alterados
Atacante
Conexo em andamento
IP
Dados
X
Cliente
Impede que o host responda Mantm a conexo em andamento
Servidor
Atacante
Ameaas e Vulnerabilidades
Replay attack
Dados interceptados podem ser retransmitidos pelo atacante. possvel utilizar dados cifrados.
IP Dados
Cliente
Servidor
Atacante
Cliente
IP
Dados
Servidor
Reenvio dos dados
Atacante
Ameaas e Vulnerabilidades
Fragmentao de pacotes
Se tamanho do pacote > MTU do meio, ento ocorre fragmentao. possvel sobrescrever cabealhos durante a remontagem dos pacotes ! driblar as regras de filtragem do firewall.
Fragmentao Fragmentao
IP UDP Dados Dados
IP
UDP
IP
UDP
IP
IP
UDP
IP
TCP
Dados alterados
IP
UDP
Dados
IP
TCP
Dados alterados
Remontagem
Remontagem
Ameaas e Vulnerabilidades
Tcnicas:
Flooding
! ! !
Ameaas e Vulnerabilidades
Flooding
Inundar o servidor com requisies falsas. TCP SYN flooding UDP flooding ICMP flooding
Tipos:
...
Atacante 200.131.10.20
SYN SEQ=0 SYN SEQ=0 SYN SEQ=0 src=1.2.3.4:7 src=1.2.3.4:6 src=1.2.3.4:5 dst=64.221.8.50:80 dst=64.221.8.50:80 dst=64.221.8.50:80
Internet
SYN SEQ=5324761 ACK=1 src=64.221.8.50:80 dst=1.2.3.4:5
Vtima 64.221.8.50
1. src=1.2.3.4:5 SEQ=1 2. src=1.2.3.4:6 SEQ=1 3. src=1.2.3.4:7 SEQ=1 ...
Ameaas e Vulnerabilidades
Smurf e Fraggle
Consistem em ataques de flood distribudo. Utilizam broadcasting em redes inteiras para amplificar seus efeitos. Utilizam o endereo IP da vtima como endereo de origem dos pacotes (IP Spoofing). Protocolo utilizado: Smurf ! ICMP (ping) Fraggle ! UDP (echo)
Ameaas e Vulnerabilidades
Smurf e Fraggle
Internet
Atacante 200.131.10.20 Vtima 200.221.8.50 icmp echo request src: 200.221.8.50 dst: 143.106.10.255 143.106.7.8 Roteador 143.106.10.1 143.106.10.0/24
Etapa 1:
...
143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254
Ameaas e Vulnerabilidades
Smurf e Fraggle
Internet
Atacante 200.131.10.20 Vtima 200.221.8.50
Etapa 2:
143.106.7.8 Roteador 143.106.10.1 143.106.10.0/24
...
143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254
Ameaas e Vulnerabilidades
Smurf e Fraggle
Internet
Atacante 200.131.10.20 Vtima 200.221.8.50
Resultado:
143.106.7.8 Roteador 143.106.10.1 143.106.10.0/24
...
143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254
Ameaas e Vulnerabilidades
Teardrop
Se aproveita de uma falha na implementao das rotinas de remontagem de pacotes. Consiste em enviar um pacote com um tamanho invlido ! o sistema obtm um n negativo ao calcular o offset. Resulta em crash do sistema. Consiste em conectar uma porta de um sistema a ela mesma. Causa o travamento do sistema em diversas plataformas.
Land Attack
Ameaas e Vulnerabilidades
Ping of Death
Consiste em enviar um pacote de ICMP echo request (ping) com mais de 65.507 bytes de dados. Tamanho mximo de um datagrama IP = 65.535 (216-1) bytes (RFC 791) Datagrama cabealho IP cabealho ICMP = 65.535 20 8 = 65.507 bytes de dados. Implementaes do ping no permitem a emisso de datagramas invlidos, exceto Windows 95 e NT. Resulta em reboot, panic ou travamentos.
Ameaas e Vulnerabilidades
Ferramentas:
Fapi (1998) Blitznet Trin00 (jun/99)* TFN (ago/99)* Stacheldraht(set/99)* Shaft TFN2K(dez/99)* Trank Trin00 win version
Ameaas e Vulnerabilidades
Etapas:
1. 2. 3.
Intruso em massa Instalao do software DDoS Disparo do ataque IP Spoofing SYN Flooding Pacotes decoy Execuo de comandos remotos Fragmentao de pacotes Criptografia na comunicao entre o atacante e os masters
Tcnicas utilizadas:
Ameaas e Vulnerabilidades
Personagens
Atacante
Masters
Agentes
Vtima
Ameaas e Vulnerabilidades
Tcnicas:
Ameaas e Vulnerabilidades
Crackers de senha
Utilizam o mesmo algoritmo usado para cifrar as senhas. Realizam anlise comparativa. Ataque de dicionrio; Ataque de fora bruta; Ambos. Podem ser executados de forma distribuda.
Tcnicas:
! ! !
Desempenho:
!
Ameaas e Vulnerabilidades
Buffer overflow
Idia bsica:
Ameaas e Vulnerabilidades
Buffer overflow
Visa prover uma quantidade de dados maior do que a memria do programa/servidor pode suportar. Provoca um desvio no curso de execuo do programa vulnervel.
Ameaas e Vulnerabilidades
$mail_to = &get_name_from_input; #pegue o e-mail do formulrio open (MAIL, | /usr/lib/sendmail $mail_to); print MAIL To: $mail_to\nFrom: me\n\nHi there!\n; close MAIL;
Se $mail_to for igual a joao@uol.com.br; cat /etc/passwd, o comando executado ser: /usr/lib/sendmail joao@uol.com.br; cat /etc/passwd
que alm de enviar o e-mail pretendido, exibe uma cpia do arquivo de senhas do unix.
Ameaas e Vulnerabilidades
Exploits
Normalmente possuem man pages e podem ser facilmente obtidos na Internet. Permite a qualquer leigo se tornar um hacker (Script Kiddies).
Ameaas e Vulnerabilidades
Ameaas e Vulnerabilidades
Ameaas e Vulnerabilidades
Ameaas e Vulnerabilidades
Programa que se anexa aos arquivos na mquina alvo e realiza alguma ao indesejada. Se diferem dos vrus por se espalharem automaticamente, sem necessidade de interao com o usurio. Qualquer programa legtimo que tenha sido alterado com a insero de cdigo no autorizado e que realiza uma funo oculta e indesejvel.
Worms
Ameaas e Vulnerabilidades
Tcnicas avanadas de contgio, via e-mail e compartilhamento. Possui um servidor de e-mail prprio. Subject aleatrio, pego de arquivos do computador da vtima.
CodeRed
Buffer overflow do Internet Information Service (IIS). Checa a data da vtima e gera uma lista aleatria de endereos IP para contgio. 1 a 19 de cada ms: fase de infestao. 20 a 28 de cada ms: atacar o site da Casa Branca.
Ameaas e Vulnerabilidades
Bug do IIS E-mail, via Automatic Execution of Embedded MIME Types JavaScript Compartilhamento
Klez
Desabilita o anti-vrus. No preciso abrir o e-mail para o contgio. Faz o spoofing de sua origem. Servidor de e-mail prprio.
Ameaas e Vulnerabilidades
Conjunto de ferramentas que o atacante instala no host vtima para ocultar sua presena e facilitar futuros acessos.
Backdoors
Programas que permitem acesso ao atacante por meio de portas desconhecidamente abertas no host vtima.
Mecanismos de Segurana
Firewalls IDS (Intrusion Detection System) Criptografia
Mecanismos de Segurana
Firewalls
!
Definio:
Componentes:
Packet-filter ( Static / Dynamic / Stateful) Proxy (Application-level / Circuit-level) NAT (Network Address Translation) VPN (Virtual Private Network)
Mecanismos de Segurana
Firewalls
!
Packet-filter
Mecanismos de Segurana
Firewalls
!
Proxy
Mecanismos de Segurana
Firewalls
!
Realiza a converso de endereos IP (RFC 1631) Criado para solucionar o problema de escassez de endereos IPv4. Rede interna ! endereos privados (RFC 1918):
#10.0.0.0
143.106.7.8
NAT
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
10.1.1.6
Mecanismos de Segurana
Firewalls
!
Rede privada construda sobre a infra-estrutura de uma rede pblica, normalmente a Internet.
Mecanismos de Segurana
Definio:
Host-based Intrusion Detection System (HIDS) Network-based Intrusion Detection System (NIDS) Hybrid Intrusion Detection System (Hybrid IDS)
Sistemas com a exclusiva finalidade de colher informaes relativas a invases e assinaturas de ataques.
Honeypots
!
Mecanismos de Segurana
Criptografia
!
Definio:
Mecanismos de Segurana
Criptografia
!
Visa garantir:
Privacidade - garantia de que a mensagem no ser entendida por um intruso. Integridade - garantia de que a mensagem no foi modificada por um eventual intruso ativo. Autenticidade - garantia de que o emissor da mensagem realmente quem diz ser. SSL SSH IPSec
Referncias
Referncias
Livros
! ! ! ! ! !
Simson Garfinkel and Gene Spafford Richard Stevens Brent Chapman Bill Cheswick and Steve Bellovin Bruce Schneier Emlio Tissato Nakamura e Paulo Lcio de Geus
Applied Cryptography
Referncias
Links
! ! ! ! ! ! ! !