Você está na página 1de 53

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

Fundamentos de Sistemas de Segurana da Informao


Instrutor: Andr Sarmento Barbosa Coordenador: Lus Felipe M. de Moraes Ateno: No permitida a reproduo desta apostila, ou qualquer parte da mesma, sem o consentimento do autor. Esta apostila individual e parte integrante do Treinamento em Sistemas de Segurana da informao. Aluno: ______________________________________________________

ndice e Planejamento das aulas 1a aula: 1. Introduo: 1.1 Motivao; 1.2 Jargo de Segurana; 1.3 Necessidade de uma infraestrutura de segurana; 1.4 Conceitos Bsicos; 2. Oportunidades e Riscos: 2.1 Vulnerabilidades; 2.2 Comrcio Eletrnico; 2.3 Conhecendo o inimigo; 2.4 Segurana de acesso e de dados; 2.5 Itens importantes para a segurana; 2a aula: 3. As ameaas: 3.1 Problemas mais comuns; 3.2 Script Kiddies; 3.3 Engenharia Social; 3.4 Vrus, Worms e Trojans; 3.5 Ataques de Negao de Servio (DoS e DDoS); 4. Metodologia dos ataques: 4.1 Footprinting Coletando informaes do alvo; 4.2 Varredura; 4.3 Enumerao; 4.4 Ferramentas utilizadas por hackers;

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


4.5 3a aula: 5. Contramedidas: 5.1 Contramedidas Bsicas; 5.2 Segurana no nvel do cliente; 5.3 Configurao segura de servios; 5.4 Resposta a ataques e problemas de segurana; 6. Ferramentas de Segurana: 6.1 Controle de acesso; 6.2 Criptografia; 6.3 Firewalls e IDS; 6.4 Scanners; 6.5 Sniffers; 6.6 Password Crackers; 6.7 Logs e Auditoria; 4a aula: 7. Firewalls: 7.1 Tipos de Firewall; 7.2 Arquiteturas; 7.3 Fabricantes; 7.4 Testando a segurana de um firewall (penetration test) 8. Sistemas 8.1 8.2 8.3 5a aula: 9. Tecnologias avanadas de segurana: 9.1 Secure Sockets Layer (SSL); 9.2 IP seguro (IPsec) e Redes Virtuais Privadas (VPNs); 9.3 Certificados Digitais; 10.Gerncia 10.1 10.2 10.3 de Segurana Plano de Segurana; Anlise de ameaa e Anlise de Risco; Normas de Segurana; de Deteco de Intruso (IDS): Tipos de IDS; Fabricantes; Testando o Sistema de deteco de intruso. Exploits e BufferOveflow;

Apndice A Glossrio de Segurana

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL 1. Introduo:


1.1 utilizaes eram como meios de comunicao (usando euniversidades e por empregados em algumas empresas

para

compartilhar

Mas agora, milhes de corporaes, empresas, instituies e usurios domsticos esto usando a Internet para fazer transaes bancrias, comrcio eletrnico, etc. Portanto, segurana hoje, um problema potencialmente crtico. Ns iremos discutir segurana de redes de vrios ngulos diferentes, falaremos sobre ameaas, contramedidas, ferramentas, algoritmos, protocolos e gerncia de segurana, a fim de tornar os sistemas e a redes mais seguros. 1.2 Jargo de Segurana

Primeiramente, necessrio aprender o jargo utilizado na rea de segurana de redes e sistemas. Muitas, seno todas as palavras definidas abaixo sero utilizadas no decorrer deste curso, um glossrio pode ser encontrado no Apndice A. Ataque: Evento que pode comprometer a segurana de um sistema ou uma rede. Um ataque pode ter ou no sucesso. Um ataque com sucesso caracteriza uma invaso. Um ataque tambm pode ser caracterizado por uma ao que tenha um efeito negativo, Ex: DoS. Autenticao: o processo de se confirmar a identidade de um usurio ou um host, esta pode ser feita na camada de aplicao (atravs de uma senha), ou mais complexa, no esquema desafio-resposta (utilizando algoritmos especficos). Back door: um programa escondido, deixado por um intruso, o qual permite futuro acesso mquina alvo. Este termo um sinnimo para um termo mais antigo: trap door. Bug Uma falha, ou fraqueza num programa de computador. Veja vulnerabilidade. Cavalo de Tria

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Uma aplicao ou cdigo que, sem o conhecimento do usurio realiza alguma tarefa que compromete a segurana de um sistema, em geral, esta aplicao se apresenta ao usurio de forma rotineira e legtima, Ex.: um simples jogo que contm cdigo malicioso que envia os dados do usurio para um e-mail especfico. CERT The Computer Emergency Response Team Uma organizao dedicada a segurana, seu propsito dar assistncia redes que foram invadidas ou esto sob ataque. Eles podem ser encontrados em http://www.cert.org Certificao Existem duas definies para este termo. Primeira, certificao pode se referir para o resultado de uma avaliao com sucesso Crack Programa utilizado para quebrar licenas de outros programas. Tambm pode se referir a programas utilizados para quebrar senhas. Cracker Indivduo com conhecimentos elevados de computao e segurana, que os utiliza para fins criminosos, destruio de dados ou interrupo de sistemas. Tambm pode se referir a programas utilizados para quebrar senhas (Ex. Password Cracker). Engenharia Social Tcnica utilizada por hackers e crackers para obter informaes interagindo diretamente com as pessoas. Exploit Programas utilizados por hackers e crackers para explorar vulnerabilidades em determinados sistemas, conseguindo assim, acessos com maior privilgio. Firewall Equipamento e/ou software utilizado para controlar as conexes (que entram ou saem) de uma rede. Eles podem simplesmente filtrar os pacotes baseados em regras simples, como tambm fornecer outras funes tais como: NAT, proxy, etc. Flood Sobrecarga (em geral, de pacotes) causada por eventos no esperados que causam lentido da rede.

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Hacker Indivduo com conhecimentos elevados de computao e segurana, que os utiliza para fins de diverso, interesse, emoo. Em geral, hackers no destroem dados, possuem um cdigo de tica e no buscam ganhos financeiros. O termo hacker atualmente adotado pela mdia de forma indiscriminada, se referindo a crackers por exemplo. Hacking o ato de hackear sistemas, no no sentido nico de invadir, mas principalmente de descobrir como funcionam, e se possuem falhas. Hijacking o assalto de uma sesso, geralmente TCP/IP. O assalto de sesso uma forma de obter o controle de uma conexo iniciada por um usurio legtimo. Ao interceptar esta conexo o hacker pode impedir o usurio legtimo de usar o sistema e tomar o seu lugar. Hole Um bug ou uma vulnerabilidade. Intrusion Detection System -IDS um Sistema de Deteco de Intruso, um software responsvel por monitorar uma rede ou sistema e alertar sobre possveis invases. Invaso Caracteriza um ataque bem sucedido. Lammer uma palavra que os hackers utilizam para identificar os ndividuos que se acham hackers, mas esto ainda no estgio inicial de aprendizado. Phreaking So os hackers de telefonia, convencional ou celular. Scanner Ferramenta utilizada por hackers ou especialistas em segurana que serve para varrer uma mquina ou uma rede, em busca de portas abertas, informaes ou servios vulnerveis.

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Script Kiddie o indivduo que saiu do estgio de lammer mas que s sabe usar as receitas de bolo, programas prontos e ainda no entende muito bem o que est fazendo. Sniffer Ferramenta utilizada por hackers e especialistas em segurana e de rede que serve para monitorar e gravar pacotes que trafegam pela rede, dependendo do sniffer, possvel analisar vrios dados dos pacotes, analisar protocolos, ver dados especficos da camada de aplicao, senhas, etc. Spoofing uma forma de manter uma conexo com uma mquina se fazendo passar por outra na qual ela confie. Um termo muito utilizado o IP Spoofing, que significa o uso de vulnerabilidades do Protocolo TCP/IP que permitem a ao descrita acima. Trojan, Trojan Horse So os cavalos de tria, programas que so entregues para o usurio de forma legtima (muitas vezes podem ser coisas interessantes como joguinhos, cartes virtuais, etc.), mas que internamente realizam aes maliciosas, tais como: gravar senhas, gravar toques de tecla, e posteriormente armazenar estas informaes ou enviar para outra pessoa. Vrus So cdigos ou programas que infectam outros programas e se multiplicam, na maioria das vezes podem causar danos aos sistemas infectados. Vulnerabilidade Estado de um componente de um sistema que compromete a segurana de todo o sistema, uma vulnerabilidade existe sempre, at que seja corrigida, existem vulnerabilidades que so intrnsecas ao sistema. Um ataque explora uma vulnerabilidade. Warez Nome utilizado por hackers para se referir a pirataria de software. Worm Um worm semelhante a um vrus, mas difere pelo fato de no necessitar de um programa especfico para se infectar e reproduzir. Muitos vrus hoje, possuem a caracterstica de worms e vice e versa.

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


1.3 Necessidade de uma infraestrutura de segurana

As vulnerabilidades existem, os ataques tambm existem e crescem a cada dia, tanto em quantidade quanto em qualidade. Uma infraestrutura de segurana no s necessria como obrigatria, devendo existir, alm de um investimento especfico, um planejamento, uma gerncia e uma metodologia bem definida. importante lembrar que os seres humanos so o elo mais fraco dessa corrente. Voc pode ter os mais perfeitos produtos de segurana, mas eles no sero nada se voc no tiver conscincia que eles sero gerenciados e utilizados por pessoas, isto nos faz refletir sobre a necessidade de uma infraestrutura de segurana e forma de como mont-la. A modelagem de ameaa a primeira etapa em qualquer soluo de segurana. Quais so as ameaas reais contra o sistema? Se voc no souber disso, como saber quais tipos de contramedidas ir empregar? A modelagem de ameaa algo difcil de ser feito, ela envolve pensar sobre um sistema e imaginar o vasto panorama de vulnerabilidade. Avaliao de Risco: No suficiente apenas listar um punhado de ameaas, voc precisa saber o quanto deve se preocupar com cada uma delas. Ao projetar um sistema de segurana, vital fazer esse tipo de modelagem de ameaa e avaliao de risco. Muitos projetistas de sistemas pensam no projeto de segurana como um livro de receitas: misture contramedidas especficas criptografia e firewalls so bons exemplos e magicamente voc estar seguro, isso nunca acontece! No entraremos em detalhes nesta etapa inicial, vamos comear conhecendo as vulnerabilidades e depois nossos inimigos, ento conheceremos as ferramentas de defesa e as tecnologias, depois disso sim, teremos uma noo bem melhor de como devemos nos proteger e elaborar um projeto de segurana. 1.4 Conceitos Bsicos

Nesta seo abordaremos alguns conceitos que no so simplesmente definies de termos, so pilares de um sistema seguro, sendo que alguns esto intimamente ligados ao estudo da criptografia, so eles:

Privacidade Integridade Autenticao No-repdio Disponibilidade

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


A criptografia a arte de guardar mensagens seguras, ou transmiti-las de forma segura, isto garante a privacidade. A criptografia tambm pode trazer outros benefcios segurana, tais como: Integridade: Deve ser possvel ao receptor de uma mensagem verificar se esta foi alterada durante o trnsito. Autenticao: Deve ser possvel ao receptor de uma mensagem, verificar corretamente sua origem, um intruso no pode se fazer passar (personificar) o remetente desta mensagem. No-repdio ou irrevogabilidade: O remetente de uma mensagem no deve ser capaz de negar que enviou a mensagem. A disponibilidade se refere ao sistema estar sempre pronto a responder requisies de usurios legtimos, isto envolve o uso de sistemas redundantes, no-breaks e mecanismos contra ataques de Denial of Service.

2. Oportunidades e Riscos:
2.1 Vulnerabilidades

Oportunidades so o que no faltam na vasta gama de servios disponveis hoje na Internet. A comear pelo nmero de usurios que temos na Internet, o qual praticamente impossvel de se mensurar, e ainda pelo fato dela ser a maior compradora e vendedora do mundo. Ela tambm tem o potencial para ser a maior projetista, a maior desenvolvedora, a maior fabricante e a maior distribuidora. Vamos iniciar citando algumas vulnerabilidades que so semelhantes ao mundo novirtual (fora da Internet): Pornografia, jogos de azar, falta de privacidade e assdio sexual, so apenas algumas. As ameaas especficas da Internet seriam os vrus, worms, trojans e o hacker de computador. Sem dvida o tipo de ameaa mais comentada o hacker de computador. No s pelo carter interessante do fato, mas tambm pela quantidade de problemas que um hacker mal intencionado (cracker) pode causar. Dentre as coisas terrveis que podem acontecer podemos apontar: Suas senhas podero ser roubadas e sua conta modificada; Suas linhas de comunicao podem ser grampeadas e informaes secretas de sua empresa podero ser comprometidas; Sua rede poder ser inundada de informaes e entrar em colapso; Sua propriedade intelectual poder se roubada; Voc poder estar violando controles de exportao de tecnologia; Seus funcionrios podero ser pegos transportando pornografia; Suas finanas podero ser alteradas; Pode haver falsificao de dinheiro; Algum poder se passar por voc e efetuar transaes financeiras em seu nome;

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Os pontos vulnerveis descritos anteriormente decorrem de fatores mais tcnicos que dependendo do caso podem ser extremamente complexos. Os hackers conhecem estes fatores e sua complexidade, ns, que desejamos proteger nossas redes tambm temos que conhecer tanto quanto eles, e por isso, temos que entender as vulnerabilidades do ponto de vista tcnico. Quando uma vulnerabilidade divulgada, isto , algum a descobriu e a divulgou, o descobridor ir pertencer a um destes trs grupos: Hackers Crackers Fabricantes de software ou hardware Como estar informado sobre tecnicamente sobre as vulnerabilidades? Esta uma pergunta muito fcil: Pela prpria Internet. Assine listas de discusso especficas e visite sites de segurana todos o dias, Algumas Listas de discusso: BUGTRAQ (pertence a SecurityFocus). BOS-BR (Brasileira, pertence a Securenet) Alguns Sites: http://www.securityfocus.com http://packetstorm.securify.com http://ciac.llnl.gov http://www.lockabit.coppe.ufrj.br http://www.securenet.com.br Uma lista bem grande de sites de segurana pode ser encontrada na seo de links do portal Lockabit da COPPE/UFRJ. importante verificar tambm continuamente os sites dos fabricantes dos softwares que sua empresa utiliza, normalmente eles possuem uma seo dedicada a segurana. 2.2 Comrcio Eletrnico

O comrcio eletrnico, a compra e venda de mercadorias e servios atravs de um meio eletrnico, esta ser uma das mais importantes maneiras de se fazer negcio no futuro. Nos ltimos tempos, porm, o progresso tem sido mais lento devido a falta de mecanismos seguros para efetuar pagamentos eletronicamente na Internet. Mesmo com tecnologias j amadurecidas, ainda temos problemas com o fator humano que nega a confiar em tais tecnologias. As pessoas acham que esto mais seguras

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


usando o carto de crdito numa loja onde o atendente leva seu carto e volta minutos depois do que na Internet. s vezes essas pessoas esto erradas. Como pesquisar solues para comrcio eletrnico. Enquanto estiver analisando protocolos e tecnologias de pagamento, essencial manter-se atualizado, recorra prpria Internet para obter as informaes mais recentes. Tambm recomendamos que sua empresa ou organizao faa parte de grupos de trabalho para padronizao de tecnologias. Se a participao direta no for possvel, pelo menos mantenha-se a par dos novos desenvolvimentos. A maioria destes grupos possui sites e/ou grupos de discusso dos quais voc pode participar. Ex: 2.3 IETF (Internet Engineering Task Force) Comits ANSI do NIST W3C (World Wide Web Consortium) CommerceNet FSTC (Financial Services Technology Consortium) Smart Card Forum Conhecendo o inimigo

Muitos problemas de segurana so causados por pessoas maliciosas tentando ganhar algum tipo de benefcio, seja ele monetrio, poltico, intelectual, etc. Vamos considerar a seguinte tabela que mostra alguns adversrios que um profissional em segurana ter que enfrentar: Adversrios Estudante Hacker Cracker Homens de negcios Ex-empregado Espio Terrorista Objetivos Divertir-se vasculhando emails, roubando senhas, etc. Testar a segurana de sistemas, roubar informaes Descobrir planos e estratgias de marketing do concorrente Vingar-se por ter sido despedido Conhecer a tecnologia do inimigo Roubar e utilizar segredos polticos

Tabela 1 adversrios, atacantes. Outro problema grave a quantidade de informaes existente na Internet hoje abordando falhas de segurana e tcnicas de invaso. Muitos manuais e ferramentas esto disponveis, distribudas por grupos de hackers e at por organizaes dedicadas a segurana.

Treinamento em Segurana de Redes

10

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

Alguns sites de grupos de hackers: http://www.ussrback.org http://www.destroy.net http://www.insecure.org http://www.hackershomepage.com http://www.hackerslab.com http://packetstorm.securify.com http://www.rootshell.com http://www.securityportal.com http://www.technotronic.com http://unsekurity.virtualave.net http://www.phrack.com http://www.bufferoverflow.org 2.4 Segurana de acesso e de dados

A distino entre estes dois tipos de segurana muito importante. Temos que ter em mente que um hacker mal intencionado ir descobrir falhas ou usar de qualquer artifcio para conseguir quebrar um ou o outro tipo, e ele quebrar uma das duas, conseqentemente quebrar as duas! necessrio trancar bem a periferia de sua rede ou sistema, mas para fazer voc tem que conhece la bem, saber que tipos de dados trafegam e onde voc ter que apl

Que voc nunca estar 100% seguro (e isso verdade) Em aprender a pensar como um hacker Em usar criptografia e Em usar senhas fortes e jamais informar uma senha ou detalhes do seu sistema Desconfiar de tudo (e de todos) 2.5 aquele que tem as melhores e mais caras ferramentas de segurana. As ferramentas esto entre um dos itens importantes, mas esto longe de serem as nicas necessrias. Itens importantes para a segurana:

Treinamento em Segurana de Redes

11

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Investimento Plano de Segurana Pessoal qualificado Interao na organizao e entre fornecedor e cliente Ferramentas de segurana

3. As ameaas:
3.1 Problemas mais comuns

As razes dos problemas de segurana: M configurao dos hosts; Falhas inerentes dos sistemas; Deficincia na reposta dos fabricantes; Pobre educao em segurana;

3.1.1 M configurao dos hosts A m configurao pode ocorrer devido aos problemas em especial: o o o Configurao default do sistema deixa muito a desejar em segurana; Instalao de um sistema sem um mnimo de preocupao com a instalao default: Ex.: Daemons do UNIX, Registros do NT. Instalao e/ou habilitao de servios de forma indiscriminada

3.1.2 Falhas inerentes dos sistemas Nestes casos, a culpa colocada sempre nos fabricantes, porqu seus sistemas possuem vulnerabilidade e falhas, quando no deveriam ter. Bem, acontece que bugs so to naturais em softwares quanto doenas so em ns, seres humanos. Os bugs, falhas, e vulnerabilidades sempre iro existir, ento, cabe a ns, nos manter atualizados quanto ao lanamento de correes, patches, updates etc. 3.1.3 Deficincia na reposta dos fabricantes Este sim, um problema causado pelo fabricante, quando este deixa de manter um controle de qualidade de seu software, e o que pior, no alerta os usurios e nem lana correes para tais problemas. Portanto, antes de adquirir um software, verifique, alm de sua funcionalidade, se existe uma rea de suporte ativa que cuide das atualizaes e tenha preocupao com a segurana do produto. 3.1.4 Pobre educao em segurana um dos primeiros problemas que devem ser atacados na implementao de um plano de segurana. De nada adianta termos os melhores profissionais na administrao, os melhores produtos, se nossos funcionrios no esto cientes da real necessidade de segurana, e como se deve proceder. No que seja necessrio deixar

Treinamento em Segurana de Redes

12

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade

RAVEL

para no cometer erros que possam comprometer a segurana de todo o sistema. 3.2 Script Kiddies fcil. Eles no procuram por maneira mais fcil possvel. Eles fazem isto utilizando um pequeno nmero de , ento eles procuram pela Internet inteira, at que conseguem mquina que seja vulnervel (cedo ou tarde isto certamente acontecer). deixam para trs as sofisticadas. Alguns, no tem a mnima idia do que o fazendo. Embora o nvel tcnico deles possa ser diferente, todos eles usam uma posteriormente eles possam explorar estas falhas. uma ameaa. Cedo ou tarde evitar isto. seu favor. Com milhes de sistema poderia encontrar voc facilmente. Mas este no o caso. Muitas das ferramentas so us las. O rpido crescimento do nmero de ferramentas alarmante. Como a Internet no tem fronteiras geogrficas, esta nmeros est se voltando contra ns. Com o nmero crescente de usurios rede, no mais uma questo de "Se" mas sim de "Quando" voc ser testado ou Este um excelente exemplo de como a "segurana por obscuridade" pode falhar. . escane lo?. So estes sistemas que os esto procurando, pois um

Os hackers mais eles invadem o sistema. As Backdoors permitem acesso fcil e "furtivo" ao sistema, no apareceria em qualquer ele constri uma "casa" confortvel e segura, onde ele pode escanear a Internet Estes ataques no so limitados a uma certa hora do dia. Muitos administradores os seus logs por testes ou que possam ter ocorrido tarde da

Treinamento em Segurana de Redes

13

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


a qualquer hora do dia. Eles tambm podem ficar escaneando 24 horas por dia. Voc no pode ter idia de quando o scan ocorrer. Pois estes ataques so lanados de qualquer lugar do mundo, e, assim como a Internet no tem fronteiras geogrficas, tambm no existe um tempo fixo. O hacker pode lanar um ataque a meia noite no pas dele, mas para voc, aqui no Brasil podem ser 3 horas da tarde. Uma maneira de voc se proteger executar somente os servios que so necessrios. Se voc no precisa de um servio, desligue-o. Se voc precisa do servio, ento verifique se voc possui a ltima verso ou se voc tem todos os patches/fixes instalados. Os servidores DNS so muito usados para construir bases de dados dos sistemas que podem ser testados/escaneados. Limite os sistemas que podem fazer a transferncia de zona dos seus Servidores de DNS. altamente recomendado atualizar para a ltima verso do BIND, que voc pode encontrar em http://www.isc.org/bind.html. E por ltimo, observe se os seus sistemas sofrem ataques de scanning. O script kiddie uma ameaa a todos os sistemas, eles no tm nenhum preconceito, escaneiam qualquer sistema, em qualquer lugar do mundo, independente do valor do sistema. Cedo ou tarde seu sistema ser testado/escaneado. 3.3 Engenharia Social

Existe algum mtodo mais rpido e eficiente de se descobrir uma senha? Que tal simplesmente perguntar? Por mais extraordinrio que possa parecer, o mtodo mais simples, mais usado e talvez mais eficiente de se recolher informaes simplesmente chegar e perguntar. Voc tambm poderia subornar, mas dependendo da situao, isto pode lhe custar muito caro, ento porqu no tentar enganar e obter tais informaes? De fato, este mtodo bastante utilizado, e existem hackers que sabem us-lo com grande destreza, um exemplo o famoso hacker Kevin Mitnick que era um expert em fazer tais vigarices. Essa ttica de ataque conhecida como Engenharia Social. Basicamente, esta a arte de fazer com que outras pessoas concordem com voc e atendam aos seus pedidos ou desejos, mesmo que voc no tenha autoridade para tal. Popularmente, pode-se dizer que engenharia social simplesmente a arte de se contar uma mentira bastante convincente. Dentro da rea de segurana podemos definir engenharia social como a aquisio de informaes preciosas ou privilgios de acesso por algum de fora, baseado em uma relao de confiana estabelecida, inapropriadamente, com algum de dentro. Profissionais utilizam este tipo de aproximao para adquirir informaes confidenciais, como organogramas de organizaes, nmeros de cartes de crdito e telefone, senhas de acesso, diagrama da rede, etc. com o objetivo de avaliar as vulnerabilidades de uma organizao para futuros ataques.

Treinamento em Segurana de Redes

14

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Geralmente este tipo de aproximao envolve muito mais do que simples raciocnio rpido e uma variedade de frases na ponta da lngua. Engenharia social pode envolver muito trabalho de aquisio de informao antes de uma real ao de qualquer tipo. Para se iniciar um ataque, a maior parte do trabalho est na preparao, muito mais que no prprio ataque. Dizem que o nico computador totalmente seguro aquele desligado da tomada. A arte da engenharia social concentra-se no elo mais fraco da corrente da segurana de computadores: os seres humanos. O simples fato de que se pode facilmente convencer uma pessoa a ligar o computador, torna vulnervel, at mesmo, os computadores desligados. Na medida em que a parte humana de um sistema de segurana a mais essencial, no existe computador na face da Terra que no necessite de seres humanos. Isso significa que essa uma fraqueza universal, independente de plataforma, software, tipo de conexo de rede ou idade do equipamento. Qualquer pessoa com acesso qualquer parte do sistema, fsica ou remota, pode ser uma falha de segurana em potencial. Qualquer informao adquirida pode ser utilizada para um outro ataque de engenharia social. Isso significa que qualquer pessoa, mesmo que no seja considerada integrante da poltica de segurana pode servir como uma porta de entrada. O primeiro mtodo tambm o mais bvio. Um pedido simples e direto, onde se solicita ao indivduo alvo que se execute uma determinada tarefa. Embora este mtodo seja o menos provvel a trazer um resultado positivo, com certeza o mais simples, onde o indivduo sabe exatamente o que voc quer que ele faa. O segundo criar uma situao onde o indivduo apenas uma parte dela. Com muito mais fatores que um simples pedido, o indivduo preocupado estar bem mais predisposto a ser persuadido. Isso no significa que as situaes propostas devam ser fictcias. Quanto menos voc faltar com a verdade melhor. Isso requer muito mais trabalho por parte de quem faz o ataque e com certeza envolve um recolhimento de informao e conhecimento prvio do alvo. Se a situao proposta, real ou imaginria possuir certas caractersticas, o indivduo alvo estar mais propenso a concordar com o seu pedido. Estas caractersticas incluem: Difuso da responsabilidade. Fazer com que o alvo acredite que ele no o nico responsvel por suas aes e pelas informaes que ele possa divulgar. Mantenha a responsabilidade longe do alvo. Troca de favores. Permitir que o alvo acredite que esta prestando um favor a voc e que voc extremamente grato. As pessoas geralmente mostram-se mais dispostas a cooperar quando acreditam que podero obter alguma vantagem no futuro, como se voc ou o chefe ficassem devendo um favor.

Treinamento em Segurana de Redes

15

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Dever moral. quando o alvo coopera, pois acha que a coisa certa a fazer. seu dever moral. Parte disso culpa. As pessoas procuram evitar o sentimento de culpa e faro o possvel para evitar esse sentimento. Procure escolher seu alvo levando em considerao seu envolvimento (veremos mais frente no texto), sua experincia e tempo de trabalho junto ao sistema alvo. Alunos, estagirios, secretarias e profissionais iniciantes mostram-se sempre mais dispostos a cooperar. Isto se deve ao fato de que estes indivduos possuem ainda pouco conhecimento e pouca experincia a respeito do sistema alvo e desejam mostrar-se teis. Eles querem mostrar servio. Quanto menos conflito com o alvo melhor. muito mais fcil ganhar a confiana do alvo sendo gentil. Utilizar um tom de voz calmo (se ao telefone) e ser gentil, um bom comeo para que o alvo coopere. Como uma atque de engenharia social pode revelar muitas informaes, como se pode tornar um sistema de computadores mais seguro? A resposta educao e difuso da informao, explicando aos empregados e pessoas ligadas direta ou indiretamente ao sistema a importncia de uma poltica de segurana, evitando assim o ataque de pessoas que podero tentar manipul-los para ganhar acesso a informaes privadas. Isto j um excelente comeo para tornar segura sua rede ou sistema. 3.4 Vrus, Worms e Trojans

Todos os anos, os vrus causam muitos prejuzos ao redor do mundo. A internet o meio ideal para transmisso destas "pestes virtuais". Na dcada de oitenta, por exemplo, para conseguirmos transmitir um vrus tnhamos poucos recursos. O mais usado era transmiti-los de mquina em mquina atravs de disquetes, o que tornava a contaminao bastante lenta. Atualmente as coisas so bem diferentes, atravs da internet a contaminao muito mais rpida e atinge facilmente nvel mundial. Alm disso, surgiram conceitos novos como vrus de macro, worms e trojans. Estaremos abordando os vrus e suas variantes no ambiente Windows. Existem vrus nos ambientes UNIX, mas a proporo infinitamente menor. Alm disso, os conceitos abordados aqui se aplicam em ambos os casos. A seguir, um pequeno esclarecimento sobre as diferenas entre os vrios invasores que podem vir a nos incomodar: VRUS - So pequenos programas que, como os vrus biolgicos, tm a propriedade de se juntar a outros arquivos, alterar seu funcionamento normal e reproduzir (fazer cpias de si), contaminando outros arquivos. Em princpio um vrus poderia contaminar qualquer arquivo. No entanto, s faz sentido contaminar arquivos executveis, uma vez que estes so carregados e executados na memria. Por exemplo, vamos supor que um vrus contamine o COMMAND.COM, um arquivo executvel que carregado pelo computador toda vez que ns ligamos o micro. Desta forma, o programador que fez o vrus sabe

Treinamento em Segurana de Redes

16

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


que sua "criatura" sempre vai ser carregada na memria. J se fosse um arquivo de dados como, por exemplo, MYFILE.TXT, nada aconteceria, pois o micro em princpio no executa arquivos com extenso TXT. TROJAN - So Cavalos de Tria, assim como na histria, envia-se um falso presente para a vtima (geralmente por e-mail), que ingenuamente aceita e o executa. Assim o Trojan comea a fazer seu ataque se enviando por e-mail para outras pessoas de sua lista, como se fosse o usurio (esta est sendo um pratica cada vez mais comum tambm por parte dos vrus). Mas h uma diferena fundamental entre os Trojans e os Vrus: os primeiros no se reproduzem como os vrus. VRUS DE MACRO - Primeiro vamos esclarecer o que uma macro: Macro uma VBA - Visual Basic Application (linguagem script desenvolvida pela Microsoft), que interpretada pelo MS OFFICE (Word, Excel, Access, Power Point), ou seja, podemos fazer pequenos programas que nos ajudem a trabalhar no Office. Como por exemplo, criar um boto na barra de ferramentas do Word que permita abrir diretamente a calculadora do Windows. No entanto, nas mos erradas, se torna uma arma poderosa capaz de causar muitos prejuzos. Agora muito fcil entender que um Vrus de Macro nada mais que um programa escrito em VBA. No momento que abrimos um documento do Word contaminado, esta macro ativada, podendo apagar documentos importantes, por exemplo. WORMS - Os worms so programas que aproveitam falhas do sistema para se propagar, e se replicar. Ao contrrio dos Trojans, os Worms no contaminam arquivos. O primeiro Worm que se tem notcia foi criado por Robert Morris, em 1988. Este programa aproveitava uma falha do finger daemon do UNIX e do sendmail. Mas o worm de Morris tinha um bug que o fazia reinfectar mquinas j contaminadas. Isso provocou a queda de vrios computadores em varias instituies nos Estados Unidos. Atualmente est cada vez mais difcil classificar um programa malicioso em uma destas categorias, pois os "vrus" modernos esto usando cada vez mais tcnicas mistas de contaminao. No raro encontrar programas que usam tcnicas de worms para entrar no sistema, alterar as configuraes de segurana e infectar seu computador como se fosse um vrus de macro. Est se tornando cada vez mais comum encontrar vrus que usam arquivos de lote (.BAT) para se infiltrar no sistema. 3.4.1 Antivrus Os vrus acabaram por formar uma grande indstria de antivrus. Atualmente existem da McAfee. Todos os antivrus agem de forma semelhante. Existem dois mtodos bsicos usados para combater vrus. O primeiro consiste em manter nos antivrus de dados onde ficam registradas todas as assinaturas (parte do vrus que o caracteriza) de vrus conhecidos. Da a importncia de manter seu antivrus

Treinamento em Segurana de Redes

17

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


atualizado, pois a cada dia surgem centenas de novos vrus. Assim, quando scaneamos o sistema, na verdade o que estamos fazendo comparar cada arquivo nosso com a assinatura dos vrus registrados. A segunda forma de proteo conhecida como inoculao, que nada mais que a criao de um banco de dados contendo as principais informaes (tamanho, data de criao e data da ultima alterao) sobre os arquivos inoculados. Assim, cada vez que scaneamos o sistema o programa antivrus compara as informaes do banco de dados criado com as que esto no disco. Se houver alguma diferena emitido um alerta. Mas note que no qualquer arquivo que deve ser inoculado, uma vez que arquivos de dados sempre so alterados. Os arquivos executveis, DLLs e arquivos de sistema so exemplos de arquivos que devem ser inoculados, pois so as principais vtimas de vrus e no mudam seu contedo com freqncia. 3.4.2 Algumas Medidas de Segurana Nenhuma empresa est livre de ataques de vrus. Mas existem algumas medidas que ao menos podem diminuir o risco de contaminao. Em primeiro lugar muito importante que haja uma conscientizao por parte dos funcionrios sobre as normas de segurana. Este o primeiro passo para evitar problemas futuros. Nada adianta uma equipe super treinada em segurana se os funcionrios insistirem em baixar arquivos de origem duvidosa na Rede externa, ou inserirem discos inseguros nos micros. Um dos pontos mais importante do processo de conscientizao dos funcionrios a questo do e-mail, pois este o principal trampolim dos vrus atualmente. Algumas medidas simples podem evitar muita dor de cabea futura, tais como: No abrir e-mails de pessoas desconhecidas. No abrir arquivos executveis anexados a e-mails, mesmo que venham de pessoas conhecidas. No abrir documentos do Office contendo macros, se abrir, desabilitar as macros. No baixar programas de sites da internet. No usar disquetes de dentro da empresa em computadores de segurana duvidosa. Apesar de tudo, o ideal tambm ter uma equipe preparada para agir em caso de contaminao. Esta equipe deve se manter atualizada e no s tratar de contaminaes, mas tambm da segurana do site em geral. Algumas atribuies bsicas de uma equipe de segurana so: Manter o antivrus sempre atualizado. Fazer backups peridicos. Configurar os clientes de e-mail para no interpretarem HTML ou qualquer script. Configurar o Office para no executar macros sem permisso. Atualizar o Office periodicamente (cada dia que passa descobrem-se novas falhas, que podem ser exploradas).

Treinamento em Segurana de Redes

18

COPPE/UFRJ Laboratrio de Redes de Alta Velocidade

3.5 cao na internet baseada no fluxo de pacotes de dados. Mas o que acontece se uma mquina receber mais dados do que ela consegue lidar? ela possui uma quantidade enorme de informao para manipular e portanto, ficar -se o nome de DoS (Denial of Service, ou

aps o flood

ecebidos, ocorre a negao de servio.

O DoS tem sido usado por profissionais de segurana como ferramenta para avaliar a capacidade de sua rede. Por outro lado, do mundo todo tm trazido muitos problemas a pequenos e at grandes sites, como Yaho redes. O poder de sobrecarga desses ataques aumenta quando eles vm de vrias mquinas para um alvo, ou seja, o envio de pacotes parte de vrios pontos. Trata se do Distributed DoS (DDoS). 3.5.1 Como funciona o DDoS: A idia instalar programas para ataque DoS em diferentes hosts. Estes computador central, esses Zumbis comeam a enviar o mximo de pacotes ao alvo. Esta idia pode ser expandida no sentido d sendo que na primeira est o cracker na ltima camada as mquinas s quais iro enviar diretamente os pacotes que iro causar o na vtima. Mas antes de existirem ferramentas que automatizassem esse ataque, era necessrio usar para disparar o ataque. Usando telnet ou SSH, o hacker dispararia o comando para causar o na mquina vtima. Para isso, ele poderia usar, por exemplo, o ping do UNIX nos hosts. 3.5.2 Caractersticas do DDoS: No satisfeitos apenas com o flood para apagar os rastros do ataque e tornar o ataque ainda mais poderoso. Para deficincia no protocolo da internet. 3.4.3

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Vulnerabilidades do TCP/IP so a chave para o desenvolvimento de novos programas, cada vez mais poderosos nesses ataques. Uma delas, o Stream Attack, descoberta por Tim Yardley. Esta categoria de ataque funciona da seguinte maneira: na conexo, pacotes so enviados com os indicadores (flags) ACK e SYN ligados ou apenas o ACK ligado. Devido a estes flags no fazerem parte de uma primeira etapa da conexo, a mquina alvo ficar confusa e levar algum tempo para processar tais dados. Imagine ento o Stream Attack partindo de vrias hosts (modo distribudo), isto ocasionaria uma sobrecarga utilizando-se um menor nmero de hosts (Zumbis) que o DDoS padro. 3.5.4 Tipos de Ataques de DoS: Consumo de Largura de Banda - Neste tipo de ataque, existem pelo menos duas possibilidades: o O atacante possui uma largura de banda maior que a da vtima, o que facilita a inundao. o O atacante agrega outros computadores para que juntos, disparem o ataque, amplificando seu efeito e consumindo a largura de banda do computador vtima. Consumo dos Recursos - A idia aqui esgotar os recursos do sistema, tais como memria, cpu, quotas de disco, etc., o que pode ocasionar travamento dos processos, entupimento de discos, indisponibilizao de recursos. Ataques a Servidores de Nomes de Domnios (DNS) e a Roteadores - No caso do ataque baseado em roteamento, o atacante manipula a tabela de roteamento com a finalidade de negar servio a quem consult-la, explorando falhas dos protocolos de roteamento, como o Protocolo de Informaes de Roteamento (RIP) e o Protocolo de Gateway de Fronteira (BGP). Com isso, o atacante pode direcionar todo trfego para a mquina dele, ou mesmo para uma rede que no existe, o que chamamos de buraco negro. Assim como nos ataques baseados em roteamento, o ataque a DNS permite direcionar o trfego. Porm, esses ataques, em sua maioria, consistem em armazenar endereos falsos no cache do servidor da vtima. 3.5.5 Exemplos de Ataques DoS: SMURF - O ataque Smurf um dos mais temidos. Envolvendo vtima, atacante e uma rede auxiliar, funciona da seguinte maneira: so enviados pacotes ICMP echo a rede auxiliar. Porm, a origem desses pacotes falsificada como sendo o endereo da vtima e quando os pacotes chegam a rede auxiliar, eles sero multiplicados e, portanto, a vtima ser inundada com quantos pacotes forem ecoados na rede. SYN FLOOD - Para entendermos este ataque precisamos ver como funciona uma conexo TCP entre duas mquinas A e B, que realizada em 3 etapas. Primeiramente, a mquina A envia um pacote SYN. A mquina B ento responde com um outro pacote SYN/ACK que ao chegar a mquina A, reenvia um pacote ACK e ento a conexo estabelecida. A vulnerabilidade

Treinamento em Segurana de Redes

20

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


explorada que a maioria dos sistemas aloca uma quantidade finita de recursos para cada conexo potencial. Mesmo que um servidor seja capaz de atender muitas conexes concorrentes para uma porta especfica (Ex. porta 80), o que o atacante explora que apenas cerca de 10 conexes potenciais so tratveis. Iniciando o ataque, o cracker envia um pacote SYN com origem falsificada (buraco negro), o que deixar a vtima procurando por algum tempo (que varia de acordo com o sistema) a origem para enviar o pacote SYN/ACK. Sendo assim, esta possvel conexo fica alocada na fila, que bastante limitada. 3.5.6 Detectando e evitando: H dois tipos de trfego gerado por DDoS: trfego de controle (entre cliente e servidor) e trfego flood (entre servidor DDoS e a vtima). Para habilitar uma eficiente deteco deve-se procurar por sinais gerais (assinaturas), alguns bvios, outros pelo volume de trfego e que causam suspeita. Ainda no existe uma soluo para bloquear um ataque DoS/DDoS. O que se pode fazer tentar minimizar seu impacto, para fazer isso temos que primeiro identificar corretamente um ataque de DoS e depois criar solues para escoar o fluxo de pacotes, seja atravs de um firewall na fronteira ou algum esquema de alterao de endereamento IP ou DNS.

4. Metodologia dos ataques:


4.1 Footprinting Coletando informaes do alvo

Antes da diverso real do Hacker comear, trs passos especiais, e s vezes rduos, precisam ser executados. Falaremos agora sobre o primeiro: a aquisio de alvos, ou footprinting, a fina arte de coletar informaes do alvo. Por exemplo, quando um ladro decide roubar um banco ele no entra simplesmente no banco e comea a exigir o dinheiro (pelo menos, no os expertos). Em vez disso, eles fazem grandes esforos para obter informaes sobre o banco as rotas dos carros-fortes e horrios de entrega de dinheiro, as cmeras de vdeo, o nmero de caixas, etc. O mesmo se aplica a invasores bem-sucedidos. Eles precisam colher uma grande quantidade de informaes para executar um ataque cirrgico e bem direcionado (um que no seja descoberto imediatamente). Como resultado, um atacante ir coletar o mximo de informaes sobre todos os aspectos de segurana de uma organizao. Eles acabaro obtendo um footprint (perfil) nico de sua presena na Internet. Seguindo uma metodologia estruturada, atacantes podem juntar sistematicamente informaes de uma grande variedade de fontes e compilar esse footprint crtico de qualquer organizao. Embora haja diferentes tcnicas de footprinting, seu objetivo primrio descobrir informaes relacionadas a tecnologias de Internet, intranet, acesso remoto e extranet. A tabela a seguir mostra essas tecnologias e informaes crticas que um atacante tentar identificar:

Treinamento em Segurana de Redes

21

- Laboratrio de Redes de Alta Velocidade

RAVEL

Tecnologia Nome de domnio; Blocos de rede; Endereos IP; Servios TCP e UDP executados em cada sistema Arquitetura do sistema; Mecanismos de controle de acesso, Firewalls; Sistemas de deteco de intruso (IDS); Enumerao de sistemas (nome de usurios tabelas de roteamento, informaes de SNMP); Protocolos de rede em uso; Nomes de domnio interno; Blocos de rede; Endereos IP; Servios TCP e UDP executados em cada sistema Arquitetura do sistema; Sistemas de deteco de intruso (IDS); Enumerao de sistemas (nome de usurios tabelas de roteamento, informaes de SNMP); Nmeros de telefone analgicos e digitais; Tipo de sistema remoto; Mecanismos de autenticao; Origem e destino dos pacotes; Tipos de conexo; Mecanismos de controle de acesso;

Internet

identificado;

e de grupos,

Intranet

identificado; e de grupos,

Acesso Remoto Extranet

O passo a passo do footprinting: Determinar o escopo do footprinting. Toda a organizao? Apenas a matriz? Ou seja, qual o permetro de seu alvo. Busca o o o o o o o o de informaes de domnio pblico: Sites Web da organizao; Buscas na Internet Buscas na USENET Endereos Nmeros de Telefones Nomes e e-mails de funcionrios Normas de privacidade ou segurana que indiquem o tipo de mecanismo de segurana utilizado Links para outros servidores relacionados organizao

Enumerao de redes o Buscas na Faperj o Buscas no Internic o Servidores de Whois

Treinamento em Segurana de Redes

22

COPPE/UFRJ Laboratrio de Redes de Alta Velocidade


o o o Quem registrou o domnio Contato admini Quando o registro foi criado Os servidores de domnio e outros domnios relacionados

Mail Transfer Determinando a topologia da rede o Usando o traceroute o Identificando firewalls o Usando VisualRoute, cheops, scotty 4.2 Varredura

Se o footprinting o equivalente a cercar o um lugar em busca de informaes, a varredura (ou scanning) equivalente a bater nas paredes para descobrir todas as portas e janelas. O passo seguinte ento determinar quais sistemas esto ativos e alcanveis a partir da Internet, usando uma srie de ferramentas e tcnicas, como, por exemplo, varreduras de ping, varreduras de porta e ferramentas de descoberta automatizadas. importante lembrar que um sistema (um endereo IP) descoberto utilizando o footprinting anterior no significa que esta mquina est ligada, ou mesmo se ela existe, por isso a varredura necessria, ela que vai determinar os seus alvos. Vamos citar alguns mtodos de varredura: Varreduras de ping de rede: fping, gping, hping, nmap sP, Pinger, Ping Sweep etc. Consultas ICMP: icmpquery, icmpush Varredura de Portas: o Varredura TCP o Varredura TCP SYN o Varredura TCP FIN o Varredura TCP rvore d Natal o Varredura TCP nula o Varredura UDP o Para sistemas UNIX/Windows use: nmap, strobe, udp_scan, Netcat o Para sistemas Windows use: PortPro, PortScan, Stealth Deteco de Sistema Operacional: nmap O, queso Pacotes completos: scotty, cheops e ferramentas de gerncia. 4.3 Enumerao

Existem muitas maneiras de se extrair contas vlidas e recursos exportados de sistemas, um processo que chamamos de enumerao.

Treinamento em Segurana de Redes

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


A principal diferena entre tcnicas de coleta de informaes vistas e a enumerao est no nvel de invasividade a enumerao envolve conexes ativas e consultas dirigidas que podem (e deveriam!) ser registradas pelo sistema alvo. O tipo de informao enumerada por atacantes pode ser classificada, de forma geral, nas seguintes categorias: Recursos de compartilhamento de rede; Usurios e grupos; Aplicativos e suas verses (Ex. atravs de banners) No Windows NT: Use o net view. Ex: o net view /domain o net view /domain:lab123 Use o NTRK (Windows NT Resource Kit) Use o Legion, NAT Ferramentas para SNMP especficas do NTRK (Ex. snmputil) Enumerao de banners, usando telnet para portas especficas No Unix: 4.4 showmount e rpcinfo -p finger l @vitima.com.br rusers, rwho, etc. Telnet para o servidor de email a fim de identificar logins; Enumerao de banners, usando telnet para portas especficas; Use o Netcat Use o SamSpade

Ferramentas utilizadas por hackers

A maioria das ferramentas utilizadas por hackers pode se encaixar em um das seguintes grupos: 4.4.1 Dispositivos Destrutivos Emails bomba Ferramentas de DoS/DDoS List Linking (cadastramento de uma pessoa em milhares de listas de discusso) Vrus

4.4.2 Trojans Cdigo no autorizado dentro de um programa legtimo; Programa (trojan) simplesmente renomeado para o nome de um executvel conhecido;

Treinamento em Segurana de Redes

24

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Alguns trojans no so destrutivos, eles de alguma forma coletam informaes do sistema/usurio e transferem para o atacante; 4.4.3 Password Crackers Ferramentas para quebra de senhas. Ex: o o o o o o o John the Ripper Cracker L0phtcrack NTcrack Zipcrack Netcrack PGPcrack

4.4.4 Scanners Ferramentas para varredura de redes: o Nessus o Nmap o NSS o Strobe o SATAN o SAINT o Internet Security Scanner - SafeSuite (ISS) o Cybercop (NAI) o Network ToolBox o Stealth 4.4.5 Sniffers Ferramentas de anlise de protocolos e de captura de pacotes na rede: o o o o o o 4.5 Sniffer (NAI para Windows) LinSniff (para Linux) SunSniff (para Sun) Snoop (Sun) Tcpdump Snort

Exploits e BufferOveflows

Um exploit um programa utilizado para explorar uma vulnerabilidade de outro programa. No existe um programa chamado exploit, existem exploits para explorar vulnerabilidades especficas de sotwares especficos, e mais, de verses especficas. Ou seja, voc vai encontrar, por exemplo, um exploit para o Servidor de DNS (bind) verso 4.2 , verso para RedHat, Slackware, etc. s vezes os exploits suportam vrias verses, mas isso no comum.

Treinamento em Segurana de Redes

25

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Por que os exploits so to especficos? Para responder esta pergunta temos que aprender algo sobre buffer overflows, nem sempre os exploits esto baseados em buffer overflows, mas esto baseados em, digamos 90% dos casos. Este assunto um tanto complexo, e uma das tcnicas de hacking mais avanadas. Envolve dominar bem as linguagens de programao, e at mesmo em baixo nvel (assembly). Vamos tentar dar uma explicao com menos detalhes tcnicos para o assunto, para no fugir ao escopo deste curso. Buffer Overflow um termo bem conhecido no mundo da segurana, portanto voc deve se esforar para entend-lo. Quando vc est usando um determinado software, seja diretamente na sua mquina, ou indiretamente (interagindo com um servidor) voc normalmente insere dados no programa e recebe respostas correto? Ok, vamos nos concentrar no ato de inserir dados em um programa. O que aconteceria se voc colocasse dados de formas incorretas ou uma quantidade enorme de dados? Bem, se o programa no estiver bem escrito, ele vai travar, ou mesmo apresentar erros absurdos. Se um programa apresentar tal comportamento provavelmente ele ser vulnervel a um buffer overflow! Um buffer overflow ocorre quando, ao inserir uma quantidade de dados maior do que o programa est preparado para tratar (estourando seu buffer) ele ir comear a executar instrues que no esto programadas. Assim, voc capaz de colocar instrues nos prprios dados que est inserindo, fazendo o computador execut-las! Se o programa em questo tiver privilgios no sistema (imagine remotamente) ento voc conseguir inserir instrues com o mesmo privilgio do programa, podendo realizar aes como administrador ou super-usurio. Descobrir falhas deste tipo e escrever exploit uma tarefa bastante complexa, e apenas hackers em nvel avanado possuem tal expertise. Criar programas que no sejam vulnerveis tambm requer bom nvel de conhecimento de segurana na programao. Para proteger seus sistemas contra o uso de tais tcnicas a melhor coisa a fazer ficar ligado nos ltimos exploits nos sites de hackers e nos advisories dos fabricantes.

5. Contramedidas:
5.1 Contramedidas Bsicas

O primeiro ponto a se considerar na implementao de contramedidas considerar todas as opes possveis. Por exemplo, no que diz respeito conexo com a Internet: Voc poderia simplesmente no usar a conexo? Voc poderia optar por outro proverdor de servio (ISP ou backbone)? Uma conexo com a Internet representa muitos riscos, ento, necessrio estudar bem as opes existentes em cada caso, no s no que se refere ao provedor, mas na forma como sua rede estar conectada, por exemplo, voc utilizar muitos endereos Internet, ou NAT?

Treinamento em Segurana de Redes

26

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Depois de todas opces estudadas e decises tomadas, agora podemos pensar em contramedidas especficas para os diversos pontos crticos da rede: Hosts Melhorar a segurana das mquinas (todas), isto inclui: o Utilizao de antivrus e a poltica de atualizao do mesmo; o Varredura de toda a rede, utilizando scanners de vulnerabilidades; o Instalar IDS baseados em host nas mquinas mais importantes; o Implementar gerao e anlise de logs dos principais sistemas; o Implementar uma boa poltica de senhas; o Implementar uma poltica de backup para os servidores; Reforar o permetro da rede Identificar corretamente os domnios separados, s vezes chamado interno e externo, verificar a existncia de pontos de entrada na rede: como pode algum de fora acessar recursos que esto dentro do permetro? As polticas de segurana de rede devero incluir procedimentos para o controle do trfego entre todos os pontos de entrada. At mesmo a defesa de permetro mais rgida pode se mostrar intil diante do ataque de um modem de discagem sem controle que est conectado rede. Utilizao de VPNs; Utilizao de Assinaturas Digitais; Utilizao de mecanismos de autenticao fsicos (biomticos, etc.); 5.2 Segurana no nvel do cliente

O captulo anterior tratou de alguns aspectos contramedidas de segurana que devem ser executados (em geral) pelo administrador do sistema. Neste captulo vamos tratar de algumas contramedidas e protees que o prprio usurio pode utilizar. 5.2.1 Segurana do Correio Eletrnico (E-

muito fcil forjar um e mail; O servio SMTP no possui confiabilidade, autenticidade, no repdio e nem Existem problemas de inicializao automtica de aplicativos atravs do MIME; O sendmail (UNIX) um dos servidores mais utilizados, e o que apresenta a

Usar certificados digitais PEM (Privacy Usar o PGP (Pretty Good Privacy) Usar S/MIME (RSA Data Security)

Treinamento em Segurana de Redes

27

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


No executar, de forma alguma, programas enviados em anexo; 5.2.2 Segurana dos servios de terminal No usar telnet, rlogin, rsh e afins; Usar o SSH; Ateno especial deve ser tomada no ato da conexo, caso o programa informe alterao da chave do servidor. Muitas tcnicas, usando um programa chamado dsniff esto sendo utilizadas para interceptar sesses de ssh. 5.2.3 Segurana no acesso a Web Usar conexo segura (SSL) sepre que possvel; Desabilitar javascripts; Nunca executar cegamente programas baixados de pginas Web. O SSL realmente seguro? No final de 1995 havia muita publicidade com relao segurana do Netscape, em partucular, do SSL. Algumas publicaes especializadas anunciaram a morte para o comrcio na Internet, e muitas outras falavam dos eventos como um tremendo golpe segurana das comunicaes na Internet. No meio de todas essa publicidade, alguns fatos foram distorcidos entre os incidentes, e determinados aspectos do problema ganharam propores catastrficas. Na verdade, houve trs incidentes relativos segurana do SSL, e o que ficou provado foi que as chaves de 40 bits no eram seguras, pois no so longas o bastante, e posteriormente que o gerador da chave de sesso do Netscape era ineficiente. Todos estes problemas j esto resolvidos a bastante tempo. importante observar que nenhum dos trs incidentes compromete o SSL os fundamentos do protocolo permanecem inclumes. Entretanto, o terceiro incidente constitui um reflexo de uma deciso de programao ineficiente por parte do Netscape. Embora o problema tenha sido solucionado rapidamente em verses subsequentes do Nestcape, ele comprova como pequenos erros podem levar a problemas imensos.

5.3

Configurao segura de servios

Vamos abordar aqui algumas guidelines para configurao segura de servios. Vamos tratar separadamente ambientes UNIX e Windows: 5.3.1 Ambientes UNIX

Treinamento em Segurana de Redes

28

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Patches: verificar os ltimos patches dos servios que esto disponveis. Ex: DNS, E-mail, Web, etc. Manter uma tabela atualizada dos servios em cada host, com as verses, datas de atualizao e site do fabricante. Segurana de rede: Permitir o acesso somente aos servios estritamente necessrios. O ideal bloquear o acesso a todos os servios e dar permisso somente aos necessrios. Se isto no for possvel deve-se bloquear os seguintes servios: o echo 7 TCP/UDP o systat 11 TCP o netstat 15 TCP o bootp 67 UDP o tftp 69 UDP o link 87 TCP o supdup 95 TCP o sunrpc 111 TCP/UDP o News 144 TCP o snmp 161 UDP o xdmcp 177 UDP o exec 512 TCP o login 513 TCP o shell 514 TCP o printer 515 TCP o biff 512 TCP o who 513 UDP o syslog 514 UDP o uucp 540 TCP o route 520 UDP o openwin 2000 TCP o NFS 2049 UDP/TCP o X11 6000 at 6000 + n TCP (n o nmero de X servers) Ao usar um servidor NFS voc estar confiando interamente na segurana deste servidor para manter a integridade dos sistemas montados. Muito cuidado deve ser tomado ao configurar o arquivo que exporta os sistemas de arquivo (geralmente /etc/exports). Terminais seguros: No permita que o super-usurio se conecte diretamente pela rede no sistema. Edite: /etc/ttys, /etc/security ou /etc/default/login. inetd.conf: Este o arquivo de configurao do inetd. O inetd conhecido como o super server, atravs dele possvel executar vrios servios. Muitos servios so configurados para rodar atravs do o inetd (comportamento padro). Ex: telnet, ftp, talk. Estes servios podem estar habilitados no inetd.conf ou no. Para desabilit-los basta editar o arquivo e colocar uma cerquilha # no incio da linha que corresponde a servio, voce estar comentando a linha (as linhas que iniciam com a cerquilha significam um comentrio em quase todos os arquivos de configurao do UNIX). Sendmail: No use. Use o postfix ou o qmail.

Treinamento em Segurana de Redes

29

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Servidor Web: Mantenha sempre a ltima verso do Apache Web Server. Senhas: Verifique se est sendo utilizado o password shadow. Edite o arquivo /etc/passwd, no deve ser possvel ver os criptogramas referentes s senhas dos usurios. Apenas no /etc/shadow ou /etc/master.passwd deve ser possvel v-los. Utilize programas como o Cracker ou o John para tentar quebrar peridicamente as senhas dos usurios. NIS ou NIS+: No use se voc realmente no precisa. Use NIS+ se possvel. Utilize um Port Scanner para verificar as portas que ainda existem abertas no sistema. Lembre-se de verificar UDP tambm. Utilize um Scanner de vulnerabilidades para se certificar de que no esqueceu algo. Ou algum detalhe passou despercebido. ATENCO: No confie nas ferramentas de scanner, utilize-as apenas para confirmao e no final do processo, e no para montar seu checklist. 5.3.2 Ambientes Windows Patches: verificar os ltimos patches dos servios que esto disponveis. Ex: DNS, E-mail, Web, etc. Manter uma tabela atualizada dos servios em cada host, com as verses, datas de atualizao e site do fabricante. Desativar o compartilhamento de arquivos e impressoras no Windows9x; Utilizar o System Policy Editor, mas conhecido como Policy (poledit.exe), e pode ser encontrado na maioria dos CDs do Windows 98 em \tools\reskit\netadmin\poledit ou no site da Microsoft. No instalar a rede dial-up ou desabilita-la no Policy. No instalar o servio de Registro Remoto, se utilizar, escolher uma boa senha; No habilitar SNMP nos Windows NT/2000; Extremo cuidado com arquivos executveis de terceiros, problemas em potencial: BO e NetBus. No caso de ser infectado (ou no) usar o The Cleaner (http://www.moosoft.com/cleaner.php3). Utilizar senhas na BIOS dos computadores; Bloquear as portas 135-139 no Roteador ou Firewall; Utilizar switches nas redes, ao invs de Hubs; Aplicar os services packs e hotfixes mais recentes;

Treinamento em Segurana de Redes

30

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Visitar perdiodicamente http://www.microsoft.com/security 5.4 Resposta a ataques e problemas de segurana

Mesmo com sua rede super protegida os seguintes eventos ainda podem ocorrer: Ataques e invases (incidentes); Um problema ou uma vulnerabilidade detectada; No primeiro caso pode haver ataques rotineiros (com os quais voc no deve perder muito tempo em se preocupar) ou ataques macios (Ex. DDoS), podem haver incidentes mais graves, como a deteco de uma invaso, e ataques que so persistentes. Nos ltimos casos necessrio interveno do administrador. Ateno: Lembre-se da nossa definio de ataque (Ataque uma tentativa, e pode ter sucesso ou no). O segundo caso o melhor pois espera-se que voc foi o primeiro e nico a detectar tal situao, neste caso voc deveria consertar o problema e informar ao fabricante/desenvolvedor. Se no for possvel consertar o problema deve-se parar o servio e informar imediatamente ao fabricante e aguardar a soluo. 5.4.1 Resposta a ataques e incidentes No caso dos ataques mais graves e invases, temos que estar preparados para tais situaes e ter um plano de contingncia. Assim como o corpo de bombeiros se comporta, ns devemos nos comportar. Como agir em um incidente? Esta a grande questo. O planejamento comea com a preparao das ferramentas que iro auxiliar na auditoria e na correta descrio do problema. Podemos citar: Sistema de deteco de intruso; Sistemas de verificao de integridade; Sistemas de gerao e armazenamento de logs; Sistemas de controle de tempo (correto sincronismo do horrio entre os hosts) Potes de Mel;

Pontos a serem observados na caracterizao de um incidente: Horrio de utilizao atpico; Padres de utilizao e erros atpicos; Presena de contas novas, ou desconhecidas; Utilizao de uma conta anteriormente inativa; Modificaes inexplicadas em arquivos;

Treinamento em Segurana de Redes

31

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Lacunas nos logs do sistema; Descoberta de utilitrios hackers; Planejamento de Respostas: Inicialmente definir a estratgia e o tempo de trabalho necessrio: o o Isolar o intruso fora da rede; Permitir que o invasor continue seu ataque, monitorando-o;

Gerenciando as informaes relacionadas ao incidente: o o o o o o o Data e Hora; Informaes sobre os contatos no suporte ao incidente; Detalhes tcnicos; Contedo da comunicao com outras pessoas; Manter a gerncia informada; Manter as informaes sigilosas em carter confidencial; Escolher com inteligncia os canais de comunicao;

5.4.2 Resposta a problemas de segurana O que fazer se voc encontrou um problema de segurana ou uma vulnerabilidade? Voc pode consertar o bug e seguir em frente ou pode decidir reportar a vulnerabilidade para o fabricante. Segue uma lista de fabricantes e/ou desenvolvedores com seus respectivos contatos, que voc pode usar para reportar uma vulnerabilidade: Allaire Alt-N Apache Debian BSDI Caldera Checkpoint Cisco Cobalt FreeBSD Gordano HP IBM IpSwitch ISC BIND KDE Lotus Microsoft mgin@allaire.com issues@altn.com security@apache.org security@debian.org problems@bsdi.com security@calderasystems.com cpsupport@ts.checkpoint.com security-alert@cisco.com security@cobalt.com security-officer@freebsd.org support@gordano.com security-alert@hp.com security-alert@austin.ibm.com dkarp@ipswitch.com bind-bugs@isc.org submit@bugs.kde.org security@lotus.com secure@microsoft.com

Treinamento em Segurana de Redes

32

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


NetBSD Novell OpenBSD Qualcomm Qpopper Qualcomm Eudora Red Hat SCO Slackware SGI Sun SuSE TurboLinux WarFTPD Wu-FTPD security-officer@netbsd.org frank@novell.com, ncashell@novell.com deraadt@openbsd.org qpopper@qualcomm.com eudora-bugs@qualcomm.com bugs@redhat.com security-alert@sco.com security@slackware.com security-alert@sgi.com security-alert@sun.com security@suse.de K8e@turbolinux.com jgaa@jgaa.com wuftpd-members@wu-ftpd.org

Para reportar problemas de segurana para o pblico a melhor forma so as listas de discusso, a BUGTRAQ, uma das mais importantes pode ser encontrada em: http://www.securityfocus.com Para se cadastrar na BUGTRAQ: Envie um email para: listserv@securityfocus.com Deixe o campo subject do email vazio. Preencha o corpo da mensagem com:

SUBSCRIBE bugtraq Andr Barbosa


Utilize o seu primeiro e segundo nome. Para saber mais sobre a BUGTRAQ leia a FAQ em: http://www.securityfocus.com/frames/?content=/forums/bugtraq/faq.html Voc tambm deve reportar para o CERT: http://www.cert.org 6. Ferramentas de Segurana:

6.1

Controle de acesso

Esta seo engloba quaisquer dispositivos de controle de acesso rede, sistemas e at mesmo fsicos. Podemos citar: o o Controle de acesso fsico: Uso de smart cards, senhas e chaves eletrnicas; Controles de acesso biomtricos sistemas: fingerprint, ris, etc.

Treinamento em Segurana de Redes

33

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


6.2 Criptografia

A criptografia uma das armas mais poderosas da segurana. Ela , na maioria das vezes, utilizada indiretamente atravs de ferramentas, protocolos e sistemas especficos. Ex.: 6.3 IPSec Assinaturas Digitais Verificadores de Integridade (Funes de Hash, Ex. MD5) PGP Criptografia de Senhas (Crypt3 + DES) SSH SSL

Firewalls e IDS

Os Firewalls e os Sistemas de Deteco de Intruso so dois componentes principais que no devem faltar na infraestrutura de segurana de uma rede, temos ento, captulos especficos para eles nesta apostila. 6.4 Scanners

So ferramentas que detectam automaticamente fraquezas na segurana em hosts remotos ou locais. Como eles funcionam? Os scanners (tambm conhecidos como port scanners) interrogam vrias portas TCP/IP do alvo e armazenam os resultados., eles conseguem assim vrias informaes, tais como: Quais servios esto rodando atualmente; Quais so os usurios que rodam estes servios; Se login como usurio annimo suportado; Se alguns servios de rede requerem ou no autenticao; scanners de porta, possuem

Muitos dos scanners citados a seguir no so apenas tambm como opes adicionais funes tais como:

Verificao do sistema operacional; Verificao de diversas vulnerabilidades conhecidas; Exemplos: o o o o o o Nessus Nmap NSS Strobe SATAN SAINT

Treinamento em Segurana de Redes

34

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


o o o o 6.5 Internet Security Scanner - SafeSuite (ISS) Cybercop (NAI) Network ToolBox Stealth

Sniffers

Sniffers so dispositivos que capturam pacotes na rede. Seu propsito legtimo analisar o trfego da rede e identificar reas potenciais de problemas ou interesse. Os sniffers variam muito em funcionalidade e design, alguns analisam apenas um protocolo, outros podem analisar centenas. Em geral, sniffers modernos analisam ao menos os seguintes protocolos: Ethernet padro; TCP/IP; IPX; DECNet;

Nota sobre programas de captura de teclas: Sniffers diferem de programas de captura de teclas pois capturam pacotes em uma rede, enquanto os outros (Key-capture) capturam apenas o que foi digitado num teclado de um nico terminal. Exemplos: o o o o o o 6.6 Sniffer (NAI para Windows) LinSniff (para Linux) SunSniff (para Sun) Snoop (Sun) Tcpdump Snort

Password Crackers

Os password crackers so programas que quebram a segurana das senhas revelando o contedo previamente criptografado. Para um password cracker funcionar corretamente necessrio: O arquivo de senhas (com os criptogramas), ou alguns criptogramas das senhas; Uma mquina com um processador veloz; Um dicionrio de senhas; Tempo; A maioria destes programas funciona atravs do mtodo conhecido como fora bruta. A fora bruta funciona da seguinte forma:

Treinamento em Segurana de Redes

35

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Cada palavra de um dicionrio criptografada e o resultado (criptograma) comparado ao criptograma da senha que se deseja quebrar, quando ocorrer uma coincidncia, pronto, a senha ser revelada. Notamos ento, que no correto dizer que um programa destes decifra uma senha (muitas pessoas dizem), eles no decifram o criptograma e no fazem criptoanlise (salvo algumas excees) pois so baseados na fora bruta, ou seja, na comparao. Exemplos: o o o o o o o John the Ripper Cracker L0phtcrack NTcrack Zipcrack Netcrack PGPcrack

7. Firewalls: 7.1 Tipos de Firewall

Um firewall qualquer dispositivo destinado a prevenir atacantes externos de acessar sua rede. Este dispositivo pode ser um computador, um roteador, ou um hardware dedicado. Firewalls tambm podem analisar pacotes de vrios protocolos e processar os pacotes atravs de regras que iro permitir ou no a passagem deste pacote. Podemos classificar os firewalls em dois grandes grupos: Nvel de Rede (Filtro de Pacotes) Firewalls no nvel de rede so tipicamente roteadores com poderosas funes de filtragem de pacotes que podem permitir ou bloquear os pacotes em ambas as direes, baseados no: o o o o o o Endereo de origem Protocolo Nmeros de porta Contedo de pacote Flags TCP E outras caractersticas dos protocolos envolvidos

Gateways de aplicao (proxies) Os proxies so uma forma completamente diferente de controle de trfego. Nos filtros de pacotes, os usurios no precisam se preocupar com a existncia do Firewall, ele transparente, com os proxies isso no acontece, os proxies agem de tal forma que ficam no meio da conexo, aceitando requisies dos clientes

Treinamento em Segurana de Redes

36

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


e abrindo conexes com os destinos, sendo intermedirios neste processo. Isso faz com que os proxies sejam especficos para cada aplicao. Temos proxies de HTTP, FTP, SMB. etc. Existem tambm os proxies genricos e os proxies de circuito Ex. SOCKS. Firewalls modernos podem realizar ambas as funes descritas anteriormente e ainda prover outras (atravs de mdulos, ou no), tais como: Criptografia NAT (Network Address Translation) Autenticao 7.2 Arquiteturas

Ocasionalmente, as empresas preferem implementar um firewall baseado apenas em uma mquina, seja ela um host ou um roteador. Com freqncia, porm, os firewalls mais rigorosos so compostos de vrias partes. Vamos examinar alguns exemplos de arquiteturas empregados: 7.3 Roteador com listas de acessos Gateways simples Screened host firewall (single-homed bastion) Screened host firewall (dual-homed bastion) Screened subnet firewall system Fabricantes

Alguns Firewalls e seus fabricantes/desenvolvedores: 7.4 Checkpoint FW-1 (http://www.checkpoint.com Cisco PIX (http://www.cisco.com) Aker (http://www.aker.com.br) Ipfilter (Darren Reed) PF (OpenBSD team) http://www.openbsd.org Testando a segurana de um firewall (penetration test)

Um teste de invaso tem por objetivo verificar a resistncia do sistema em relao aos mtodos atuais de ataque. Este mtodo pode ser simplesmente um tipo de engenharia social, onde algum do Tiger Team liga para alguns dos funcionrios e pergunta pela identificao do usurio e senha ou mais complexo utilizando tcnicas de buffer overflow para ganhar acesso de root. Diariamente so descobertos novos furos nos mais variados sistemas, por isso de fundamental importncia que o Tiger Team utilize tcnicas reais, pois caso isso no ocorra o teste pode tornar-se invlido.

Treinamento em Segurana de Redes

37

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Aps o teste temos duas possibilidades: 1.O Tiger Team obtm xito, logo o sistema de segurana est falho. 2.O Tiger Team no obtm xito, logo o sistema de segurana est adequado. A segunda afirmativa pode no ser verdadeira uma vez que seu sistema foi submetido a uma equipe que est sujeita a erros. 7.4.1 Testando o Firewall O Firewall um sistema, e qualquer sistema pode ser ultrapassado. Na verdade vrias instituies instalam Firewall com o objetivo de se protegerem da Internet, depois eles mesmo criam regras (brechas) para permitirem conexes com vendedores e parceiros. Alm disso, muitos Firewalls so instalados com a configurao bsica e nunca so testados para verificar sua eficincia. Um bom teste de invaso consegue identificar os buracos de forma que voc saber que eles existem. 7.4.2 Identificando as vulnerabilidades de alto risco: Um teste de invaso pode dar uma boa idia sobre as vulnerabilidades de alto risco presente em seu sistema. Financeiramente no interessante utilizar o teste de invaso para identificar todas as possveis vulnerabilidades do seu sistema. Se seu objetivo simplesmente identificar as vulnerabilidades, considera a utilizao de uma ferramenta de SCAN, como: nmap, SATAN, ISS scanner. Lembre-se, voc est pagando por um teste de invaso pelo conhecimento e expertise do Tiger Team alm da habilidade em explorar as vulnerabilidades. As ameaas e vulnerabilidades que no conseguirem explorar podem ser identificadas pela ferramenta de scan, pense nisso, antes de contratar um teste de invaso. 7.4.3 Riscos envolvidos em um teste de invaso : Um importante aspecto referente ao teste de invaso que ele pode gerar uma falsa sensao de segurana. A idia de que "Eles fizeram o melhor que podiam e no obtiveram xito" no valida. Sua rede pode ter vulnerabilidades que o Tiger Team no tenha encontrado ou talvez elas no existam no momento do teste, mas podem vir a existir aps alguma mudana na configurao da rede. Um importante ponto a se lembrar , "Voc ter o que voc pagou". Existem algumas pessoas que executam teste de invaso e acham que seu trabalho entrar na rede sem identificar as vulnerabilidades. recomendvel que a pessoa que vai realizar o teste de invaso apresente um documento detalhando exatamente quais so os resultados finais a serem alcanados. Alm disso voc deve considerar a realizao do teste de invaso em vrios momentos do seu sistema. 7.4.4 Danos ao sistema durante o teste :

Treinamento em Segurana de Redes

38

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Fatores que devem ser levados em considerao so os possveis danos causados ao sistema uma vez que este pode ser afetado ou arquivos importantes podem ser perdidos - importante a definio de parmetros que identificam os pontos onde o teste tem validade. Voc pode ignorar qualquer tipo de DoS (Denial Of Service) conhecido. As pessoas que realizam o teste de invaso, por definio, no so usurios legtimos. O bom teste de invaso no pode ficar preso a um nico aspecto do seu sistema. Muitas pessoas que realizam teste de invaso requerem que seja indicado um departamento que assuma as responsabilidades no caso de ocorrer algum dano ao sistema. Enquanto voc no tiver testado sua ferramenta de IDS ou montado seu plano de resposta a incidentes, a pessoa responsvel pelo teste no deve receber nenhum tipo de informao sobre o seu sistema, parceiros comerciais. Isso pode protege-lo quanto a validade do teste de forma que intrusos verdadeiros no tenha acesso a estas informaes. Os testes devem ser conduzidos utilizando-se ferramentas previamente definidas. Enquanto os pontos acima no forem atendidos, o responsvel pelo teste no deve ter acesso a sua rede. Informaes pblicas, tais como : estrutura da empresa, lista de telefones internos, entre outras podem ser passadas para pessoa que vai realizar o teste, justamente para ganhar tempo. A pessoa que vai realizar o teste no deve violar a privacidade e os direitos individuais. Lembre-se que trata-se de um teste para avaliar o sistema e no as informaes privadas. Todos os dados coletados, incluindo los, arquivos, senhas e qualquer outro tipo de informao obtida deve devem ser devolvidas a instituio sem que copias sejam retidas pela organizao que realizou os testes. Todos os testes devem ser realizados de forma instrutiva. Qualquer tipo de teste que possa causar danos ao sistema deve ser realizado em perodos de baixa ou sem atividades. Um relatrio detalhado deve ser entregue contendo todos os passos executados mostrando onde ganhou acesso e onde no. O relatrio deve conter recomendaes detalhadas para a correo de qualquer vulnerabilidade encontrada. 7.4.5 Fase-1: Coleta de dados e planejamento: Nesta fazer o Tiger Team vai aprender tudo que puder sobre o alvo e no estar necessariamente preocupado com vulnerabilidades do sistema. Ele tentar obter informaes sobre a estrutura da diretoria, nmero dos telefones/ramais, relao dos parceiros, dos vendedores, ou seja, todo tipo de informao.

Treinamento em Segurana de Redes

39

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Raramente a pessoa que realiza o teste tem que recorrer a mecanismos como buffer overflow. A relao de telefones possui muitas informaes teis para o invasor. Outro tipo de informao importante a topologia da rede. Conforme a topologia o invasor pode determinar quais os pontos mais vulnerveis. Durante esta fase um detalhado plano de ataque construindo, eu pessoalmente chamo esta faze de aproximao indireta, um termo utilizado em estratgias militares e planejamento de atos de terrorismo. 7.4.6 Fase 2: Pesquisa do sistema Nesta fase ainda dentro do que chamo aproximao indireta podemos colher mais informaes sobre a intistuio que est sendo testada. Isso inclui a consulta ao whois via web: FAPESP (www.fapesp.br), ao InterNIC ( www.inetrnic.net ) e ao ARIN ( www.arin.net ), alm destes existem outros servidores de whois. Com estas informaes temos uma idia de que a instituio est na rede e de seus IPs. 7.4.7 Fase 3: Testes do sistema Agora iniciamos a fase que chamo de aproximao direta, onde temos os seguintes passos: A) Identificar o caminho para acessar a instituio, podemos fazer isso com o traceroute, mas em vez de usar o traceroute tradicional, podemos usar uma ferramenta especial para fazer um traceroute a uma porta TCP ou UDP especfica, desta forma conseguimos burlar os filtros de ICMP. Este fase permite compreender o caminho de acesso a instituio, ou seja, nos d uma viso lgica do caminho. Nosso objetivo determinar o caminho e as ACLs implementadas nos roteadores e Firewalls. Para tanto podemos usar a ferramenta firewalk. Esta uma ferramenta muito interessante que permite determinar as ACLs implementadas, ou seja, identificar quais servios so permitidos atravs da ACL. B) Agora seria uma boa idia verificar que tipo de informao podemos recuperar do servidor de DNS. Se o servidor estiver mal configurado possvel fazer uma tranferncia de zona, isso nos da muitas informaes teis, um exemplo a recuperao do registro HINFO, se esta informao estiver disponvel, saberemos exatamente o tipo de sistema operacional da instituio. Podemos usar vrios comandos diferentes para este fim como nslookup, dig e host. Um dos objetivos determinar o endereo do firewall para que possamos testa-lo. Podemos fazer uma anlise destas informaes e rapidamente com o auxilio do grep podemos descobrir todas as mquinas que possuem a palavra teste em seu nome, se estas mquinas estiverem mal configuradas um bom local para tentar um acesso no autorizado, da mesma forma podemos usar o grep para identificar outros padres de nome como linux, sun, bsd, etc.

Treinamento em Segurana de Redes

40

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


C) Aps identificar a topologia da rede, precisamos determinar quais os hosts que esto ativos e conectados a Internet. Podemos usar para tal fim ferramentas como nmap e o fping. O nmap permite analisarmos uma determinada faixa de endereos. Enquanto a maioria das ferramentas de ping trabalham em cima de ICMP com o nmap podemos fazer um ping atrvs do TCP, ou seja, se os pacotes ICMP estiverem sendo filtrados no roteador de borda, com o nmap podemos achar os hosts ativos usando por exemplo a porta 80. D) Se uma mquina esta ativa e conectada a Internet, chegou o momento de fazer um port scan. O port scan tem por objetivo determinar quais portas ( TCP/UDP ) esto ativas. A identificao de portas fundamental para identificar o sistema operacional e as aplicaes em uso. Atravs dos servios ativos podemos ganhar acesso a mquinas que esto mal configuradas ou rodam verses de programas com vulnerabilidades conhecidas. Existem vrias ferramentas que permitem a realizao de port scan: nmap, strobe, tcp_scan, udp_scan, netcat e queso so algumas delas. E) Aps descobertas as portas ativas de cada host conectado a Internet, chegou a hora de obtermos mais informaes dos hosts. Isso inclui banner ou qualquer outro tipo de informao. Informaes fornecidas pelos servios de SNMP, finger, rusers SMTP ou NetBIOS permitem que montemos uma configurao detalhada alm de conseguirmos informaes sobre os usurios de cada sistema. Agora podemos conectar a cada uma das portas TCP/UDP e analizar as respostas, afim de identificar informaes sobre verso e descobrir servidores vulnerveis, mas no somente a verso que nos interessa, mas informaes do sistema, se servios como finger e ruser estiverem ativos, ns podemos obter informaes dos usurios do sistema. Atravs do SNMP utilizando uma conexo UDP a porta 161 podemos usar query com snmpget, snmpwalk e snmptest para obter algumas informaes. F) Agora que j temos um conjunto de informaes sobre os hots, como mquinas ativas, os servios que rodam, informaes de usurios entre outras, podemos montar um mapa de vulnerabilidades. O objetivo deste mapa e associar as informaes do sistema com as vulnerabilidades conhecidas. Deve-se fazer log detalhado de todos os testes e scans bem como de seus resultados. O objetivo do log permitir que aps os testes possa-se fazer uma relao para determinar se os testes causaram algum dano ao sistema e garantir que outro intruso no tenha ganhado acesso ao sistema durante o teste. 12. Concluso O teste de invaso deve fazer parte do programa de segurana da sua empresa. Mas deve-se observar os pontos acima tratados, para que se possa tirar um real aproveitamento do dinheiro empregado em tal atividade. Voc deve restringir as informaes sobre os testes somente aos departamentos competentes, pois alguns funcionrios desavisados ou inocentes podem deixar esta informao vazar e algum pode aproveitar para realizar seu prprios testes.

Treinamento em Segurana de Redes

41

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

8. Sistemas de Deteco de Intruso (IDS): Baseados nas informaes de vrias entidades de pesquisa, tais como: CERT e ICSA, podemos afirmar que um sistema foi atacado ou invadido mais de uma vez por segundo no ano de 1999. S nos EUA a ICSA identificou que, em mdia, um site ou computador foi invadido a cada 11 minutos. Estas estatsticas nos levam a enorme necessidade de poder rastrear e identificar estes ataques. O sistema que tem a capacidade de fazer isso um Sistema de Deteco de Intruso ou IDS. Um Sistema de Deteco de Intruso ( IDS - Intrusion Detection Systems ) permite a notificao quando da ocorrncia de tentativas de intruso segundo a verificao de certos padres de ataque que podem ser configurados dependendo da ferramenta que se est utilizando. Se sua casa possui um sistema de alarmes contra ladres, voc possui um sistema de IDS relativamente sofisticado. Ele pode detectar tentativas de invaso e tomar alguma ao baseado na deteco. 8.1 Tipos de IDS

Os Sistemas de Deteo de Intruso so normalmente divididos em trs grandes grupos. Sendo que, atualmente, existem IDS que possuem caractersticas mistas. Vamos listar estes trs grupos, ressaltando algumas caractersticas importantes: Baseados em rede (NIDS) o Sensores o Estao de gerncia o Anlise de assinaturas Baseados em host o Viso localizada o Gera informao de melhor qualidade Verificadores de integridade de arquivos o Funes de hash Vamos ressaltar em especial aqui o IDS de rede, que um dos mais utilizados. Este tipo de IDS coloca a interface de rede no chamado modo promscuo, o que permite escutar todos os pacotes que trafegam na sub-rede no qual est inserido, semelhante a um sniffer. A diferena que, para cada pacote, o IDS compara seu contedo e cabealho a um banco de assinaturas de ataques, bem parecido com um anti-vrus. Deve-se lembrar tambm a necessidade de espelhamento (ou span) de porta se a rede for comutada (switches).

Treinamento em Segurana de Redes

42

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

8.2

Fabricantes www.axent.com www.axent.com www.iss.net www.cisco.com www.nfr.net www.ca.com www.snort.org www.psionic.com Host Rede Host/Rede Rede Rede Rede Rede Host

Intruder Alert Axent NetProwler Axent Real Secure ISS NetRanger Cisco NFR NFR Session Wall C.Associates Snort Marty Roesh Abacus Psionic Uma tabela comparativa:

Treinamento em Segurana de Redes

43

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

8.3

Testando o sistema de deteco de intruso ( IDS )

Infelizmente, devido a grande variedade de vulnerabilidades, detectar uma intruso em sua rede no algo simples. praticamente impossvel que uma pessoa detecte uma invaso de rede em tempo real ( on-the-fly ) e tome alguma ao de imediato. As aes da sua ferramenta de IDS devem estar diretamente relacionadas com o plano de resposta a incidentes. Na verdade a definio de um plano de resposta a incidentes um fator to crtico que caso voc no tenha um, provavelmente um teste de invaso no ir ajuda-lo muito. Seu plano de resposta a incidentes deve abranger basicamente os seguintes pontos: Qual o objetivo do plano de resposta para cada tipo de incidente? Quais as aes legais existentes? Sero tomadas aes legais no caso de um incidente? Que tipo de publicidade (a respeito do ataque) permitido? Quem responsvel por conduzir a resposta ao incidente? Quem far parte do grupo de resposta a incidente? Que nvel de autoridade requerido para o grupo de resposta a incidente? Como voc conduz uma resposta a um incidente est diretamente relacionado ao tipo de negcio da sua instituio. Os bancos por exemplo, devem tomar algumas aes junto a federao nacional de bancos. Aps voc ter seu plano de resposta ao incidente montado, voc pode testa-lo efetivamente e refina-lo utilizando o teste de invaso. uma boa idia anunciar a realizao do primeiro teste, uma vez que seu propsito ajustar seu plano de resposta e verificar se ele funciona. A alta taxa de falso-positivos ocorre quando a ferramenta classifica uma ao como uma possvel intruso, quando na verdade trata-se de uma ao legtima. Um falso-negativo ocorre quando uma intruso real acontece mas a ferramenta permite que ela passe como se fosse uma ao legtima. Erro de subversion ocorre quando o intruso modifica a operao da ferramenta de IDS para forar a ocorrncia de falso-negativo. Um bom exemplo de falso-positivo o ataque de SYN FLOOD. O simples fato de acessar um determinado tipo de pgina pode gerar uma deteco da ocorrncia de um ataque SYN FLOOD. Voc certamente no quer que suas pginas fiquem fora do ar a todo momento que um usurio acessar seu site. muito difcil definir regras que que diferenciem entre atividades hostis e autorizadas. O teste de invaso pode ser utilizado com a finalidade de demonstrar efetivamente se sua ferramenta de IDS est operando conforme o esperado e ajuda-lo no refinamento das regras de forma a reduzir a taxa de falsepositive.

Treinamento em Segurana de Redes

44

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

9. Tecnologias avanadas de segurana: 9.1 Secure Sockets Layer (SSL)

O SSL foi criado pela Netscape e foi adotado pela comunidade e hoje o padro para comunicao segura pela Web. O SSL est montado sobre a camada de transporte (TCP) e possui dois conceitos bsicos: Conexo SSL; A conexo para o SSL uma relao ponto a ponto. As conexes so transientes e esto sempre relacionadas a uma sesso. Sesso SSL; uma associao entre o cliente e o servidor, elas so criadas atravs de um protocolo de handshake especfico do SSL (Handshake Protocol). As sesses definem um conjunto de parmetros para os algoritmos de criptografia. Fases da conexo: Estabelecimento de capacidades de segurana; Autenticao do servidor e troca de chaves; Autenticao do cleinte e troca de chaves; Trmino;

Algoritmos utilizados: 9.2 RSA; DSS; MD5; SHA; IP seguro (IPsec) e Redes Virtuais Privadas (VPNs)

Como sabemos, o TCP/IP no possui nenhum nvel de confidencialidade ou autenticao, a no ser que seja implementado na camada de aplicao. A proposta do IPsec prover tais servios de forma transparente ao usurio, de forma que qualquer aplicao possa utilizar, sem a necessidade de alterar programas clientes ou servidores. RFCs: 1825, 1826, 1828, 1827, 1829. O suporte ao IPsec opcional ao Ipv4 e obrigatrio ao Ipv6. A documentao do IPsec dividida de forma a abranger os vrios componentes do modelo, so estes:

Treinamento em Segurana de Redes

45

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Arquitetura ESP Encapsulating Security Payload AH Autentication Header Algoritmos de criptografia Algoritmos de autenticao Gerenciamento de chaves DOI - Domnio de interpretao

O conceito bsico de uma conexo IPSec a Security Association (SA). Deve existir uma SA para cada conexo, e em cada sentido, ento, para uma VPN ponto a ponto so necessrias duas SAs. Os servios mais importantes do IPsec esto contidos no AH e no ESP, sendo que, no estabelecimento de uma SA deve ser escolhido qual dos dois utilizar. A tabela a seguir nos d uma descrio dos servios providos pelo AH e pelo ESP. O AH oferece basicamente servios de autenticao, enquanto o ESP oferece servios de autenticao e criptografia (podem ser usados simultaneamente). Servio Controle de Acesso Integridade Autenticao Rejeio de replay Confidencialidade Fluxo limitado de trfego AH X X X X ESP(encryption only) X ESP(enc + utent.) X X X X X X

X X X

importante ressaltar a complexidade do IPSec, isto implica em dificuldades de configurao e de compatibilidade entre sistemas de fabricantes diferentes. Portanto, nunca confie totalmente num fabricante, prefira homologar os produtos antes de compr-los. 9.3 Certificados Digitais

O desenvolvimento mais importante no trabalho com os algoritmos de chave pblica a assinatura digital. A assinatura digital prov um conjunto de servios de segurana que seriam impossveis de se implementar de outra forma. Os algoritmos criptogrficos de chave pblica diferem dos convencionais (ou simtricos) pelo fato de possurem um par de chaves, a chave pblica e a privada. Cada participante deve ter uma chave pblica (que todos devem conhecer) e uma chave privada (que s ele deve conhecer). Maiores detalhes podem ser encontrados em qualquer curso ou livro bsico de criptografia, visto que estes algoritmos so amplamente difundidos. Com a assinatura digital deve ser possvel: Verificar o autor, a data e a hora da assinatura;

Treinamento em Segurana de Redes

46

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Autenticar o contedo do texto assinado; Verificar a assinatura com terceiros; Com base nestas propriedades ns podemos formular os seguintes requerimentos para uma assinatura digital: A assinatura deve ser funo da mensagem sendo assinada; Ela deve usar uma informao nica do remetente (chave privada); Deve ser relativamente fcil produzi-la; Deve ser relativamente fcil reconhecer e verificar a assinatura; Deve ser computacionalmente impraticvel forjar a assinatura; Deve ser prtico guardar uma cpia da assinatura;

Uma funo de hash segura includa neste esquema satisfaz estes requerimentos. Estudo de caso: DSS Digital Signature Standard: O DSS usa um algoritmo designado para prover apenas a funo de assinatura digital, o DAS Digital Signature Algorithm, ele baseado no fato de no se conseguir computar facilmente logaritmos discretos. O DSS no utiliza o RSA. 10. Gerncia de Segurana 10.1 Plano de Segurana Criar um plano de segurana uma tarefa dinmica que envolve diversas etapas. Uma vez que voc tenha definido suas metas, elaborando um plano de negcios para uso na Internet, voc poder criar o programa de segurana a ser usado para cuidar de eventuais riscos. Voc dever se preocupar com os servios de curto prazo, destinados a usurios finais, de que a sua empresa precisa, alm de levar em considerao o uso estratgico, a longo prazo, da Internet. Estamos falando at agora da Internet, que pode ser a primeira vista o ponto mais crtico, mas temos que nos preocupar com os fatores internos que podem ser bem mais graves. Resumindo: Distribuio de autoridades e privilgios; Poltica de senhas; Poltica de backup; Uso do Antivrus; Educao em segurana (palestras peridicas); Anlise de Risco o Destruio de Dados

Treinamento em Segurana de Redes

47

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


o o o o Perda Perda Perda Perda de de da de integridade de dados integridade do sistema ou da Rede capacidade de acesso ao Sistema ou a Rede reputao

Voc dever conduzir uma avaliao de risco dirigida, a fim de: o o o o Identificar reas de risco elevado; Tratar de riscos de segurana no considerados no conjunto de controles que voc utiliza; Obter um consenso quando os diferentes conjuntos de comandos bsicos forem contraitrios; Oferecer uma justificativa para utilizar um ou mais controles de segurana quando o interesse em faz-lo no for muito grande;

Anlise de ameaas Implementar os controles de segurana Gerenciar e administrar o o o o o Monitorao e Auditoria; Resposta a Incidentes; Resposta a problemas de segurana; Administrao da Segurana; Alocao de recursos

10.2 Anlise da ameaa A anlise da ameaa um processo de extrema importncia no planejamento da segurana. Ela envolve entender perfeitamente o seu sistema e como ele pode ser explorado, mas do que todas as outras etapas, voc deve pensar como um hacker pensaria e ainda avaliar os riscos que podem acontecer. Quanto voc gastar em contramedidas para cada rea? Entenda as ameaas reais ao sistema e avalie o risco dessas ameaas. mais fcil entender isso se voc puder se basear na experincia do mundo real, com ataques reais contra sistemas semelhantes. Descreva a diretriz de segurana exigida para defender-se contra as ameaas. Isto ser uma srie de instrues como: somente bancos autorizados tm permisso para modificar o saldo nos cartes Plastcash, ou todas as transaes com Plasticash precisam ter logs de auditoria. Projete as contramedidas que imponham a diretriz descrita anteriormente. Estas contramedidas sero uma mistura de mecanismos de proteo, deteco e reao.

Treinamento em Segurana de Redes

48

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL

10.3 Normas de Segurana O CERT (http://www.cert.org) possui arquivos com vrias normas e checklists de segurana. Podemos citar os excelentes checklists para UNIX e Windows. A BS7799 um conjunto de normas de segurana adotado mundialmente. Ela no gratuita e pode ser adquirida pela internet em: www.c-cure.org.

~ The End ~

Apndice A Glossrio de Segurana Access Control: Controle de acesso. Mecanismo para prover autenticao e privilgio para usurios em ambientes ou sistemas. Appz: Termo do mundo do software pirata que se refere a qualquer aplicativo. Ataque: Evento que pode comprometer a segurana de um sistema ou uma rede. Um ataque pode ter ou no sucesso. Um ataque com sucesso caracteriza uma invaso. Um ataque tambm pode ser caracterizado por uma ao que tenha um efeito negativo, Ex: DoS. Auditoria: Processo de anlise de causas e efeitos de incidentes, anlise de logs, etc. Autenticao: o processo de se confirmar a identidade de um usurio ou um host, esta pode ser feita na camada de aplicao (atravs de uma senha), ou mais complexa, no esquema desafio-resposta (utilizando algoritmos especficos).

Treinamento em Segurana de Redes

49

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Back door: um programa escondido, deixado por um intruso, o qual permite futuro acesso mquina alvo. Este termo um sinnimo para um termo mais antigo: trap door. Bug Uma falha, ou fraqueza num programa de computador. Veja vulnerabilidade. Cavalo de Tria Uma aplicao ou cdigo que, sem o conhecimento do usurio realiza alguma tarefa que compromete a segurana de um sistema, em geral, esta aplicao se apresenta ao usurio de forma rotineira e legtima, Ex.: um simples jogo que contm cdigo malicioso que envia os dados do usurio para um e-mail especfico. CERT The Computer Emergency Response Team Uma organizao dedicada a segurana, seu propsito dar assistncia redes que foram invadidas ou esto sob ataque. Eles podem ser encontrados em http://www.cert.org Certificao Existem duas definies para este termo. Primeira, certificao pode se referir para o resultado de uma avaliao com sucesso Cavalo de Tria: Veja Trojan Horse. CERT: Organizao de segurana Computer Emergency Response Team. Podem ser encontrados em: http://www.cert.org. Checksum: Hash criptogrfico. Cadeia de caracteres, geralmente de tamanho fixo que pode ser utilizada para representar de forma nica, um arquivo. Ex. Suponha um arquivo com 1000 linhas, ele pode ser representado por um checksum de, digamos, 15 caracteres. Se o arquivo for alterado o checksum (hash) ir alterar. Crack Programa utilizado para quebrar licenas de outros programas. Tambm pode se referir a programas utilizados para quebrar senhas.

Treinamento em Segurana de Redes

50

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Cracker Indivduo com conhecimentos elevados de computao e segurana, que os utiliza para fins criminosos, destruio de dados ou interrupo de sistemas. Tambm pode se referir a programas utilizados para quebrar senhas (Ex. Password Cracker). DES: Algoritmo de criptografia Data Encryption Standard, hoje obsoleto pelo AES Advanced Encryption Standard. Engenharia Social Tcnica utilizada por hackers e crackers para obter informaes interagindo diretamente com as pessoas. Exploit Programas utilizados por hackers e crackers para explorar vulnerabilidades em determinados sistemas, conseguindo assim, acessos com maior privilgio. Firewall Equipamento e/ou software utilizado para controlar as conexes (que entram ou saem) de uma rede. Eles podem simplesmente filtrar os pacotes baseados em regras simples, como tambm fornecer outras funes tais como: NAT, proxy, etc. Flood Sobrecarga (em geral, de pacotes) causada por eventos no esperados que causam lentido da rede. Hacker Indivduo com conhecimentos elevados de computao e segurana, que os utiliza para fins de diverso, interesse, emoo. Em geral, hackers no destroem dados, possuem um cdigo de tica e no buscam ganhos financeiros. O termo hacker atualmente adotado pela mdia de forma indiscriminada, se referindo a crackers por exemplo. Hacking o ato de hackear sistemas, no no sentido nico de invadir, mas principalmente de descobrir como funcionam, e se possuem falhas. Hijacking o assalto de uma sesso, geralmente TCP/IP. O assalto de sesso uma forma de obter o controle de uma conexo iniciada por um usurio legtimo. Ao interceptar esta

Treinamento em Segurana de Redes

51

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


conexo o hacker pode impedir o usurio legtimo de usar o sistema e tomar o seu lugar. Hole Um bug ou uma vulnerabilidade. Intrusion Detection System -IDS um Sistema de Deteco de Intruso, um software responsvel por monitorar uma rede ou sistema e alertar sobre possveis invases. Invaso Caracteriza um ataque bem sucedido. Lammer uma palavra que os hackers utilizam para identificar os ndividuos que se acham hackers, mas esto ainda no estgio inicial de aprendizado. Phreaking So os hackers de telefonia, convencional ou celular. Scanner Ferramenta utilizada por hackers ou especialistas em segurana que serve para varrer uma mquina ou uma rede, em busca de portas abertas, informaes ou servios vulnerveis. Script Kiddie o indivduo que saiu do estgio de lammer mas que s sabe usar as receitas de bolo, programas prontos e ainda no entende muito bem o que est fazendo. Sniffer Ferramenta utilizada por hackers e especialistas em segurana e de rede que serve para monitorar e gravar pacotes que trafegam pela rede, dependendo do sniffer, possvel analisar vrios dados dos pacotes, analisar protocolos, ver dados especficos da camada de aplicao, senhas, etc. Spoofing uma forma de manter uma conexo com uma mquina se fazendo passar por outra na qual ela confie. Um termo muito utilizado o IP Spoofing, que significa o uso de vulnerabilidades do Protocolo TCP/IP que permitem a ao descrita acima.

Treinamento em Segurana de Redes

52

COPPE/UFRJ - Laboratrio de Redes de Alta Velocidade RAVEL


Trojan, Trojan Horse So os cavalos de tria, programas que so entregues para o usurio de forma legtima (muitas vezes podem ser coisas interessantes como joguinhos, cartes virtuais, etc.), mas que internamente realizam aes maliciosas, tais como: gravar senhas, gravar toques de tecla, e posteriormente armazenar estas informaes ou enviar para outra pessoa. Vrus So cdigos ou programas que infectam outros programas e se multiplicam, na maioria das vezes podem causar danos aos sistemas infectados. VPN: Rede Privada Virtual Virtual Private Network Rede virtual criptografada criada atravs de um tnel numa rede IP convencional, utilizando o padro IPSec. Vulnerabilidade Estado de um componente de um sistema que compromete a segurana de todo o sistema, uma vulnerabilidade existe sempre, at que seja corrigida, existem vulnerabilidades que so intrnsecas ao sistema. Um ataque explora uma vulnerabilidade. Warez Nome utilizado por hackers para se referir a pirataria de software. Worm Um worm semelhante a um vrus, mas difere pelo fato de no necessitar de um programa especfico para se infectar e reproduzir. Muitos vrus hoje, possuem a caracterstica de worms e vice e versa.

Treinamento em Segurana de Redes

53