Tecr

Apresentao da Disciplina
Tcnicas de Evaso e Contra Resposta

Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardo.galvao@ifrn.edu.br
Twitter: @ricardokleber
(30/03 a 01/04/2012)
Especializao em1
23456789A31B3CDEFD

Especializao em Computao Forense
Estrutura Curricular
Metodologia da Pesquisa
Sociedade da Informao
Segurana em Sistemas Computacionais
Introduo Forense Computacional
Crimes Eletrnicos
Fundamentos da Investigao Criminal
Processo de Investigao
Percia Forense Computacional I
Percia Forense Computacional II
Introduo aos Aspectos Legais Formao da Prova
Regulamentos, Polticas de Segurana e Gesto de Riscos
Jurisprudncia e Relaes Digitais
Tpicos Avanados em Computao Forense
Prtica Forense Oficina Integradora
TCC

Informaes sobre a Disciplina
Ementa Sugerida
Respostas a Incidentes: introduo, preparao e Deteco
Procedimentos automatizados
Ameaas e Vulnerabilidades
Respostas a Incidentes em Software e Hardware
Reconstruo cronolgica de ataques
Tcnicas e ferramentas para testes de intruso
Anlise de Sistemas comprometidos
Contramedidas

Qual o foco da disciplina?
O que fazer...
... aps constatar um ataque e identificar a origem?
para identificar um ataque ANTES que ele ocorra?
para dificultar o xito de um ataque?
... para inibir outros ataques?

Importante!!!
Contra Resposta Contra Ataque
Bateu??? Levou !!!
Resposta a Incidentes de Segurana um processo de IDENTIFICAO,
NOTIFICAO e (EVENTUALMENTE) RESTRIO DE ACESSO.
No um processo de atacar de volta

Contedo Programtico
Respostas a Incidentes
Definies relacionadas a Incidentes de Segurana
Grupos de Resposta a Incidentes de Segurana (CSIRTs)
Centros de Resposta no Brasil e no Mundo
Notificao de Incidentes
Formalizao de notificao de incidentes (dados importantes e formato)
Ferramentas e tcnicas para coleta de informaes para notificao
whois, Registro.BR, NICs, provedores, ...

Contedo Programtico
Reconstruo cronolgica de ataques
Viso geral (configurao e logs) de firewalls, sistemas de deteco de
intruses (IDS) e Servidores de Logs (LogServers)
Cruzamento de logs para reconstruo cronolgica de ataques
Consistncia Temporal
Testes e ferramentas para testes de intruso (Pentest)
Varredura de portas (portscan)
Scanner de vulnerabilidades (Nessus/OpenVAS, Languard, )
Explorao de vulnerabilidades

Planejamento de Aulas
1
Avaliao
1
Atividades Presenciais (em sala)
1
Material de Apoio
1
Moodle (Ambiente de Educao Distncia)
[www.ricardokleber.com/moodle]
1
Notas de Aula
1
Textos Complementares
1
Bibliografia apresentada durante o curso

Outras Informaes Importantes
1
Contactando o Professor
1
Em sala de aula (durante as disciplinas do curso)
1
E-mail: ricardo.galvao@ifrn.edu.br
1
Frum do Moodle: http://www.ricardokleber.com/moodle
1
Gtalk: scardusklebs@gmail.com (uso espordico)
1
MSN: scardusklebs@hotmail.com (mais espordico ainda)
1

Resposta a Incidentes de Segurana
01 Resposta a Incidentes
Especializao em1
23456789A31B3CDEFD

Definies
Incidentes de Segurana
1
Qualquer fato ou evento que possa afetar a segurana pessoal de um
indivduo ou a segurana de uma organizao, pode ser considerado
um incidente de segurana.
1
Incidente x Ameaa
1
Ameaa tem um objetivo... Incidentes simplesmente ocorrem !
1
Muitos incidentes de segurana contra redes de computadores no so
identificados (falta de pessoal, qualificao, ferramentas... ou
simplesmente porque utiliza-se de novas tcnicas)

Definies
Qual o Tamanho do Incidente?

Definies
Motivaes para a Criao de uma Estrutura de Apoio
Complexidade crescente dos sistemas (hardware e software)
Grande nmero de vulnerabilidades
Falso Positivos e Falso Negativos (variao de ataques)
Facilidade em ocultar os passos de uma invaso
Comunicao rpida e eficiente entre invasores (email, WEB,
conferncias, chats, etc)
Legislao (ou falta de...
Mesmo problema resolvido de vrias formas diferentes

Definies
Motivaes para a Criao de uma Estrutura de Apoio
Banalizao do Consultor de Segurana
ex-invasores vendendo proteo
saber invadir = saber proteger?
invasores com pouco nvel de conhecimento
ferramentas automticas (e.g. rootkits)
Falta de experincia/capacitao de equipes de TI
Desatualizao de sistemas operacionais e servios
Phishing... botnets... Crime Organizado na Internet...

Definies
Gerenciamento de Incidentes de Segurana
Conjunto de processos necessrios para controlar ou administrar as
tarefas associadas com o tratamento de incidentes de segurana
Realizao de servios proativos e reativos, que auxiliam o processo de
tratamento de incidentes de segurana
Normalmente envolve os seguintes processos:
Preparao, Proteo, Deteco, Triagem e Resposta

Responsveis
Grupo de Resposta a Incidentes de Segurana
Um Computer Security Incident Response Team (CSIRT), ou Grupo de Resposta
a Incidentes de Segurana, uma organizao ou grupo responsvel por
receber, analisar e responder a notificaes e atividades relacionadas a
incidentes de segurana em computadores.
Servios proativos: auxiliam os processos de Preparao e Proteo,auxiliando o
pblico alvo a manter-se seguro, antecipando-se a problemas de segurana ou
ataques.
Servios reativos: so iniciados na ocorrncia de eventos de segurana ou a
pedido do pblico alvo.
Outros servios: o CSIRT pode auxiliar a instituio em diversos servios de
segurana, normalmente executados por outras partes da organizao.

CSIRT = Computer Security Incident Response Team
Atribuies
1
Trata das questes relativas segurana de sistemas e redes;
1
Identifica e resolve problemas que foram notificados por entidades externas e
internas;
1
Identifica e mantm, juntamente com outros setores de TI da instituio (quando
for o caso) requisitos de controle da poltica de segurana definida;
1
Prov sugestes para melhorar a segurana de sistemas;
1
Notifica aos rgos responsveis pela Internet brasileira os incidentes de
segurana ocorridos na instituio, bem como as medidas tomadas;
1
Atua em parceria com outras instituies para melhorar a segurana da Rede;
1
Elabora estatsticas e divulga alertas de vulnerabilidades.

www.cert.br/csirts/brasil

www.cert.br/csirts/brasil
www.cert.org/csirts

Comit Gestor da Internet no Brasil CGI.Br

CGI.Br e CSIRTs (Estrutura)
Comit Gestor da
Internet Brasileira
Centro de Estudos, Resposta e
Tratamento de Incidentes de
Segurana no Brasil
Grupos locais de
Resposta a
Incidentes
1
2
n
Portaria n 147 (1995) e Decreto n 4.829 (2003); Portaria n 147 (1995) e Decreto n 4.829 (2003);
Coordena e integra servios da Internet brasileira; Coordena e integra servios da Internet brasileira;
Foco: qualidade, inovao e disseminao da Internet; Foco: qualidade, inovao e disseminao da Internet;
Membros: governo, empresas, comum. acadmica. Membros: governo, empresas, comum. acadmica.
Foco: segurana na Internet no Brasil; Foco: segurana na Internet no Brasil;
Recebe, analisa e responde a incidentes de Recebe, analisa e responde a incidentes de
segurana da Internet brasileira. segurana da Internet brasileira.
Foco: segurana na Internet local; Foco: segurana na Internet local;
Recebem, analisam e respondem a Recebem, analisam e respondem a
incidentes de segurana de suas redes incidentes de segurana de suas redes
internas; internas;
Os grupos interagem entre si Os grupos interagem entre si

Comit Gestor da Internet no Brasil CGI.Br
Atribuies
1
Entre as atribuies e responsabilidades definidas no Decreto Presidencial
4.829, destacam-se:
1
a proposio de normas e procedimentos relativos regulamentao das
atividades na internet;
1
a recomendao de padres e procedimentos tcnicos operacionais para a
internet no Brasil;
1
o estabelecimento de diretrizes estratgicas relacionadas ao uso e desenvolvimento
da internet no Brasil;
1
a promoo de estudos e padres tcnicos para a segurana das redes e servios
no pas;
1
a coordenao da atribuio de endereos internet (IPs) e do registro de nomes de
domnios usando <.br>;
1
a coleta, organizao e disseminao de informaes sobre os servios internet,
incluindo indicadores e estatsticas.

CERT.br :: Computer Emergency Response Team
Atividades
1
Articulao das aes para resposta a incidentes envolvendo redes
brasileiras, como:
1
Combate a fraudes: contato com sites envolvidos para remoo de
cdigos maliciosos; envio de novos exemplares para fabricantes de
antivrus; troca de informaes tcnicas com instituies financeiras
1
Manuteno de estatsticas sobre incidentes de segurana
1
Desenvolvimento de documentos de Boas Prticas para usurios e
administradores de redes
1
Fomento criao de novos Grupos de Segurana e Resposta a Incidentes
(CSIRTs) no Brasil
1
Oferecimento de cursos oficiais do CERT/CC
1
Coordenao do Consrcio Brasileiro de Honeypots

CERT.br :: Computer Emergency Response Team
Parcerias
1
Forum of Incident Response and Security Teams (FIRST)
1
http://www.first.org
1
Anti-Phishing Working Group (APWG) Research Partner
1
http://www.antiphishing.org/
1
Honeynet Research Alliance Member
1
http://honeynet.org/alliance/

CSIRTs :: Resumindo (reas de Atuao)
Servios Reativos
Tratamento de Incidentes
Anlise, Resposta (on-site e/ou apoio remoto) e Coordenao
Servios de Alerta
Tratamento de Vulnerabilidades
Anlise, Resposta e Coordenao
Tratamento de Artefatos
Anlise, Resposta e Coordenao

Servios Proativos
Recomendaes
Acompanhamento de Tecnologia
Auditorias de Segurana
Operaes de Segurana
Infra-estrutura, Aplicaes e Ferramentas
Desenvolvimento de Ferramentas
Servios de Deteco de Intruses
Divulgao de Informaes relacionadas a Segurana da Informao

Gesto e Qualidade da Segurana
Anlise de Risco
Continuidade de Negcios e Recuperao de Desastres
Consultorias Externas (quando for o caso)
Poltica de Segurana
Formao e Capacitao
Avaliao e Certificao de Equipe e de Produtos

Procedimentos aps a identificao do incidente
Notificao de Incidentes
Porque?
Origem pode no saber que est sendo utilizada
Primeira (e quase sempre suficiente) tentativa de parar alguns tipos de ataque
Outros problemas (de maior gravidade) podem vir
Cooperao
Para quem?
E-mails de contato do provedor/rede de onde partiram as ocorrncias
Grupos de resposta relacionados
Cpia paras os CERTs do prprio backbone e do backbone de origem

Notificando Incidentes
Informaes Relevantes
Definio do incidente
Registros (logs) comprobatrios do incidente
Anlise dos logs (nem sempre o outro lado sabe ou tem tempo para analisar
logs enviados para uma resposta imediata)
Data e hora do(s) incidente(s)
Informaes sobre horrio local (timezone) e consistncia temporal
Endereos IP envolvidos e portas acessadas
Correlao (incidentes anteriores !!??)
Poltica de segurana institucional
Sanes / restries
Recomendaes
O que ser feito na reincidncia e/ou na ausncia de resposta

Notificando Incidentes
Ferramentas e Tcnicas para Identificar Origem
Host / Whois
host <endereo IP>
whois <endereo IP>
Registro.BR
http://registro.br
NICs Network Informations Centers (whois via web)
www.nic.br | www.internic.net | www.lacnic.net
www.apnic.net |www.cnnic.net.cn | www.afrinic.net

Incidentes de Segurana
Leitura Complementar
Incident Response Kenneth R. van Wyk,
Richard Forno, ISBN 0-596-00130-4,
http://oreilly.com/catalog/9780596001308/

Simulando Incidentes
02 Simulando Incidentes
Especializao em1
23456789A31B3CDEFD

Simulao de Incidentes (Efetivao de Ataques)
Se voc conhece o inimigo e conhece a si mesmo, no precisa temer o
resultado de cem batalhas...
Se voc se conhece mas no conhece o inimigo, para cada vitria ganha
sofrer tambm uma derrota...
Se voc no conhece nem o inimigo nem a si mesmo, perder todas as
batalhas
A Arte da Guerra (Sun Tzu)

Pen test :: O que ?

Pen test
Definio
Definio
1 Abreviao da palavra inglesa Penetration Test, que em portugus
significa Teste de Penetrao.
1 Processo de identificao e explorao de vulnerabilidades, tentando
utilizar dos mais diversificados mtodos que um atacante poderia utilizar,
(ataques lgicos, fsicos e engenharia social).
1 Prtica recomendada para aplicao peridica em redes institucionais
para medir o grau de vulnerabilidade e corrigir problemas antes que
sejam explorados por agentes externos.

Pen test x Anlise de Vulnerabilidades
Diferenas Fundamentais
Diferenas Fundamentais
1 A anlise de vulnerabilidades no explora as possveis falhas
(tende a gerar relatrios com um alto nmero de falso-positivos)
1 Possveis vulnerabilidades Vulnerabilidades explorveis
1 Anlise no mensura o risco que uma vulnerabilidade explorvel
pode causar.
1 Pen Test a forma adequada para determinar o risco real das
vulnerabilidades, e conseqentemente, trat-las de forma correta.

Pen test (Antes de comear...)
Aspectos Importantes
Aspectos Importantes
1 Antes de comear, deve ser firmado (entre equipe executora e instituio)
Contrato com valor jurdico especificando de forma clara os alvos, objetivos,
tipos de ataques que podem ser realizados, prazos, limites, confidencialidade e
autorizao da organizao.
1 A equipe de segurana da instituio no deve estar ciente da contratao do
Pen Test por uma equipe externa, (caso contrrio provavelmente medidas
complementares e monitoramento mais severo sero utilizados durante o
Pen Test), dessa forma no simulando um ataque em condies reais.

Pen test :: Tipos
1 Blind: a execuo feita sem conhecimento da estrutura da
organizao, a nica informao so IP(s) ou Host(s).
1 Non Blind: a execuo feita com conhecimento da estrutura da
organizao, tais como servidores, firewalls, roteadores, sistemas
operacionais, etc).
1 Externo: a execuo feita a partir da rede externa.
1 Interno: a execuo feita a partir da rede interna (LAN).

Pen test :: Por que fazer um?
1 Simulao real de ataque (risco real)
1 Identificao (antes de outros) de fragilidades
1 Diminuio de fatores de risco
1 Possibilidade de correo de problemas antes da explorao
1 Verificao de eficcia de poltica de segurana

Uma paradinha para Entender o Processo...
1 Anlise de Vulnerabilidades
1 Como um ataque padro?
1 Fundamentao terica para o assunto estudado
1 Conceitos e ferramentas para varredura de segurana
1 Passos e dicas para a realizao de um Pen Test
Pen test (Entendendo um Processo ntrusivo)
E
n
t
e
n
d
e
n
d
o

u
m
E
n
t
e
n
d
e
n
d
o

u
m
P
r
o
c
e
s
s
o

I
n
t
r
u
s
iv
o
P
r
o
c
e
s
s
o

I
n
t
r
u
s
iv
o
Prof. Ricardo Klber
ricardo.galvao@ifrn.edu.br ricardo.galvao@ifrn.edu.br

IncIdentes de
IncIdentes de
Segurana
Segurana
(O lado negro da fora)
(O lado negro da fora)
IncIdentes no rasII
IncIdentes no rasII
CAISlPNP CAISlPNP
Nmero de IncIdentes reportados (anuaI) Nmero de IncIdentes reportados (anuaI)
AtuaIizado em: 23.03.2012
http://www.rnp.br/cais/estatisticas
CEPT.P CEPT.P
IncIdentes reportados por ano ao CEPT IncIdentes reportados por ano ao CEPT (1 a 2011) (1 a 2011)
IncIdentes no rasII
IncIdentes no rasII
http://www.cert.br/stats/incidentes
CEPT.P CEPT.P
DrIgem dos Ataques DrIgem dos Ataques (JaneIro a 0ezembro de 2011) (JaneIro a 0ezembro de 2011)
IncIdentes no rasII
IncIdentes no rasII
http://www.cert.br/stats/incidentes/2011-jan-dec/top-atacantescc.html
CEPT.P CEPT.P
Nmero de Incidentes por Dia da Semana (Janeiro a Dezembro de 2011)
IncIdentes no rasII
IncIdentes no rasII
http://www.cert.br/stats/incidentes/2011-jan-dec/weekdays-incidentes.png
1
CEPT CoordInatIon Center (cert.org)
CEPT CoordInatIon Center (cert.org)
:
:
Nmero de IncIdentes Peportados: Nmero de IncIdentes Peportados:
Ano 1988 1989
Incidentes 6 132
1990-1999
Ano 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999
Incidentes 252 406 773 1,334 2,340 2,412 2,573 2,134 3,734 9,859
1988-1989
Ano 2000 2001 2002 2003
Incidentes 21,756 52,658 82,094 137,529
2000-2003
IncIdentes no hundo
IncIdentes no hundo

IdentIfIcando a Ameaa
IdentIfIcando a Ameaa
Onde est a ameaa ?
- No Servidor
- Nos Administradores
- Na Rede
- Nas Estaes
- Nas Pessoas
" "Nenhuma corrente maIs forte Nenhuma corrente maIs forte
que seu eIo maIs fraco" que seu eIo maIs fraco"
Entendendo um
Entendendo um
Processo IntrusIvo
Processo IntrusIvo
Passo-a-passo de um IncIdente Padro Passo-a-passo de um IncIdente Padro
1
Footprinting
Footprinting
(Levantamento de Informaes) (Levantamento de Informaes)
1
H servios externos da instituio? H servios externos da instituio?
(homepages, servidor de e-mails para funcionrios,...) (homepages, servidor de e-mails para funcionrios,...)
1
Consultas a portais de busca Consultas a portais de busca
1
Telefonemas instituio (sondagens) Telefonemas instituio (sondagens)
1
ENGENHARIA SOCIAL ENGENHARIA SOCIAL
As tcnicas de footprinting no constituem
crimes de fato, isto ,
No h como combater o footprinting
1
Footprinting
Footprinting
(Levantamento de Informaes) (Levantamento de Informaes)
1
Consulta a servidores DNS Consulta a servidores DNS (resoluo de nomes) (resoluo de nomes)
(nslookup www.alvo.com.br) (nslookup www.alvo.com.br)
1
Consulta FAPESP Consulta FAPESP
(whois www.alvo.br@registro.br) (whois www.alvo.br@registro.br)
1
Avaliao de rotas (equipamentos at o alvo) Avaliao de rotas (equipamentos at o alvo)
(traceroute www.alvo.com.br) (traceroute www.alvo.com.br)
Todos estes so processos lcitos, utilizados
tambm por administradores para fins
especficos, com tica e sem prejuzos
1
Footprinting
Footprinting
(Consulta a servidores DNS) (Consulta a servidores DNS)
$ nslookup www.uninorteac.com.br
Server: 10.1.1.1
Address: 10.1.1.1#53
Non-authoritative answer:
Name: www.uninorteac.com.br
Address: 201.10.143.45
1
Footprinting
Footprinting
(Consulta ao Registro.BR) (Consulta ao Registro.BR)
# whois www.uninorteac.com.br
domain: uninorteac.com.br
owner: Unio Educacional do Norte LTDA
ownerid: 004.515.940/0001-74
responsible: Kleber Matsuura
country: BR
owner-c: UNACR
admin-c: KLM67
tech-c: ERC271
billing-c: UNACR
nserver: ns1.m3corp.com.br
nsstat: 20110512 AA
nslastaa: 20110512
nsstat: 20110512 AA
nslastaa: 20110512
nsstat: 20110512 AA
nslastaa: 20110512
created: 20030120 #1075943
expires: 20120120
changed: 20101222
status: published
nic-hdl-br: ERC271
person: Erica Carvalho
e-mail: ericarvalhobr@hotmail.com
created: 20050318
changed: 20080408
nic-hdl-br: KLM67
person: Kleber Matsuura
e-mail: matsuurak@gmail.com
created: 20051023
changed: 20080901
nic-hdl-br: UNACR
person: Uninorte Acre
e-mail: erica.carvalho@uninorteac.com.br
created: 20101111
changed: 20101118
1
Port Scanners
Port Scanners
1
Ex.: Nmap (http://www.insecure.org/nmap) Ex.: Nmap (http://www.insecure.org/nmap)
Mais popular Mais popular portscanner portscanner para Unix para Unix
Utilizado no filme Matrix Reloaded Utilizado no filme Matrix Reloaded
Determinando servios em execuo no alvo Determinando servios em execuo no alvo
(portas abertas) e Sistema Operacional (portas abertas) e Sistema Operacional
1
Port Scanners
Port Scanners
(Exemplo do Nmap) (Exemplo do Nmap)
# nmap -O www.alvo.br
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on dns.ufrnet.br (200.XX.YYY.ZZZ):
(The 1546 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
143/tcp open imap2
443/tcp open https
Remote operating system guess: Linux Kernel 2.4.0 - 2.4.17 (X86)
Uptime 3.740 days (since Thu Jul 29 20:41:12 2005)
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
1
Port Scanners
Port Scanners
1
Eticamente saudvel utiliz-lo na prpria intranet para Eticamente saudvel utiliz-lo na prpria intranet para
identificar servios que no deveriam estar executando. identificar servios que no deveriam estar executando.
1
Mas utilizado por invasores exatamente para saber o Mas utilizado por invasores exatamente para saber o
que est em execuo nos servidores (porta que est em execuo nos servidores (porta / / servio) servio)
1
Juridicamente Juridicamente port scanning port scanning no crime no crime
1
normal algum verificar se sua casa tem portas ou normal algum verificar se sua casa tem portas ou
janelas destrancadas ? (Analogia com o mundo real) janelas destrancadas ? (Analogia com o mundo real)
O O port scanning port scanning j detectado por j detectado por
ferramentas de deteco de intruses ferramentas de deteco de intruses

0etector de Intruso
acusando sondagem de NhAP
Uma VIso do "HackerIsmo"
1
Scanners
Scanners
de Vulnerabilidades
de Vulnerabilidades
1
Como o Como o port scanner port scanner, identifica os servios em , identifica os servios em
execuo na(s) mquina(s) alvo. execuo na(s) mquina(s) alvo.
1
Porm, tambm identifica: Porm, tambm identifica:
1 A verso de cada servio em execuo. A verso de cada servio em execuo.
1 Se a verso reportada vulnervel a alguma Se a verso reportada vulnervel a alguma
falha conhecida (baseando-se em um banco falha conhecida (baseando-se em um banco
de assinaturas). de assinaturas).
1 Localizao (link) de ferramenta para explorar Localizao (link) de ferramenta para explorar
a falha e atacar o sistema alvo. a falha e atacar o sistema alvo.
Identificando vulnerabilidades especficas em cada Identificando vulnerabilidades especficas em cada
servio em execuo servio em execuo
1
Scanners
Scanners
de VuInerabIIIdades
de VuInerabIIIdades
1
Satan (http://www.fish.com/satan) Satan (http://www.fish.com/satan)
1
Saint (http://www.wwwdsi.com/saint) Saint (http://www.wwwdsi.com/saint)
1
Sara (http://www-arc.com/sara) Sara (http://www-arc.com/sara)
1
Nessus (http://www.nessus.org) Nessus (http://www.nessus.org)
1
Mais completo e mais utilizado atualmente (Unix) Mais completo e mais utilizado atualmente (Unix)
1
Arquitetura cliente/servidor Arquitetura cliente/servidor
1
Languard (http://www.gfi.com) Languard (http://www.gfi.com)
1
Mais completo e utilizado atualmente no Windows Mais completo e utilizado atualmente no Windows
1
Era gratuito, mas virou pago Era gratuito, mas virou pago (verso trial completa) (verso trial completa)



1
Eticamente tambm saudvel utiliz-lo Eticamente tambm saudvel utiliz-lo na prpria na prpria
intranet intranet para identificar servios que no deveriam estar para identificar servios que no deveriam estar
executando e verses de servios vulnerveis. executando e verses de servios vulnerveis.
1
Tambm utilizado por invasores para saber o que est Tambm utilizado por invasores para saber o que est
em execuo, qual a verso e se existe vulnerabilidades em execuo, qual a verso e se existe vulnerabilidades
conhecidas que possam ser exploradas conhecidas que possam ser exploradas
1
Esta atividade considerada INVASIVA e passvel de Esta atividade considerada INVASIVA e passvel de
punio em pases com leis contra crimes de informtica punio em pases com leis contra crimes de informtica
Este Este scanning scanning tambm detectado por tambm detectado por
ferramentas de deteco de intruses ferramentas de deteco de intruses
1
Scanners
Scanners
de Vulnerabilidades
de Vulnerabilidades
1
Anlise dos relatrios dos scanners Anlise dos relatrios dos scanners
1
Cruzamento de dados Cruzamento de dados
(verso dos servios x vulnerabilidades reportadas) (verso dos servios x vulnerabilidades reportadas)
1
Seleo de ferramentas para a vulnerabilidade Seleo de ferramentas para a vulnerabilidade
especfica do servio especfico do S.O. especfico especfica do servio especfico do S.O. especfico
1
0efInIo de AIvos
0efInIo de AIvos
1 Localizao mais rpida dos pontos mais frgeis da segurana
da rede alvo.
1 Os esforos so direcionados, ento, para alvos potenciais,
com vulnerabilidades conhecidas.
1 O nvel de conhecimento at aqui mnimo, mas os resultados
so desastrosos em grande parte dos servidores do mundo.
D Ataque
D Ataque
Explorando as vulnerabilidades Explorando as vulnerabilidades
TIpos : TIpos :
- Explots Explots baseados em baseados em negao de servIo negao de servIo
(0oS - (0oS - 0encl o] Servce 0encl o] Servce) )
- DbjetIvo DbjetIvo: nundar a mquIna com requIsIes, negando o : nundar a mquIna com requIsIes, negando o
servIo a usurIos legitImos servIo a usurIos legitImos
- Explots Explots baseados em baseados em buffer overflow buffer overflow
- DbjetIvo DbjetIvo: nvadIr a mquIna alvo com poderes de : nvadIr a mquIna alvo com poderes de
superusurIo superusurIo
Programas que expIoram vuInerabIIIdades especfIcas Programas que expIoram vuInerabIIIdades especfIcas
-
Exlots
Exlots
-
Ataque de 0oS
Ataque de 0oS
(Negao de ServIo) (Negao de ServIo)
FuncIonamento normaI de um servIdor web: FuncIonamento normaI de um servIdor web:
ServIdor ServIdor
www.algumacoIsa.com www.algumacoIsa.com
1
r
e
q
u
Is
I
o
2 requIsIes
1
r
e
q
u
Is
I
o
2 respostas
1
re
sp
o
sta
1
re
s
p
o
s
t
a

-
Ataque de 0oS
Ataque de 0oS (Negao de ServIo) (Negao de ServIo)
Uma mquIna dIspara vrIas requIsIes: Uma mquIna dIspara vrIas requIsIes:
ServIdor ServIdor
1
.
0
0
0
.
0
0
0
d
e
r
e
q
u
Is
I
e
s
2 requIsIes
1
r
e
q
u
Is
I
o
1
.
0
0
0
r
e
s
p
o
s
t
a
s
(
lIm
It
e
n
e
s
t
e
c
a
s
o
)
: : : :
:

:

:

:
UsurIos IegtImos fIcam sem resposta !!! UsurIos IegtImos fIcam sem resposta !!!

-
Ataque de 00oS
Ataque de 00oS (0oS 0IstrIbudo) (0oS 0IstrIbudo)
ServIdor ServIdor
1
r
e
q
u
Is
I
o
:

:

:

:
|quInas InvadIdas utIlIzadas |quInas InvadIdas utIlIzadas
Como "ponte" para o ataque (zumbIs) Como "ponte" para o ataque (zumbIs)
Atacante Atacante
Coordenador do Ataque Coordenador do Ataque
UsurIo LegitImo UsurIo LegitImo
(sem resposta) (sem resposta)
-
Atacante invade de fato a mquina alvo e assume o Atacante invade de fato a mquina alvo e assume o
controle da mesma. controle da mesma.
-
Aps o invasor normalmente: Aps o invasor normalmente:
-
Altera os programas bsicos da mquina para disfarar suas Altera os programas bsicos da mquina para disfarar suas
aes dali por diante. aes dali por diante.
- Apaga os registros (logs) de sua presena na mquina. Apaga os registros (logs) de sua presena na mquina.
- Captura senhas e documentos e envia para um e-mail. Captura senhas e documentos e envia para um e-mail.
- Prepara a mquina para servir de ponte para invases a Prepara a mquina para servir de ponte para invases a
outras mquinas. outras mquinas.
-
Ataque baseado em Ataque baseado em ujjer 0verjlow ujjer 0verjlow
-
Alguns invasores no tm o interesse em usar a mquina Alguns invasores no tm o interesse em usar a mquina
posteriormente e alteram a sua homepage principal. posteriormente e alteram a sua homepage principal.
-
Esta pichao ( Esta pichao (defacement defacement) utilizada por muitos ) utilizada por muitos
invasores para propaganda pessoal ou de seus grupos. invasores para propaganda pessoal ou de seus grupos.
-
Este tipo de atividade muito comum no Brasil Este tipo de atividade muito comum no Brasil
-
Alguns sites mantm registro e arquivo de pginas Alguns sites mantm registro e arquivo de pginas
pichadas, incentivando esta prtica. pichadas, incentivando esta prtica.
-
A grande maioria dos A grande maioria dos defacers defacers so so script kiddies script kiddies (fazem (fazem
uso de programas prontos) uso de programas prontos)
-
Ataque baseado em Ataque baseado em ujjer 0verjlow ujjer 0verjlow
-
0ejacements
0ejacements
(pIchao de homepages) (pIchao de homepages)
Hello WEBMASTER !!!!!!
This page was hacked by CRIME BOY'S
Este site Ioi hackeado pelos CRIME BOY'S
So porque Iui capaz de hackear este site no quer dizer que estou Iazendo algo ILEGAL.
Por que ao inves do governo Iicar se preocupando com as coisas que ando Iazendo, eles no
mandam prender os SAFADOS dos LADRES, os PILANTRAS dos PIRUEIROS que atuam
ilegalmente e os CORRUPTOS que dominam o BRASIL ????????????
SUX COJ
Seus lammer's parem de atropelar os sites hackeados por ns !!!!!
BRASIL Rules...!!!
Brazilian Hacking is 1he Best of the World!!!
by -1 H B 1- (hrb_cboyshotmail.com)
-
0ejacements
0ejacements
(pIchao de homepages) (pIchao de homepages)
Governo f**!!! To muito indignado!!! Com o governo de
Santa Catarina!!! Esse governador filho de uma cadela
e esse presidente mais ainda!!
O pai de uma amiga minha ta f****** e mal pago!!
Devendo um monte vai perder o emprego e naum sabe nem onde vai
trabalhar!!! Mas... assim!!
O governo vende o que nosso pros m****** dos outros pases,
Ai presidente hj eu estava pensando!! Reze pra nunca cruzar minha
frente, pq se isso acontecer!! Eu vou preso mas vou
feliz pq vou matar vc kra!!! hauahuah vou pra cadeia
catando assim:
Hj eu to feliz matei o presidente hauhauahau
HACKED BY
OHB TEAM
-
Snjjers
Snjjers
Pode estar Instalado: Pode estar Instalado:
- Na rede (em uma porta de hub por exemplo) Na rede (em uma porta de hub por exemplo)
- Captura todos os pacotes em Captura todos os pacotes em brocdccst brocdccst
- nterface em "modo promiscuo" nterface em "modo promiscuo"
- Quase Impossivel de detectar Quase Impossivel de detectar
- Na mquIna InvadIda Na mquIna InvadIda (prIncIpalmente se for um gateway) (prIncIpalmente se for um gateway)
Programas que capturam e anaIIsam os Programas que capturam e anaIIsam os
pacotes que trafegam na rede pacotes que trafegam na rede
-
ackdoors / Troans
ackdoors / Troans
-
Backdoors Backdoors (portas dos fundos) so portas no convencio- (portas dos fundos) so portas no convencio-
nais abertas em mquinas invadidas executando um nais abertas em mquinas invadidas executando um
servio (servidor) para ser acessado por um programa servio (servidor) para ser acessado por um programa
cliente especfico. cliente especfico.
-
Os Os backdoors backdoors facilitam o retorno do invasor mquina facilitam o retorno do invasor mquina
comprometida. comprometida.
-
Os cavalos de tria ( Os cavalos de tria (trojans trojans) so pequenos programas ) so pequenos programas
(geralmente incorporados a programas legtimos) (geralmente incorporados a programas legtimos)
executados sem o conhecimento do usurio da mquina executados sem o conhecimento do usurio da mquina
alvo para inicializar os alvo para inicializar os backdoors backdoors. .
-
ackdoors / Troans
ackdoors / Troans
- A maioria dos backdoors so detectados pelos antivrus atuais. A maioria dos backdoors so detectados pelos antivrus atuais.
- Se no detectados, um invasor utilizando um cliente especfico Se no detectados, um invasor utilizando um cliente especfico
conecta no servidor instalado e pode realizar na mquina alvo conecta no servidor instalado e pode realizar na mquina alvo
procedimentos como: procedimentos como:
-
Execuo de programas Execuo de programas
- Controle do mouse remoto Controle do mouse remoto
- Controle do teclado remoto Controle do teclado remoto
- Mandar mensagens (pop-up) ao usurio remoto Mandar mensagens (pop-up) ao usurio remoto
- Acionar drive de disquete ou CD-ROM Acionar drive de disquete ou CD-ROM
Os clientes geralmente dispem de interface grfica Os clientes geralmente dispem de interface grfica
e de fcil manuseio (para a alegria dos e de fcil manuseio (para a alegria dos lammers lammers) )
-
ackdoors / Troans
ackdoors / Troans
(WIndows) (WIndows)
-
BackOrifice BackOrifice
-
SubSeven SubSeven
-
Netbus Netbus (originalmente um software de administrao) (originalmente um software de administrao)
Os programas de controle remoto de estaes podem Os programas de controle remoto de estaes podem
ser utilizados (como o Netbus o foi) para este fim. ser utilizados (como o Netbus o foi) para este fim.
Embora, em caso de utilizao para administrao, Embora, em caso de utilizao para administrao,
possam ser configurados para alertar o usurio da possam ser configurados para alertar o usurio da
mquina remota que esto em execuo e indicar mquina remota que esto em execuo e indicar
quando o administrador remoto se conecta. quando o administrador remoto se conecta.
Assim o so o PcAnywhere, o VNC e o SMS Assim o so o PcAnywhere, o VNC e o SMS

-
ackdoors / Troans
ackdoors / Troans
(UnIx) (UnIx)
-
Porta definida normalmente por cada invasor. Porta definida normalmente por cada invasor.
-
Quase sempre utilizam criptografia (SSH). Quase sempre utilizam criptografia (SSH).
-
Aps instalado este servio, geralmente o invasor Aps instalado este servio, geralmente o invasor
corrige o erro que permitiu a invaso ou desativa o corrige o erro que permitiu a invaso ou desativa o
servio para evitar que outros tambm invadam. servio para evitar que outros tambm invadam.
-
Para no levantar suspeitas, utilizam nomes de usurios Para no levantar suspeitas, utilizam nomes de usurios
legtimos da mquina ou utilizam contas de servios legtimos da mquina ou utilizam contas de servios
(dificilmente alteram a senha do superusurio). (dificilmente alteram a senha do superusurio).
-
Loy Cleaners
Loy Cleaners
-
Alteram e/ou apagam arquivos de auditorias dos sistemas Alteram e/ou apagam arquivos de auditorias dos sistemas
(arquivos de logs no UNIX ou registros do Event Viewer no Windows) (arquivos de logs no UNIX ou registros do Event Viewer no Windows)
-
Tm por objetivo eliminar todos os registros de conexes Tm por objetivo eliminar todos os registros de conexes
e comandos dados pelo invasor. e comandos dados pelo invasor.
-
Executado normalmente nos procedimentos finais das Executado normalmente nos procedimentos finais das
invases (aps o comprometimento do sistema alvo). invases (aps o comprometimento do sistema alvo).
Ferramentas automatIzadas de Ferramentas automatIzadas de
" "IImpeza de rastros" IImpeza de rastros"
-
Os rootkits juntam todas as ferramentas do ps-invaso Os rootkits juntam todas as ferramentas do ps-invaso
em um s conjunto executvel. em um s conjunto executvel.
-
Geralmente executados assim que o invasor adquire o Geralmente executados assim que o invasor adquire o
controle da mquina alvo. controle da mquina alvo.
-
Altera executveis, instala sniffers e apaga logs. Altera executveis, instala sniffers e apaga logs.
-
O chkrootkit (www.chkrootkit.org) uma ferramenta O chkrootkit (www.chkrootkit.org) uma ferramenta
gratuita (brasileira) que detecta a maioria dos rootkits. gratuita (brasileira) que detecta a maioria dos rootkits.
-
Rootkts
Rootkts
Ferramentas automatIzadas para dImInuIr o tempo de Ferramentas automatIzadas para dImInuIr o tempo de
execuo de tarefas "rotIneIras" no processo de Invaso execuo de tarefas "rotIneIras" no processo de Invaso

-
O invasor pega o arquivo de senhas (criptografadas) dos O invasor pega o arquivo de senhas (criptografadas) dos
usurios da mquina invadida. usurios da mquina invadida.
-
Como o algoritmo irreversvel, no d pra aplicar uma Como o algoritmo irreversvel, no d pra aplicar uma
engenharia reversa para descobrir as senhas. engenharia reversa para descobrir as senhas.
-
Mas o algoritmo utilizado para a encriptao da senha Mas o algoritmo utilizado para a encriptao da senha
conhecido. conhecido.
-
Nomes comuns podem ser encriptados com o mesmo Nomes comuns podem ser encriptados com o mesmo
algoritmo e comparados ao arquivo de senhas. algoritmo e comparados ao arquivo de senhas.
-
Password Crackers
Password Crackers
Tambm conhecIdo como o "ataque do dIcIonrIo" Tambm conhecIdo como o "ataque do dIcIonrIo"

- Se o teste encrIptado Igual a alguma das senhas Se o teste encrIptado Igual a alguma das senhas
encrIptadas o Invasor descobrIu uma senha !!!! encrIptadas o Invasor descobrIu uma senha !!!!
-
Password Crackers
Password Crackers
Este procedImento de testes foI automatIzado Este procedImento de testes foI automatIzado
0IcIonrIo 0IcIonrIo
AlgorItmo AlgorItmo Fesultado Fesultado
ArquIvo de ArquIvo de
Senhas Senhas
encrIptadas encrIptadas
Comparao Comparao
gual : gual :
Se Se ND ND, repete o teste com proxImo nome , repete o teste com proxImo nome Senhas Senhas
quebradas quebradas
S
I
h
S
I
h

-
Password Crackers
Password Crackers
-
Password Crackers
Password Crackers
-
Ataque de difcil deteco. Ataque de difcil deteco.
-
O atacante instala do O atacante instala do keylogger keylogger e recolhe os resultados e recolhe os resultados
periodicamente ou manda-os via e-mail. periodicamente ou manda-os via e-mail.
-
Mesmo utilizando criptografia no servidor e na estao Mesmo utilizando criptografia no servidor e na estao
as senhas podem ser descobertas (pois so capturadas as senhas podem ser descobertas (pois so capturadas
antes da aplicao receb-las do antes da aplicao receb-las do driver driver do teclado) do teclado)
-
Combatida com o uso de anti- Combatida com o uso de anti-keyloggers keyloggers
-
Alguns altivrus detectam alguns tipos de Alguns altivrus detectam alguns tipos de keyloggers keyloggers
-
Keyloyyers
Keyloyyers
Captura de teclas digitadas diretamente na interrupo do teclado Captura de teclas digitadas diretamente na interrupo do teclado
-
Keyloyyers
Keyloyyers
-
Keyloyyers
Keyloyyers
-
Keyloyyers
Keyloyyers
-
Keyloyyers Fscos
Keyloyyers Fscos
-
Os Os worms worms atuais encontram servidores vulnerveis e atuais encontram servidores vulnerveis e
os invadem, picham suas pginas e os usam de pontes os invadem, picham suas pginas e os usam de pontes
para infectar outros servidores. para infectar outros servidores.
-
Lion Lion
um dos primeiros com este comportamento um dos primeiros com este comportamento
invaso de servidores MS-IIS invaso de servidores MS-IIS
Pichao de sites contra os EUA e a favor da China Pichao de sites contra os EUA e a favor da China
(episdio do avio americano que caiu em solo chins) (episdio do avio americano que caiu em solo chins)
-
Worms
Worms
At os prprios invasores esto automatizados At os prprios invasores esto automatizados
E
n
t
e
n
d
e
n
d
o

u
m
E
n
t
e
n
d
e
n
d
o

u
m
P
r
o
c
e
s
s
o

I
n
t
r
u
s
iv
o
P
r
o
c
e
s
s
o

I
n
t
r
u
s
iv
o
Prof. Ricardo Klber

Varredura de Portas (com Nmap)
Especializao em1
23456789A31B3CDEFD
04 Varredura de Portas (com Nmap)

Verificando Portas e Servios (na prpria mquina)
- Verificando Portas Abertas (Unix)
# netstat -anp | more
(p mostra o PID relacionado)
2 Identificar o PID da porta suspeita
2 Verificar informaes deste processo
# ps aux | grep <PID>
# top
1 Verificando Portas Abertas (Windows)
# netstat -ano | more
(o mostra o PID relacionado)

Verificando Portas e Servios (Remoto !!??)
- nmap
2 Ferramenta muito utilizada por administradores
(para checar portas abertas em servidores internos)
2 Tambm muito utilizada para sondagens por atacantes
Parmetros mais utilizados:
-sU : Varre somente portas UDP
-sT : Varre somente portas TCP
-sS : Tcnica conhecida como scan half-open
(no efetua uma conexo completamente)

Portscan com nmap
- nmap
Parmetros mais utilizados (cont.):
-sP : Ping scanning
-O : Tenta identificar qual o S.O. do host destino
-v : Modo verbose apresenta mais detalhes
-p : Determina que portas sero varridas
(pode ser somente uma ou range separado por -)

Portscan com nmap
- nmap
Exemplos:
# nmap -O 192.168.10.0/24
# nmap -sT -p 20-80 192.168.10.4
# nmap -sS -p 20,21,22,25,80 192.168.11.0/24
# nmap -sU -p 53 192.168.10.1

Portscan com nmap
- Exercitando
A partir de sua mquina (com nmap instalado)
1) Verifique as portas/servios abertos na prpria mquina
2) Verifique as portas/servios abertos na mquina de um colega
3) Verifique as portas/servios abertos nas mquinas da rede interna
4) Verifique que mquinas da rede interna tm o servio SSH disponvel

Varredura de Portas (Prtica)
Especializao em1
23456789A31B3CDEFD
05 Varredura de Portas
(Prtica)

Cenrio de Testes :: Preparao
- Cenrio Necessrio para os Testes
Mquina 1
(Ferramentas de
Sondagem e Ataque)
Mquina 2
(Portas/servios disponveis)
(vulnerveis !!??)
Ambiente Controlado (isolado !!??)

- Qual a melhor soluo para simular um ambiente vulnervel?
Um Honeypot !!!

- Mquinas e Softwares
Mquina 1
S.O. Linux
Portscan (Nmap)
Mquina 2
S.O. Windows
Honeypot (Valhala)
Ambiente Controlado (isolado !!??)

- Honeypot Valhala
Caractersticas:
1
Honeypot de Baixa Interatividade
1
Totalmente em Portugus
1
Desenvolvido em Delphi (com biblioteca sockets)
1
Sistema Operacional Windows
1
Gratuito (desenvolvido para estudo e demonstrao)
1
Fcil de usar (Clicar no boto Monitorar e pronto !!!)
1
Servios (falsos) padres: WEB, FTP, TELNET, SMTP, POP3, FINGER e TFTP
1
Outros padres: Portas de 7 trojans conhecidos:
1
Netbus 1, Netbus 2, WinCrash 1, SubSeven, HackAtack e BackOrifice 2000
1
OBS: Essas portas no permitem interao (somente esto abertas e registram aes)

Nmap x Valhala
- Exercitando
1
Ativar Honeypot Valhala (com portas/servios padres ativos)
1
Fazer o portscan com nmap (todas as portas) para verificar quais
servios/portas esto disponveis

- Honeypot HoneyBOT
Caractersticas:
1
Honeypot de Baixa Interatividade
1
Sistema Operacional Windows
1
Gratuito (desenvolvido para estudo e demonstrao)
1
Fcil de usar
1
Ativa diversas portas por padro

Nmap x Honeybot
- Exercitando
1
Ativar Honeypot Honeybot (com portas/servios padres ativos)
1
Fazer o portscan com nmap (todas as portas) para verificar quais
servios/portas esto disponveis

Ferramentas :: Nessus
Verso Open Source = OpenVAS

OpenVAS (Open Vulnerability Assessment System)
Caractersticas
1
Possui um conjunto de scripts que so capazes de testar vrias
vulnerabilidades de forma automatizada e simples.
1
Centenas de vulnerabilidades so testadas e, ao final do processo, um
relatrio gerado contendo informaes que podem ser utilizadas para
corrigir o problema e tambm indicando links com informaes mais
completas sobre as falhas encontradas no sistema.
1
Estrutura Cliente/Servidor
1
Simples de instalar e utilizar
1
Verso atual 4.0 (v. 5.0 experimental)
www.openvas.org

Funcionamento / Configurao
1
Aps instalado o servidor OpenVAS, deve-se configur-lo, atualizar o
banco de dados de plugins e instalar o cliente em uma mquina.
1
O OpenVAS criptografa todo o contedo que transmitido entre o
cliente e o servidor utilizando SSL.
1
Para que isso funcione corretamente, preciso gerar um certificado
no servidor. (script especfico j disponvel na instalao):]
# openvas-mkcert
1
Configura-se a validade do certificado CA, validade do certificado
do servidor, pas (BR), Estado, Cidade e Empresa/Instituio.
www.openvas.org

Adicionando Usurios
1
Para adicionar usurios no OpenVAS usa-se o comando:
# openvas-adduser
1
O script s permite criar um nico usurio por vez.
1
Informaes:
1
Login: o nome que o usurio ir utilizar para se conectar ao servidor atravs do
cliente;
1
Authentication: mtodo de autenticao do usurio: via certificado ou via senha.
1
Login password: senha utilizada para o usurio se conectar ao servidor
www.openvas.org

Adicionando Usurios
1
Outras Informaes:
1
Rules set: o controle sobre o que cada usurio pode fazer no OpenVAS bem
interessante. Quando voc cria uma conta, voc deve especificar o que esta conta
poder fazer, como por exemplo, quais hosts ela poder scanear. As regras seguem
esta forma:
1
accept 192.168.0.0/24
1
default deny
1
Quando terminar de definir as regras para o usurio que est sendo criado,
pressione as teclas Ctrl + D.
www.openvas.org

Atualizando a Base
1
O prximo passo atualizar os scripts que detectam as vulnerabilida-des
nos sistemas analisados.
1
Estes scripts so chamados de NVTs e atualizaes para eles so
disponibilizadas atravs de servios de feed.
1
Os desenvolvedores do OpenVAS disponibilizam um servio de feed
padro para atualizar os NVTs que j so distribudos com o OpenVAS.
1
Durante a atualizao, apenas NVTs novos e modificados sero
baixados para a sua mquina, o que otimiza um pouco o processo.
# openvas-nvt-sync
1
Esse processo demora um pouco para executar, mas no final todos os
plugins estaro atualizados e novos NVTs tero sido adicionados ao
banco de dados.
www.openvas.org

Executando o Cliente
1
Toda a ao do OpenVAS acontece no lado do cliente! l que
definido o host que ser analisado, quais NVTs sero executados o
relatrio.
1
Para executar o cliente, executa-se o comando:
# openvas-client
www.openvas.org

Especializao em
Computao Forense
www.ricardokleber.com.br
06 Honeypots (Viso Geral)
Especializao em1
23456789A31B3CDEFD

Honeypots } Honeynets
Para se defender do inimigo, primeiro
preciso conhecer o inimigo, ou seja,
conhecer seus mtodos de ataque, suas
ferramentas, tticas e objetivos.
(Autor Desconhecdo) (Autor Desconhecdo)
O sbio aprende muitas coisas com seus
inimigos.

ARISTOFANES ARISTOFANES

- Honeypot sIgnIfIca "pote de mel" um recurso
de segurana crIado para ser sondado, atacado e
comprometIdo.

Finalidades dos Honeypots
Finalidades dos Honeypots
- Coleta de codIgos malIcIosos
- dentIfIcar varreduras e ataques
- Acompanhamento das vulnerabIlIdades
- 0escobrIr as motIvaes dos atacantes
- AuxilIo aos sIstemas de deteco de Intruso
- |anter atacantes afastados de sIstemas Importantes

Esquema Bsico de um Honeypot
Esquema Bsico de um Honeypot
|quIna da Fede CorporatIva preparada exclusIvamente
para o estudo de aes IntrusIvas em caso de ataques

Tipos de Honeypots
Tipos de Honeypots
- Honeypot de produo: Servem para dIstraIr
atIvIdades malIcIosas de mquInas da rede ou como
mecanIsmo de alerta na rede de computadores.
- Honeypot de pesquIsa: Servem para monItorar e
estudar os comportamento dos atacantes.

Vantagens do Uso de Honeypots
Vantagens do Uso de Honeypots
- Como o Honeypot isolado, o fluxo de informaes para
anlise pequeno comparado com o fluxo de uma rede de
produo;
- acaba com os falsos alertas gerados pelos sistemas de
deteco de intrusos;
- Firewall e IDS no so sobrecarregados com grande trfego;
- exigncia de recursos mnimos;
- captura trfego encriptado;
- descoberta de novas ferramentas e tticas dos hackers

Honeypots :: Niveis de lnterao
- Nivel de atIvIdade que o 123456278permIte ao
atacante:
- Honeypots de baIxa Interao
- Honeypots de alta Interao

Honeypots de Baixa lnterao
Honeypots de Baixa lnterao
- apenas emulam servios e sistemas operacionais;
- fcil instalao;
- riscos mnimos;
- quantias de capturas de informaes limitadas;
- fcil descoberta por hackers qualificados

Honeypots de Alta lnterao
Honeypots de Alta lnterao
- sistemas operacionais e servios reais;
- permite capturar mais informaes;
- instalao mais complexa;
- risco maior
Os honeypots de produo normalmente tm um nvel Os honeypots de produo normalmente tm um nvel
baixo de interao, e de pesquisas tm um alto nvel. baixo de interao, e de pesquisas tm um alto nvel.

Difcil de distingir de um
sistema de produo
Difceis de iludir atacantes
avanados/determinados
Captura de mais
informaes, incluindo
ferramentas e comandos
Aes limitadas,
captura de trfego
Controle total Atacante no tem controle
Cuidados na instalao e
configurao.
Simples.
Fcil gerenciamento
Executam as verses reais Emulam sistemas e servios
AIta InteratIvIdade AIta InteratIvIdade aIxa InteratIvIdade aIxa InteratIvIdade

Localizao de um Honeypot
Localizao de um Honeypot

Legalidade dos Honeypots
- NecessrIo consIderar trs pontos:
- ArmadIlha;
- PrIvacIdade;
- FesponsabIlIdade

- Armadilha:
- Coagir ou induzir algum a fazer algo que normalmente
no faria, ou seja, instigar a prtica de um delito, pode
acarretar processo judicial.
- honeypot no induz ningum, at porque muitas vezes
uma emulao do sistema de produo da empresa;
- os ataques so por iniciativa do invasor;
- os honeypots no esto sendo usados para processar
ningum, e sim como meio para novas descobertas.

- PrIvacIdade:
- o sIstema que o atacante est usando no pertence a ele,
portanto toda monItorao realIzada no sIstema no pode
caracterIzar quebra de prIvacIdade.
- FesponsabIlIdade
- se o 123456278for comprometIdo e utIlIzado para
prejudIcar outras redes pode acarretar processo cIvIl.

Honeynets
Honeynets
No um sIstema unIco,
mas sIm uma rede de sIstemas e aplIcatIvos
multIplos, projetada para ser
comprometIda e observada
D Honeynet Project foI Ianado em 1
http:llwww.honeynet.org

Honeynets
Honeynets
- uma rede altamente controlada
(todo pacote que entra ou deIxa a honeynet
monItorado, capturado, e analIsado).
- Qualquer trfego que entra ou deIxa a Honeynet
suspeIto por natureza.
- 923453478 um conjunto de 12345627A8de alta
Interao, utIlIzados prIncIpalmente para pesquIsa.

Honeynets :: Exemplo
Honeynets :: Exemplo
- crIado um ambIente
que reflete uma rede de
produo real;

- Nada feIto para tornar
os sIstemas Inseguros.

Honeynets :: Objetivos
Honeynets :: Objetivos
- Conhecer o InImIgo (8lackhats), suas ferramentas,
suas ttIcas e suas motIvaes;
- Coletar dados e analIsar ferramentas para
aperfeIoamento de sIstemas de deteco de
Intruso;
- Controle das aes IntrusIvas

Honeynets :: Componentes
- Formada por dIversos elementos, dIvIdIdos em:
- Componentes alvos: so os honeypots;
- Componentes de Interconexo e conteno de
fluxo;
- Componentes de captura, armazenamento e
anlIse

- Poteador: componente de Interconexo que tem
por funo decIdIr qual o camInho que os pacotes
que lhe so envIados devero seguIr
- FIrewaII: componente de conteno de fluxo de
dados que separa, restrInge e analIsa datagramas
P que passam por ele.

- SIstemas de 0eteco de Intruso (S0 ou 0S):
componente de captura e anlIse de fluxo de dados,
auxIlIando na monItorao do trfego da rede.
- Logserver: componente de armazenamento.
Seus regIstros possuem Informaes sobre os eventos
ocorrIdos, possIbIlItando verIfIcao ou anlIse.

- ImportncIa dos Iogs:
- Fornecem uma vIso das atIvIdades que esto
ocorrendo nos sIstemas;
- Podem fornecer dados para anlIses de deteco
de problemas ou falhas de segurana nos
sIstemas;
- Podem ser utIlIzados como evIdncIas de um
IncIdente de segurana.

Exemplo de envIo de logs de audItorIa para o Logserver

Honeynets :: Funcionamento
Honeynets :: Funcionamento
- Tornar a rede atIva:
- CrIar contas de usurIos;
- EnvIar emaIls entre eles;
- Forjar documentos em alguns dIretorIos;
- UtIlIzar FTP ou TELNET;
- UtIlIzar alguns comandos que sero armazenados
em hIstorIco

Honeynets :: Controle de Dados
- o fluxo de trfego deve ser controlado;
- o controle de acesso obtIdo com a utIlIzao de um fIrewall
InvIsivel;
- necessrIo defInIr que qualquer conexo da nternet para a
123453478 autorIzada;
- que toda conexo de um 123456278para nternet controlada;
- a 123453478e a rede admInIstratIva no possuem nenhum tIpo
de comunIcao dIreta.

- Quanto maIs atIvIdade permItIr, maIor o rIsco e tambm o
potencIal de aprender;
- LImItando as conexes em casos de ataques a outros sIstemas
os Invasores podero desconfIar;
- 0eve conter um sIstema antIspoofIng (evItar 0oS);
- Ceralmente utIlIzase um roteador entre o FIrewall e a
Honeynet

Honeynets :: Captura de Dados
Honeynets :: Captura de Dados
- Todas as atIvIdades dos atacantes na 123453478
devem ser regIstradas e capturadas para posterIor
anlIse;
- Ds dados capturados no devem ser armazenados
localmente (mandar para o Logserver)

Honeynets :: Estrutura
Honeynets :: Estrutura

Honeynets :: Tipos
Honeynets :: Tipos
- CIssIca:
- Composta por sIstemas reaIs (fisIcos)
- nstalaes especifIcas;
- SIstemas operacIonaIs varIados e Independentes

Honeynet Clssica
Honeynet Clssica

Honeynet Clssica
Honeynet Clssica
- Vantagens:
- Dispositivos reais;
- Mais segurana pela descentralizao dos
honeypots
- Desvantagens:
- Custo elevado;
- Dificuldades na instalao e administrao;
- Complexidade para manuteno;
- Espao alocado muito grande;

Honeynets :: Tipos
Honeynets :: Tipos
- VIrtuaI:
- Composta por Honeypots vIrtuaIs (mquInas
vIrtuaIs);
- Uso de emuladores;
- Todo ambIente composto por uma unIca mquIna
(sIstemas operacIonaIs emulados)

Honeynet Virtual
Honeynet Virtual

Honeynet Virtual
Honeynet Virtual
- Vantagens:
- custo reduzIdo;
- gerencIamento facIlItado;
- facIlIdade na Instalao e admInIstrao;
- menor gasto de energIa eltrIca, devIdo menor
quantIdade de mquInas utIlIzadas
- 0esvantagens:
- lImItao nos tIpos de sIstemas operacIonaIs oferecIdos
pelos softwares de vIrtualIzao;
- possIbIlIdade de comprometImento do software de
vIrtualIzao;
- InstabIlIdade pelo uso exaustIvo de memorIa

Honeynet Virtual :: Exemplo
Honeynet Virtual :: Exemplo
- Specter:
- Instalado em um unIco equIpamento.
- Podem ser emulados at 14 SIstemas
DperacIonaIs dIferentes.

Brazilian Honeypots
Brazilian Honeypots
Alliance
Alliance

Honeynet.BR
Honeynet.BR
- DrganIzao mantIda por NPE e pelo CEFT.8F
- nicIo em dezembro de 2001 e operao em maro de 2002
- Em junho de 2002, o projeto Honeynet.8F foI adIcIonado a
Honeynet Fesearch AllIance
www.honeynet.org.br

Honeynet.BR
Honeynet.BR
- SO OpenBSD
- Mecanismos de conteno
e gerao de alertas foram
desenvolvidos por
membros do projeto.
- Projeto detectou que
grande parte de ataques
so executados atravs de
worms automatizados.

Honeynets :: Concluses
Honeynets :: Concluses
- 92345627A84892345347A8so recursos de segurana
planejados para serem comprometIdos, com o objetIvo de
estudar os ataques e os atacantes, suas tcnIcas, motIvos e
ferramentas utIlIzadas; podem ser utIlIzados tambm para
desvIar a ateno dos destInos reaIs.
- Embora sejam de grande valor, os 12345627A84812345347A8
no devem substItuIr nenhuma tcnIca de segurana atIva
na rede de uma empresa.

Firewall Linux Netfiliter/Iptables
07 - Firewall Linx Netfilter/Iptables
Especializao em1
23456789A31B3CDEFD

Contextualizando...
Relembrando a Pilha TCP/IP
aplicao
transporte
rede
enlace
fsica
aplicao
transporte
rede
enlace
fsica
Origem Destino
M
M
M
M
M
M
M
M
mensagem
segmento
datagrama
quadro
Ct
Ct
Ct Cr
Cr
Ce
OBS: A camada fsica no especificada no TCP/IP
Ca
Ca
Ca
Ca
Ct
Ct
Ct Cr
Cr
Ce
Ca
Ca
Ca
Ca

A Camada de Rede
O Datagrama IP (Internet Protocol)
ver
lenght
32 bits
data
(tamanho varivel ,
tipicamente um segmento
TCP ou UDP)
16-bit identifier
nternet
checksum
time to
live
Endereo IP de origem
verso do Protocolo P
tamanho do cabealho
(bytes)
nmero mximo
de saltos
(decrementado em
cada roteador)
para
fragmentao / remontagem
tamanho total
do datagrama
(bytes)
Protocolo da camada
superior com dados no
datagrama
head.
len
type of
service
Classe de servio flgs
fragment
offset
proto
coIo
Endereo IP de destino
Opes (se houverem) Ex. timestamp,
registro de rota
lista de roteadores a visitar.
Contextualizando...

porta origem porta destino
32 bits
dados de aplicao
(mensagem)
outros campos de cabealho
TCP
ou
UDP
A Camada de Transporte
Contextualizando...

O Segmento UDP
32 bits
Dados de Aplicao
(mensagem)
tamanho checksum
Tamanho, em bytes do
segmento UDP,
ncluindo cabealho
Contextualizando...

O Segmento TCP
32 bits
dados de aplicao
(tamanho varivel)
nmero de seqncia
nmero de reconhecimento
janela de recep.
dados urgentes checksum
F S R P A U
tam.
no
usado
Opes (tamanho varivel)
URG: dados urgentes
ACK: campo de ACK
vlido
PSH: fora o envio
imediato de dados
RST, SYN, FN:
estabelec. de conexo
(flags de
criao e trmino)
nmero de bytes
receptor est
pronto para
aceitar
sincronizao
transmisso/
recepo
nternet
checksum
(como no UDP)
Contextualizando...

Portas de Acesso
1
Os protocolos de transporte (TCP e UDP) disponibilizam 65.536 (2
16
) portas
para estabelecimento de conexo
1 Servidores (uso de portas 2 1024)
Servios especficos Portas Especficas
1 Clientes (uso de portas > 1024)
- FTP = 21/TCP
- Telnet = 23/TCP
- SMTP = 25/TCP
- DNS = 53/TCP e 53/UDP
- HTTP = 80/TCP
- POP3 = 110/TCP
Contextualizando...

Sockets
Conjunto de informaes que caracterizam cada pacote
como nico (base para identificao de sesses no TCP/IP):
Transporte + IP
Endereo IP de Origem / Porta de Origem
Endereo IP de Destino / Porta de Destino
Protocolo
OBS1.: Os dados Endereo IP de Origem, Endereo de Destino e Protocolo so
retirados do cabealho IP
OBS2.: Os dados Porta de Origem e Porta de Destino so retirados do cabealho TCP
Contextualizando...

Sockets
version(4) header length (4) TOS (8) total length (16)
identification (16) flags (3) fragment offset (13)
TTL (8)
protocol (8)
header checksum (16)
source address (32)
destination address (32)
options (if any)
source port (16) destination port (16)
sequence number (32)
acknowledgment number (32)
header length (4) reserved (6) flags (6) window size (16)
TCP checksum (16) urgent pointer (16)
options (if any)
Cabealho
IP
Cabealho
TCP
Contextualizando...

Roteamento
1232
4
Roteador
1232
5
Pacotes Pacotes

Usando Firewalls possivel...
3 ... monitorar (e bloquear) trfegos especficos (de/para a rede
interna ou externa)
3 ... gravar registros de acessos de/para equipamentos internos e
externos
3 ... limitar a exposio de equipamentos da rede interna

Usando Firewalls NO possivel...
3 ... proteger equipamentos da rede interna de usurios internos
3 ... garantir 100% de segurana no acesso entre redes
3 ... garantir a segurana de protocolos inseguros

Firewalls (Configurao Padro)

Firewalls (Filtragem de Pacotes)

Rede
Externa
Firewall
Rede
Interna
Pacotes Pacotes

Firewalls (Filtragem de Pacotes)
Firewall
1232
5
1232
4
Pacotes Pacotes

Firewalls e a Camada de Rede
Endereo IP de Origem
Endereo IP de Destino
Bloqueio de Acessos a partir de determinadas mquinas/redes
Bloqueio de Acessos destinados a determinadas mquinas
Elementos de Filtragem

Firewalls e a Camada de Transporte
Porta de Origem
Porta de Destino
Elementos de Filtragem
Bloqueio de Acessos a determinados servios
(Portas conhecidas = Servios Conhecidos)

Filtragens No Convencionais
E os demais campos de um segmento TCP?
E a camada de enlace?
Filtrando Outras Camadas e/ou Campos
E a camada de aplicao?
Filtragens especficas utilizando Extenses do Iptables

Implementando Firewalls Linux

Histrico
1994 :: o ipfw (BSD) foi portado para o Linux
1996 :: ipfwadm (Kernel 2.0.x)
1998 :: ipchains (Kernel 2.2.x)
1999 :: iptables (Kernel 2.4.x)
Evoluo dos Firewalls Linux

Listas de Regras (Chains)
Entrada
Deciso de
Roteamento FORWARD
Sada
INPUT
Processamento
Local
OUTPUT
Firewalls Linux :: Funcionamento Interno

Filtragem Bsica :: Filtro de Pacotes
Realizam a filtragem de pacotes baseados nos dados:
6 endereo/porta de origem;
6 endereo/porta de destino;
6 protocolo;
6 ao (BLOQUEAR ou ACEITAR).
Firewalls no Linux

Bloqueio de pacotes
O Ipfwadm utiliza o DENY
O Ipchains utiliza o DENY ou REJECT
O Iptables utiliza o REJECT ou o DROP
REJECT :: Descarta e envia um ICMP Origem
DROP :: Descarta sem notificar Origem
O Reject entrou em desuso e hoje considerado opcional
Firewalls no Linux :: Aes

Pacotes destinados ao prprio firewall
1232
Pacotes
Regras
INPUT
Accept ?
Reject ?
Drop ?
Firewalls no Linux :: Regras INPUT

Pacotes originados no firewall
1232
Pacotes
Accept ?
Reject ? Drop ?
Regras
OUTPUT
Firewalls no Linux :: Regras OUTPUT

1232
Pacotes
Accept ?
Reject ?
Drop ?
Gateway
Mquina
Interna
Regras
FORWARD
Repasse de Pacotes
Firewalls no Linux :: Regras FORWARD

Desde o Ipchains possvel...
Criar/Alterar/Remover novas Chains
Inserir sub-regras especficas
Desviar trfegos especficos para filtros especficos
Criao de Novas Chains

Pacotes
Filtro
Porta
X
Porta
Y Pacotes
destinados a
outras portas
Regras
Especficas
Regras
Especficas
Chains Default
Chains
definidas
pelo usurio
DROP ?
DROP ?
ACCEPT ?
ACCEPT ?

enefcIos
enefcIos
Alvio no trfego Alvio no trfego
No implementado por todos os desenvolvedores No implementado por todos os desenvolvedores
Possibilidade de criao de grupos para sumarizao de Possibilidade de criao de grupos para sumarizao de
regras regras

SIntaxe sIca
SIntaxe sIca
-A Acrescenta uma nova regra a uma chain
-I nsere uma nova regra no incio da lista
-D <pos> Apaga uma regra em uma posio especfica
-D <regra> Apaga a primeira regra que coincidir
-L Lista as regras de uma chain
-j Ao (bloquear [DROP] ou aceitar [ACCEPT]?)
(Basicamente, os parmetros A e D so os mais utilizados)
Manipulando Regras Iptables

SIntaxe sIca
SIntaxe sIca
-A FORWARD Regra de Forward
-A INPUT Regra de nput
-A OUTPUT Regra de Output

PrIncIpaIs Dperaes
PrIncIpaIs Dperaes
-N Cria uma nova chain
-X Deleta uma chain (vazia)
-P Muda as regras para uma chain padro
-F Apaga (flush) as regras de uma chain

Habilitando o Repasse de Pacotes
Para roteamento e uso do FORWARD
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward

0efInIndo as PoItIcas 0efauIt
0efInIndo as PoItIcas 0efauIt
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Iptables -P FORWARD DROP
Tudo o que no for expressamente permitido proibido
ou
Tudo o que no for expressamente proibido permitido

Definindo Protocolo para a Regra:
-p :: protocolo [tcp, udp, icmp...]
Definindo Porta Especfica (servio) para a Regra:
--sport :: source port (porta de origem)
--dport :: destination port (porta de destino)

Outros Parmetros para Regras Iptables

1
Firewall no servio (no tem nmero de processo)
1
Firewall atua diretamente no kernel (no sobre ele)
1
O Netfilter/Iptables vem instalado por padro nas principais
distribuies Linux
1
Antes de inserir novas regras no firewall, observar as regras
ativas (se necessrio realizar um flush antes de aplicar)
1
Um reboot na mquina no preserva as regras inseridas (ideal
utilizar shell script para ativar regras na inicializao)
Antes de Praticar... Importante !!!

Hora de Praticar para Fixar
Prtica com cenrios bsicos para
Firewalls Linux Padres
(shell scripts)

Firewall Linux :: Situao Desejada
1
Regras no prprio servidor
1
Limpar regras pr-existentes
1
Liberar acesso Web ao Servidor
1
Bloquear acesso a outros servios baseados em TCP
1
Bloquear pings

Firewall Linux :: Dicas para Implementao
1
Regras no prprio servidor
1
Usar chain INPUT
1
Limpar (flush) regras pr-existentes
1
iptables -F
1
Liberar acesso Web ao Servidor
1
Acessos porta 80/TCP? OK!
1
Bloquear acesso a outros servios baseados em TCP
1
Acessos s demais portas TCP? Bloquear
1
Bloquear pings
1
Pacotes ICMP? Bloquear!

Firewall Linux :: Script para Implementao
#!/bin/sh
iptables -F
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP
Para visualizar as regras de filtragem ativas:
iptables -L

Firewall Linux Situao Desejada
1
Regras no firewall entre redes
1
Limpar regras pr-existentes
1
Liberar acesso aos Servidores Web (na rede interna)
1
Bloquear acesso a outros servios baseados em TCP (na rede interna)
1
Bloquear pings (na rede interna e no prprio firewall)

Firewall Linux :: Dicas para Implementao
1
Regras no firewall entre redes
1
Usar chain FORWARD e habilitar roteamento
1
Limpar (flush) regras pr-existentes
1
iptables -F
1
Liberar acesso aos Servidores Web (na rede interna)
1
Acessos porta 80/TCP? OK!
1
Bloquear acesso a outros servios baseados em TCP (na rede interna)
1
Acessos s demais portas TCP? Bloquear
1
Bloquear pings (na rede interna e no prprio firewall)
1
Pacotes ICMP? Bloquear! [INPUT e FORWARD]

Firewall Linux :: Script para Implementao
#!/bin/sh
echo 1>/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -j DROP
iptables -A FORWARD -p icmp -j DROP

Definindo Origem e/ou Destino da Regra:
-s :: source (origem) [mquina ou rede]
-d :: destination (destino) [mquina ou rede]
Definindo Interface de Entrada ou Sada:
-i :: interface de entrada (in)
-o :: interface de sada (out)

Outros Parmetros para Regras Iptables

1
O LOG no Iptables foi modularizado para ser flexvel
1
Modo padro de uso: regra -j LOG
1
Registra nos LOGs do Linux quando regra coincidir
1
Personalizao mais importante: --log-prefix
-j LOG --log-prefix 'Texto para gravar nos Logs'
1
Exemplo: Bloquear e logar pings (pacotes ICMP):
iptables -A INPUT -p icmp -j LOG --log-prefix '[Ping Bloqueado]'

Firewall Linux :: O Alvo LOG

1
Intervalo Sequencial de Portas:
4 iptables -A FORWARD -p tcp --dport 1:1024 -j ACCEPT
1
Portas no sequenciais (at 15 por regra):
4 iptables -A FORWARD -p tcp -m multiport --dport
21,22,25,80,110,143 -j ACCEPT

Firewall Linux :: Mltiplas Portas

NAT = Network Address Translation
NAT = Network Address Translation
Converso de endereos de origem
Converso de endereos de destino
Redirecionamento de portas
Mascaramento
Firewall Linux :: Iptables :: A Tabela NAT


Firewalls no Linux
Chains Padro
Chains Padro
PREROUTING
POSTROUTING
OUTPUT

NAT 1:N Mascara N endereos privados em 1
endereo pblico
NAT 1:1 Permite acesso a uma mquina interna
convertendo seu endereo interno em
um endereo pblico para acesso externo

Chain POSTROUTING
Chain POSTROUTING
Mascaramento N:1
Uso do alvo MASQUERADE
iptables -t nat -A POSTROUTING
-s origem
-o interface de sada
-j MASQUERADE
Ex.: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Geralmente mascara toda uma rede interna

Chain POSTROUTING
Chain POSTROUTING
Modificao de endereo de origem SNAT
Utilizada no trfego de sada (-o interface)
iptables -t nat -A POSTROUTING
-s origem
-o interface de sada
-j SNAT --to origem mascarada
Procedimentos depois do roteamento (mascaramento)
Ex.: iptables -t nat -A POSTROUTING -s 10.1.2.3 -o eth0 \
-j SNAT --to 200.1.2.3

Chain PREROUTING
Chain PREROUTING
Modificao de endereo de destino DNAT
Utilizada no trfego de entrada (-i interface)
iptables -t nat -A PREROUTING
-d destino
-i interface de entrada
-j DNAT --to destino real
Procedimentos antes do roteamento
Ex.: iptables -t nat -A PREROUTING -d 200.1.2.3 -i eth0 \
-j DNAT --to 10.1.2.3

Chain PREROUTING
Chain PREROUTING
Tambm utilizada para Redirecionar portas
Bastante utilizada para Proxy Transparente
Ex.: iptables -t nat -A PREROUTING -p tcp --dport 80 \
-j REDIRECT --to-port 3128

Firewall Builder
Frontend Grfico para o Iptables

Caractersticas
Caractersticas
Arquivo de configurao (.fwb)
Gerao de Scripts para Firewalls Diversos
Permite criao de grupos de hosts ou servios
Comentrios so inseridos nos scripts
Uso de sub-chains
Cliente para Windows ou Linux (www.fwbuilder.org)
Firewall Builder

Criao do Objeto Firewall e Interfaces
Firewall Builder
Frontend Grfico para o Iptables :: Configurao Inicial

Firewall Builder
Frontend Grfico para o Iptables :: Firewall Settings

Firewall Builder

Firewall Builder

Firewall Builder
Frontend Grfico para o Iptables :: Host OS Settings

Firewall Builder
Frontend Grfico para o Iptables :: Host OS Settings

Firewall Builder
Frontend Grfico para o Iptables :: Interface Interna

Firewall Builder
Frontend Grfico para o Iptables :: Interface Externa

Objetos (Objects)
Objetos (Objects)
Endereos IP (Addresses)
Faixas de Endereos
(Address Ranges)
Grupos (Groups)
Hosts
Networks (Redes)
Firewall Builder
Frontend Grfico para o Iptables :: Objetos

Regras para cada interface de rede
Regras para todas as interfaces (Policy)
Regras de Mascaramento (NAT)
Firewall Builder
Frontend Grfico para o Iptables :: Regras

Drag-and-Drop
Firewall Builder
Frontend Grfico para o Iptables :: Inserindo Regras

Origem / Destino [Source / Destination]
Servio (porta) [Service]
Aco (Aceitar ou Negar) [Action]
Opes (Ativar Log ou no) [Options]
Comment (comentrio sobre a regra)
Firewall Builder
Frontend Grfico para o Iptables :: Inserindo Regras

Servios (Services)
Servios (Services)
IP
ICMP
TCP
UDP
Grupos (Groups)
Firewall Builder
Frontend Grfico para o Iptables :: Servios

Standard
Standard
Servios Padro
Read-Only
Outros servios
Hosts/Redes Personalizados
Grupos (Groups)
User
User
Firewall Builder
S
is
t
e
m
a
s

d
e

D
e
t
e
c
o
S
is
t
e
m
a
s

d
e

D
e
t
e
c
o
d
e

I
n
t
r
u
s
e
s

(
I
D
S
)
d
e

I
n
t
r
u
s
e
s

(
I
D
S
)
Prof. Ricardo Klber

Preveno de FaIhas
- FIrewalls
- CrIptografIa
- PolitIca de Segurana
Processos de Segurana
0eteco de FaIhas
- AnlIse de logs
- AnlIse de ntegrIdade
- SIstemas de 0eteco de Intruses (I0S) SIstemas de 0eteco de Intruses (I0S)
Pesposta
- NotIfIcao aos admInIstradores da rede orIgem
- FestrIes de acesso (fIrewall)

Hacker
Espio
Terrorista
Atacante
Corporativo
Criminoso
Profissional
Vndalo
Voyeur
Atacantes
Ataque
fsico
Troca de
nformao
Comando
de Usurio
Script ou
Programa
Agente
Autnomo
Toolkit
Ferramenta
Distribuda
Ferramenta
nterceptao
de dados
Projeto
mplementao
Configurao
VuInerabiIidade
Probe
Varredura
Flood
Autenticao
Desvio
Spoof
Leitura
Ao
Cpia
Conta
Processo
Dado
Componente
Computador
Rede
nter-rede
AIvo
Acesso
Ampliado
Revelao de
nformao
nformao
Corrompida
Negao de
Servio
Roubo de
Recursos
ResuItado
Autorizado
Desafio,
status
Ganho
Poltico
Ganho
Financeiro
Dano
Objetivos
Roubo
Modificao
evento
ataque(s)
incidente
Sistema de Deteco de Intruses
Sistema de Deteco de Intruses
Intruso
- uso inapropriado de um sistema de informao
- aes tomadas para comprometer a
privacidade, integridade ou a disponibilidade de
dados em um host ou rede de computadores
0eteco de Intruso
Tarefa de coletar e analisar eventos, buscando
sinais de intruso e/ou de mau-uso, gerando
alertas quando estes sinais so encontrados
aseado em Pede (NI0S)
Colocado estrategicamente em segmentos de rede
para capturar o trfego com destino a
determinados alvos e interpret-los segundo o
mtodo implementado
Tipos de IDS (segundo a arquitetura)
1
Dados analisados so retirados da rede Dados analisados so retirados da rede
1
Possibilita identificar e tratar ataques prpria rede Possibilita identificar e tratar ataques prpria rede
1
Permite determinar as operaes desencadeadas atravs da rede Permite determinar as operaes desencadeadas atravs da rede
1
Informaes como: Informaes como:
1
pacotes de rede (cabealhos e dados) pacotes de rede (cabealhos e dados)
1
estatsticas de trfego estatsticas de trfego
1
SNMP SNMP
aseado em Host (HI0S)
Instalado diretamente nas mquinas que se deseja
investigar, analisando, tambm, integridade de
arquivos e contedo de logs
1
Dados obtidos na prpria mquina Dados obtidos na prpria mquina
1
Deteco de ataques relacionados a aes locais Deteco de ataques relacionados a aes locais
1
Ex: ataques de fora bruta, cpias de arquivos Ex: ataques de fora bruta, cpias de arquivos
1
IDSs baseados em aplicao IDSs baseados em aplicao
Vantagens
1
deteco de ataques externos deteco de ataques externos
1
facdade de nstaao e manuteno facdade de nstaao e manuteno
1
nterfernca mnma (nua) no desempenho nterfernca mnma (nua) no desempenho
1
ndependnca de pataforma ndependnca de pataforma
IDS Baseados em Rede (NIDS)
IDS Baseados em Rede (NIDS)
0esvantagens
1
tratamento de redes de ata veocdade tratamento de redes de ata veocdade
1
dependnca de rede dependnca de rede
1
dfcudade de reao dfcudade de reao
Vantagens
1
independncia de rede independncia de rede
1
deteco de ataques internos / abusos de privilgios deteco de ataques internos / abusos de privilgios
1
maior capacidade de confinamento/avaliao de danos e maior capacidade de confinamento/avaliao de danos e
de recuperao de erros de recuperao de erros
IDS Baseados em Host (HIDS)
IDS Baseados em Host (HIDS)
0esvantagens
1
dfcudade de nstaao dfcudade de nstaao
1
dfcudade de manuteno dfcudade de manuteno
1
ataques ao prpro IDS ataques ao prpro IDS
1
dfcudade de tratar ataques de rede dfcudade de tratar ataques de rede
1
nterfernca no desempenho do sstema nterfernca no desempenho do sstema
1
dependnca de pataforma dependnca de pataforma

Intrusion Detection Systems
Rede
Externa
Pacotes
Firewall
Rede
Interna
Network-based I0S (NI0S)

Host-based I0S (HI0S)
Rede
Externa
Pacotes
Firewall
Rede
Interna
Mail
Server
Web
Server
FTP
Server
HIDS
Incorporado
HIDS
Incorporado
HIDS
Incorporado
Server Farm
aseado em Comportamento
1
tambm chamado de deteco por anomalia
1
caracteriza o comportamento do sistema em normal
ou anmalo
1
habilidade de distinguir um comportamento normal
de um anmalo
1
compara o estado atual do sistema com o compor-
tamento considerado normal
1
desvios so considerados intruses
1
Ex.: conexes externas em horrios incomuns
Tipos de IDS (segundo o mtodo)
aseado em AssInaturas
Compara os pacotes que captura com padres
pr-estabelecidos gerando os alertas no
casamento de padres
1
tambm chamada de deteco por mau-uso tambm chamada de deteco por mau-uso
1
divide as aes do sistema em aceitveis e no divide as aes do sistema em aceitveis e no
aceitveis aceitveis
1
habilidade de encontrar tentativas de explora- habilidade de encontrar tentativas de explora-
o de vulnerabilidades conhecidas o de vulnerabilidades conhecidas
1
compara as aes realizadas no sistema com
uma base de assinaturas de ataques
Vantagens
- deteco de ataques desconhecidos
- usado na criao de novas bases de assinaturas
- facilita a deteco de abusos de privilgios
IDS Baseados em Comportamento
IDS Baseados em Comportamento
0esvantagens
- dificuldade de configurao
- maior n de falsos positivos
- relatrios de difcil anlise
- menor desempenho (clculos complexos)
- dificuldade de lidar com mudanas normais de comportamento

Vantagens
- baixo n de falsos positivos
- possibilita adoo de contra-medidas imediatas
- reduo na quantidade de informao tratada
- melhor desempenho
- possibilidade de criao de novas
IDS Baseados em Assinaturas
IDS Baseados em Assinaturas
0esvantagens
- deteco s para ataques conhecidos
- necessidade de manuteno contnua
- falsa sensao de segurana (novos ataques)

IDS :: Estrutura
IDS :: Estrutura
CoIetores
(rede)
Unidades
de
resposta
Gerentes
AnaIisadores
CoIetores
(host)
Base de
dados
Exemplos de IDS
Exemplos de IDS
PeaI Secure (ISS)
0ragon (Enterasys)
e-Trust (CA)
Snort
Vantagens
- contratos de suporte com atualizao automtica
de assinaturas
- interfaces grficas amigveis
0esvantagens
- CUSTO ALTO !!!!
- Falta de padronizao (assinaturas proprietrias)
Solues Comerciais
Solues Comerciais

Snort IDS
Snort IDS
2
Atualmente um dos mais utilizados
2
Dados coletados na rede (NIDS)
2
Anlise baseada em assinaturas
2
Simples e eficiente
2
Base com milhares de assinaturas
2
Plataformas Unix e Windows
2
Distribuio livre (www.snort.org)

Snort IDS
Snort IDS
2
Captura de pacotes de rede (libpcap)
2
Anlise Simples
2
baseado em regras
2
trata cabealhos e dados
2
Aes: registrar, alertar ou descartar
Snort IDS
Snort IDS
1
1 parte: ao a ser tomada
1 parte: ao a ser tomada
1
log, alert ou pass log, alert ou pass
1
2 parte: padro procurado
2 parte: padro procurado
1
cabealho ou contedo cabealho ou contedo
alert udp any any <-> $HTTP_SERVERS 2002
(msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor";
classtype: attempted-admin;)
Snort IDS
Snort IDS
alert udp any any <-> $HTTP_SERVERS 2002
(msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor";
classtype: attempted-admin;)
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any
(msg:"PORN free XXX"; content:"FREE XXX";
classtype:kickass-porn; sid:1310;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 53
(msg:"DNS zone transfer"; content: "|00 00 FC|";
classtype:attempted-recon; sid:255;)
ExempIos de assInaturas
Snort IDS
Snort IDS
ExempIos de Iogs gerados
[**] BACKDOOR Possible Apache/OpenSSL worm backdoor [**]
[Classification: Attempted Administrator Privilege Gain]
[Priority: 1]
18/12-16:11:33 xx.yy.zz.ww:53 -> 200.aa.bb.cc:2002
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:96 DF Len: 76
[**] spp_portscan: PORTSCAN DETECTED from 200.19.175.9
(THRESHOLD 4 connections exceeded in 7 seconds) [**]
18/12-16:16:09.754837

Snort IDS
Snort IDS
alert tcp $MEU_SERVIDOR_FTP 21 <-> any any
(msg:Erro no login FTP"; content: Login failed.;)
AssInaturas PersonaIIzadas
alert tcp any any <-> $MEU_SERVIDOR_PCANYWHERE 5632
(msg:Conexao em meu servidor PCAnywhere";)
ArquIvo de confIgurao
- /etc/snort/snort.conf
Snort IDS
Snort IDS
0aemon (stoplstart no Snort)
- /etc/InIt.d/snortd (stop/start)
PegIstro de Iogs de aIertas
- /var/log/snort/alert
ase de assInaturas
- /etc/snort/conjunto_de_regras.rules
- Ex: backdoor.rules
Conjuntos de regras maIs utIIIzados
Snort IDS
Snort IDS
attack-responses.rules exploit.rules
local.rules rservices.rules
tftp.rules web-iis.rules
backdoor.rules finger.rules
misc.rules scan.rules
virus.rules web-misc.rules
bad-traffic.rules ftp.rules
netbios.rules shellcode.rules
web-attacks.rules x11.rules
ddos.rules icmp-info.rules
policy.rules smtp.rules
web-cgi.rules dns.rules
icmp.rules porn.rules
sql.rules web-coldfusion.rules
dos.rules info.rules
rpc.rules telnet.rules
web-frontpage.rules

Ferramentas para Anlise de
Ferramentas para Anlise de
Logs do Snort IDS
Logs do Snort IDS
2
Demarc Pure Secure
2
pysnort
2
glogwatch
2
rrd-snort
2
RazorBack
2
Aris Extractor
2
SnortSnarf
2
ACID
2
...
Demarc
Demarc
www.demarc.com

Demarc
Demarc
www.demarc.com
SnortSnarf
SnortSnarf
2
Ferramenta de apoio ao Snort
2
Analisa os logs gerados pelo Snort
2
Apresentao grfica (Web)
2
Scripts Perl geram arquivos HTML
www.scondefense.com/software/snortsnarf

SnortSnarf
SnortSnarf
www.scondefense.com/software/snortsnarf

ACID
ACID
Analysis Console for Intrusion Databases Analysis Console for Intrusion Databases
2
Ferramenta de apoio ao Snort
2
Analisa os logs gerados pelo Snort
2
Apresentao grfica (Web)
2
Scripts PHP + Banco MySQL
2
Gratuito (http://www.cert.org/kb/acid/)
2
Buscas personalizadas

ACID
ACID
Analysis Console for Intrusion Databases Analysis Console for Intrusion Databases
2
Com o Snort+Acid consegue-se a
mesma performance dos IDS
comerciais praticamente sem custo
2
Cdigo-fonte aberto (adaptvel)
2
Requisitos de hardware mais leves
2
Interface independente dos logs
(consultas baseadas no banco MySQL)

Aps os Resultados
Aps os Resultados
2
Contactar o administrador da rede
2
Reunir logs e informaes do incidente
2
Enviar as provas do incidente para:
2
Administrador da Rede
2
Centros de Atendimento a Incidentes
2
Registro (logs) de novas conexes
2
Medidas restritivas no Firewall (??!!)
Externo (depois do firewall)
- pega todos os ataques (inclusive os barrados)
- processamento muito alto (vivel ?)
- alto nmero de logs gerados
Posicionamento do IDS
Posicionamento do IDS
Interno (entre o firewall e a rede interna)
- captura somente o trfego liberado no firewall
- menos processamento
- menor gerao de logs

IDS Passivo
- detecta mas no barra o ataque
- pode informar o administrador
- falso-positivos podem ser interpretados pelo admin
IDS Passivo x IDS Ativo
IDS Passivo x IDS Ativo
IDS Ativo
- detecta ataque e insere regras no firewall
- processo automatizado (sem interveno)
- falso-positivos podem gerar grandes problemas

Rede
Externa
Pacotes
Firewall
Rede
Interna
IDS Passivo
IDS Passivo
IDS Ativo
IDS Ativo
Rede
Externa
Pacotes
Firewall
Rede
Interna
CIDF
Common Intrusion Detection Framework
- Proposio de um modelo centralizado de
base de assinaturas de ataques
Padronizao dos IDS
Padronizao dos IDS (em andamento) (em andamento)
IETF IDWG
Intrusion Detection Working Group
- Realiza estudos e proposies para interfaces
entre solues de IDS distintas (aproveitamento
de bases, tipos de alertas, etc).
S
is
t
e
m
a
s

d
e

D
e
t
e
c
o
S
is
t
e
m
a
s

d
e

D
e
t
e
c
o
d
e

I
n
t
r
u
s
e
s

(
I
D
S
)
d
e

I
n
t
r
u
s
e
s

(
I
D
S
)
Prof. Ricardo Klber

Reconstruo Cronolgica de Ataques
09 Reconstruo Cronolgica de Ataques
Especializao em1
23456789A31B3CDEFD

Viso Geral :: Entendendo o Processo
Para a reconstruo cronolgica de incidentes de segurana
necessrio utilizar todos os elementos que podem fornecer
pistas para a investigao do incidente.
fundamental o uso (quando disponvel) de logs de
Firewalls
Sistemas de deteco de intruses (IDS)
Servidores de Log (LogServers)
O cruzamento destes dados, aliado a detalhes dos ambientes
envolvidos permite a reconstruo dos rastros do atacante

Mecanismos de sincronizao de equipamentos
Protocolo NTP (Network Time Protocol)
Horrios de Referncia (UTC / GMT) + Timezone
Identificao de atrasos ou adiantamento de horrios dos
relgios dos equipamentos (antes do processo de
reconstruo)

Que mecanismos o administrador utiliza para manter
os relgios dos servidores, firewalls e IDS atualizados ?
Existe sincronizao entre servidores de aplicao e demais
equipamentos?
Os registros de incidentes de segurana no tm
validade se no houver consistncia temporal

Notificaes de Incidentes de Segurana
10 - Notificaes de Incidentes
(Exemplos)
Especializao em1
23456789A31B3CDEFD

Exemplos de E-mails (reais)
Assunto: Servidor DNS recursivo aberto utilizado em ataque: 200.19.168.0
Data: Fri, 2 Mar 2007 16:04:05 -0300 (BRT)
De: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Para: NARIS <naris@info.ufrn.br>
CC: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Prezados,
O CAIS recebeu a informacao de que as maquinas listadas abaixo tiveram seus servidores DNS abusados por atacantes e
utilizados para desferir ataques de negacao de servico distribuidos (DDoS). Normalmente este tipo de ataque e' possivel pois
o servico de DNS da maquina esta configurado para permitir consultas recursivas com origem externa de forma indiscriminada.
1916 | 200.19.168.1 | 2007-02-25 19:36:41 UDP srcport 53 count 52 to 208.98.32.200
Os ataques ocorrem atraves do envio de pacotes de consulta aos servidores vulneraveis, forjando como origem do pacote a
maquina vitima do ataque de negacao de servico. Nos logs acima, o terceiro campo contem o timestamp do
ataque, protocolo e porta utilizadas, contagem de pacotes que foram enviados e destino do ataque.
Apos a solucao do problema recomendamos testar o servidor DNS no seguinte site: http://www.dnsreport.com
Uma descricao do problema e possiveis solucoes sao descritas em:
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto
Veja mais informacoes sobre DNS recursivos aberto nas seguintes URLs:
. http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
. http://cc.uoregon.edu/cnews/winter2006/recursive.htm
. http://istpub.berkeley.edu:4201/bcc/Fall2006/922.html
. http://net.berkeley.edu/DNS/recursion.shtml
. http://net.berkeley.edu/DNS/recursion-detail.shtml
. http://www.ietf.org/internet-drafts/draft-ietf-dnsop-reflectors-are-evil-02.txt
Favor investigar, tomar providencias e responder ao reclamante, com copia para o CAIS.
Atenciosamente,
Ronaldo C Vasconcellos
CAIS/RNP

Assunto: Copyright Infringement Notice Notice ID: 14-9047777
Data: Tue, 21 Nov 2006 08:42:41 -0200 (BRST)
CC: Centro de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Prezados,
Segue denuncia da NBC Universal indicando que o host 200.19.164.146 possui copia ilegal, e que esta' sendo
distribuida, do seguinte material protegido por direitos autorais:
Title: My Summer of Love
Infringement Source: eDonkey
Initial Infringement Timestamp: 14 Nov 2006 04:43:25 GMT
Recent Infringment Timestamp: 14 Nov 2006 04:43:25 GMT
Infringer Username:
Infringing Filename: My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi
Infringing Filesize: 733915136
Infringers IP Address: 200.19.164.146
Infringers DNS Name:
Infringing URL:
ed2k://|file|My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi|733915136|0B7BC9FF1B131DA65A8DF591834C2C15|/
Solicitamos que a maquina em questao seja verificada para comprovar e identificar a origem de tal atividade.
Para fechar este incidente apos a solucao do problema deve-se seguir as instrucoes disponiveis na seguinte URL:
http://webreply.baytsp.com/webreply/webreply.jsp?customerid=14&commhash=2fe8712e01737878c5709ce41d64ed1d
Favor investigar, tomar providencias e responder ao reclamante, com copia para o CAIS.
Atenciosamente,
Atanai S. Ticianelli
CAIS/RNP
(01/03)

Date: Mon, 13 Nov 2006 21:08:18 -0800
From: universal-studios-no-reply@copyright-compliance.com
To: cais@cais.rnp.br
Subject: Copyright Infringement Notice Notice ID: 14-9047777
Re: Unauthorized Use of NBC Universal Properties
Notice ID: 14-9047777
14 Nov 2006 05:06:34 GMT
Please be advised that NBC Universal and/or its subsidiary and affiliated companies (collectively, NBC Universal) are the
owners of exclusive rights protected under copyright law and other intellectual property rights in many motion pictures and
television programs, including the title(s) listed below (the NBC Universal Properties). NBC Universal diligently enforces
its rights in its motion pictures.
It has come to our attention that Associacao Rede Nacional de Ensino e Pesquisa is the service provider for the IP address
listed below, from which unauthorized copying and distribution (downloading, uploading, file serving, file "swapping" or
other similar activities) of NBC Universal's motion picture(s) listed below is taking place. We believe that the Internet
access of the user engaging in this infringement is provided by Associacao Rede Nacional de Ensino e Pesquisa or a downstream
service provider who purchases this connectivity from Associacao Rede Nacional de Ensino e Pesquisa.
This unauthorized copying and distribution constitutes copyright infringement under applicable national laws and
international treaties. Although various legal and equitable remedies may be available to NBC Universal as a result of such
infringement, NBC Universal believes that the entire Internet community benefits when these matters are resolved
cooperatively. We urge you to take immediate action to stop this infringing activity and inform us of the results of your
actions. We appreciate your efforts toward this common goal.
Please be advised that this letter is not intended to be a complete statement of the facts or law as they may pertain to this
matter or of NBC Universal's positions, rights or remedies, legal or equitable, all of which are specifically reserved.
Please send us a prompt response indicating the actions you have taken to resolve this matter, making sure to reference the
Notice ID number above in your response.
mailto:antipiracy@nbcuni.com?subject=RE%3A%20Copyright%20Infringement%20Notice%20Notice%20ID%3A%2014%2D9047777
If you do not wish to reply by email, please use our Web Interface by clicking on the following link:
http://webreply.baytsp.com/webreply/webreply.jsp?customerid=14&commhash=2fe8712e01737878c5709ce41d64ed1d
(02/03)

Note: If your email program has inserted line breaks into either the email or web links above, you can
copy and paste the entire link in to you email program, or favorite web browser, respectively.
Very truly yours,
Internet Anti-Piracy Team, Worldwide Anti-Piracy Operations
NBC UNIVERSAL
100 Universal City Plaza 1220/2
Universal City, CA 91608
tel. (818) 777-4876
fax (818) 866-2155
antipiracy@nbcuni.com
*pgp public key is available on the key server at ldap://keyserver.pgp.com
** For any correspondence regarding this case, please send your emails
to antipiracy@unistudios.com and refer to Notice ID: 14-9047777. If you
need immediate assistance or if you have general questions please call
the number listed above.
Title: My Summer of Love
Infringement Source: eDonkey
Initial Infringement Timestamp: 14 Nov 2006 04:43:25 GMT
Recent Infringment Timestamp: 14 Nov 2006 04:43:25 GMT
Infringer Username:
Infringing Filename: My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi
Infringing Filesize: 733915136
Infringers IP Address: 200.19.164.146
Infringers DNS Name:
Infringing URL:
ed2k://|file|My.Summer.Of.Love.2004.DVDRip.XviD-FRAGMENT.avi|733915136|
0B7BC9FF1B131DA65A8DF591834C2C15|/
(03/03)

Assunto: 200.19.163.96: host(s) explorando vuln. do VNC
Data: Thu, 3 May 2007 11:31:54 -0300 (BRT)
CC: NOE - Nucleo de Operacoes Especiais de Seguranca <noe@pop-rn.rnp.br>, Centro
de Atendimento a Incidentes de Seguranca <cais@cais.rnp.br>
Prezados,
Segue denuncia do CERT.br informando que um ou mais hosts sob sua
responsabilidade foram origem de varreduras pela vulnerabilidade remota do
software RealVNC (5900/TCP). A relacao de hosts em questao e' a seguinte:
200.19.163.96
Favor investigar, tomar providencias e responder ao reclamante, com copia
para o CAIS.
Atenciosamente,
Ronaldo C. Vasconcellos
CAIS/RNP
(01/04)

Date: Tue, 1 May 2007 09:38:37 -0300 (BRT)
From: CERT.br <cert@cert.br>
To: cais@cais.rnp.br, naris@info.ufrn.br
Cc: cert@cert.br
Subject: 200.19.163.96: host(s) explorando vuln. do VNC
Caro responsavel,
Os logs anexados no final desta mensagem indicam uma maquina
possivelmente comprometida e efetuando varreduras pela vulnerabilidade
remota do software RealVNC (5900/TCP). Os horarios dos logs sao todos GMT.
Gostariamos de solicitar que:
* o problema com os IPs abaixo seja investigado e solucionado.
Se voce nao for a pessoa correta para corrigir o problema por favor
envie essa mensagem para alguem que possa faze-lo.
Maiores detalhes sobre o porque do envio desta mensagem, quem e' o
CERT.br e como resolver este problema seguem abaixo.
Cordialmente,
CERT.br
<cert@cert.br>
http://www.cert.br
(02/04)

* Onde posso obter informacoes sobre como solucionar este problema?
- VU#117929 RealVNC Server does not validate client authentication method
http://www.kb.cert.org/vuls/id/117929
* Onde aprender mais sobre configuracao segura de sistemas?
- Praticas de Seguranca para Administradores de Redes Internet
http://www.cert.br/docs/seg-adm-redes/
- Cartilha de Seguranca para Internet
http://www.cert.br/docs/cartilha/
* O que e' o CERT.br?
O CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil -- e' o Grupo de
Resposta a Incidentes de Seguranca para a Internet brasileira, mantido pelo Comite Gestor da Internet no
Brasil. E' o grupo responsavel por receber, analisar e responder a incidentes de seguranca em
computadores, envolvendo redes conectadas `a Internet brasileira.
* Por que estou recebendo essa mensagem?
Voce esta' recebendo esse email por estar listado em
http://registro.br como contato desta rede.
Se voce for contato de varias redes diferentes e' possivel que voce
receba mais de um email, com conteudos diferentes. Por favor nao
apague outras copias que vier a receber.
(03/04)

# todos os horarios estao em GMT.
Apr 30 00:50:30.781323 200.19.163.96.1157 > xxx.xxx.xxx.58.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows
2000 SP2+) 3965095804:3965095804(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 23299, len 48)
(04/04)

Tecr

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tecr

Enviado por

Direitos autorais:

Formatos disponíveis

Apresentao da Disciplina

Tcnicas de Evaso e Contra Resposta

Você também pode gostar