Escolar Documentos
Profissional Documentos
Cultura Documentos
www.4linux.com.br
Taxonomia de um Ataque Levantamento de Informaes Varreduras Trojans, Backdoors, Vrus e Worms Engenharia Social Tcnicas de Fora Bruta Ataques a Servios Vulnerabilidades em Aplicaes Web Sniffers Escalao de Privilgios Ataques de Negao de Servio (DoS) Ataques a Redes sem Fio Exploits Google Hacking Segurana Fsica Laboratrios
www.4linux.com.br
2
2.1
INTRODUO
Objetivos
Fornecer ao aluno uma viso geral sobre segurana da informao Fornecer ao aluno uma viso geral sobre testes de intruso
2.2
Segundo o dicionrio da Wikipdia[1], segurana um substantivo feminino, que significa: 1. Condio ou estado de estar seguro ou protegido. 2. Capacidade de manter seguro. 3. Proteo contra a fuga ou escape. 4. Profissional ou servio responsvel pela guarda e proteo de algo. 5. Confiana em si mesmo. Segundo a norma ISO 27001[2], A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios da empresa e
conseqentemente necessita ser adequadamente protegida. Portanto, Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao.
www.4linux.com.br
Segurana da Informao
Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao
So exemplos de padres e normas relacionadas a segurana da informao: - ISO 27001 - Payment Card Industry Data Security Standard - NBR 17799
Padres / Normas
ISO 27001 NBR ISO/IEC 17799 Basileia II PCI-DSS ITIL
www.4linux.com.br
So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade e disponibilidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados, incluindo os sistemas em si.
www.4linux.com.br
CONFIDENCIALIDADE - propriedade que limita o acesso a informao tosomente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. INTEGRIDADE - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controlo de mudanas e garantia do seu ciclo de vida (nascimento, manuteno e destruio). DISPONIBILIDADE - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles utilizadores autorizados pelo proprietrio da informao.
www.4linux.com.br
CIDAL
Lembre-se disso!
O nvel de segurana desejado, pode se consubstanciar em uma poltica de segurana que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. de extrema importncia saber equilibrar o nvel de segurana com a funcionalidade e facilidade de uso do sistema, pois o mais importante para a empresa o negcio, e a segurana existe para proteger o negcio da empresa, e no atrapalh-lo.
www.4linux.com.br
Antes de prosseguirmos, iremos conceituar algumas palavras: VULNERABILIDADE fragilidade de um software, hardware ou procedimento que pode fornecer a um atacante a porta de entrada parar entrar em um computador ou rede e ganhar acesso s informaes do ambiente. AMEAA - agente ou ao, espontneo ou proposital, que se aproveita das vulnerabilidades de um sistema para conseguir seu intento. RISCO calculado considerando o nvel de impacto e a probabilidade de uma ameaa ocorrer. ATAQUE Incidncia da ameaa sobre a vulnerabilidade. EXPLOIT Programa capaz de explorar uma vulnerabilidade.
www.4linux.com.br
Terminologias da segurana
Vulnerabilidade fragilidade que pode fornecer uma porta de entrada a um atacante Ameaa agente ou ao que se aproveita de uma vulnerabilidade Risco (Impacto X Probabilidade) da ameaa ocorrer Ataque Incidncia da ameaa sobre a vulnerabilidade Exploit Programa capaz de explorar uma vulnerabilidade
Exemplo de ameaa: Uma chuva de granizo em alta velocidade Exemplo de vulnerabilidade: Uma sala de equipamentos com janelas de vidro Exemplo de ataque: A chuva de granizo contra as janelas de vidro O risco ser calculado considerando a probabilidade de uma chuva de granizo em alta velocidade ocorrer e atingir a janela de vidro.
www.4linux.com.br
Terminologias de segurana
Exemplo de ameaa:
Um funcionrio insatisfeito
Exemplo de vulnerabilidade:
Uso de protocolos inseguros para envio de dados
Exemplo de ataque:
O funcionrio capturando o trfego da rede
No caso de ameaas rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, pois tentam ajudar a encontrar possveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade, auto-estima, vingana e o dinheiro.
Ameaas
Fsicas
Desabamento Raio Alagamento Acesso indevido de pessoas
Lgicas
Infeco por vrus Acessos remoto rede Violao de senhas
www.4linux.com.br
10
Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________ De acordo com pesquisa elaborada pelo Computer Security Institute, mais de 70% dos ataques partem de utilizadores legtimos de sistemas de informao (Insiders) -o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet).
Ataques
Interno (70% dos ataques)
Funcionrios Insatisfeitos Funcionrios despreparados Espionagem
Externo
Crackers Concorrentes Espionagem
Controles Fsicos - so barreiras que limitam o contacto ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta.
www.4linux.com.br
11
Mecanismos de segurana
Controles Fsicos
Portas Trancas Paredes Blindagem Guardas Cmeras
Controles Lgicos - so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
Mecanismos de segurana
Controles Lgicos
Criptografia Firewall Anti-Vrus IDS IPS ADS Anti-Spam Fuzzers
www.4linux.com.br
12
Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________ Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os antivrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc. Alm de dispositivos de segurana, tambm existem diversos servios relacionados a segurana da informao.
Servios de segurana
Criao de Polticas de Segurana; Hardening de Servidores; Anlise de Vulnerabilidade; Teste de Intruso; Anlise de Aplicao; Percia Computacional; Treinamento de Colaboradores; Defesa em camadas!
Porm, apesar de todos os equipamentos e servios, ainda ocorrem milhares de incidentes de segurana por ano. Isso se deve a diversos fatos, como exemplos: - Bugs em softwares - Funcionrios insatisfeitos - Falta de educao em segurana
www.4linux.com.br
13
Mundo Real
Apesar de tudo, ainda temos incidentes de segurana
Bugs em softwares; Empregados insatisfeitos; Administradores de sistemas sobrecarregados; Acomodao de necessidades empresariais; Falta de educao em segurana
Acredito que toda empresa tenha preocupaes especficas com segurana de acordo com o grau de conhecimento, o valor da informao, cultura organizacional e foco de atuao, porm, em um consenso geral, as preocupaes so seguintes: Continuidade dos negcios em caso de desastres Capacidade de recuperao de dados em caso de perdas Estratgia de proteo aos dados do cliente Estratgia de proteo aos dados confidenciais da empresa
www.4linux.com.br
14
2.3
O Teste de Intruso um processo de anlise detalhada do nvel de segurana de um sistema ou rede usando a perspectiva de um infrator. Trata-se de um teste realista ao nvel de segurana das infra-estruturas e da informao que estas detm. No Teste de Intruso so testadas vulnerabilidades tcnicas e conceituais das infra-estruturas alvo. O objetivo principal simular de forma controlada um ataque real que normalmente executado por criminosos. Desta maneira possvel ter o conhecimento total do que poderia acontecer caso esse ataque realmente existisse, garantindo assim a possibilidade de uma estratgia de preveno.
www.4linux.com.br
15
Assim como existem normas que ajudam a dar a direo de como proteger nossos sistemas, tambm existem frameworks que ajudam a efetuar um teste de intruso. O nosso treinamento foi feito baseado na metodologia OSSTMM (Open Source Security Testing Methodology Manual)[3], as premissas para realizar um teste so: O teste dever ser conduzido exaustivamente O teste deve contemplar todos os itens necessrios O escopo do teste no deve ferir os direitos humanos bsicos Os resultados devem ser quantificveis Os resultados devem ser consistentes Os resultados devem conter apenas o que foi obtido com os testes
www.4linux.com.br
16
Essas so as premissas de um teste de intruso. Ainda em acordo com a OSSTMM, o resultado final deve conter os seguintes tpicos: Data e hora dos testes Tempo de durao dos testes Analistas e pessoas envolvidas Tipo do teste Escopo do teste O resultado da enumerao Margens de erro Qualificao do risco Qualquer tipo de erro ou anomalia desconhecida
www.4linux.com.br
17
OSSTMM
Os resultados devem conter:
Data e hora dos testes Tempo de durao dos testes Analistas e pessoas envolvidas Tipo do teste Escopo do teste O resultado da enumerao Margens de erro Qualificao do risco Qualquer tipo de erro ou anomalia desconhecida
Mas de fato, o que uma intruso? Uma intruso pode ser considerada uma anomalia, algo que passou as protees e impactou de alguma forma o negcio da empresa. E essa intruso pode ser realizada com algo realmente inovador: os 0days.
www.4linux.com.br
18
2.4
0Day
0day um exploit para uma falha que no de conhecimento do pblico e no possui correo. realmente muito difcil de proteger contra ataques de exploits 0days.
0-day
Nova tcnica X Novo exploit
Bug que no foi corrigido e no pblico Pesquisado principalmente por hackers e governo, motivados pela fama e dinheiro Empresas vendem e compram 0days: Gleg / iDefense
0day comercializado na internet por empresas e pesquisadores independentes, e seu preo pode variar de acordo com a falha a ser explorada, tendo maior valor uma falha em uma aplicao muito utilizada e que no precisa de interao de um usurio para explor-la. Exemplos de empresas que compram 0days: iDefense ZDI Exemplos de empresas que vendem 0days: Gleg
www.4linux.com.br
19
A figura abaixo mostra uma falha que j foi reportara para a empresa, mas ainda est aguardando correo.
www.4linux.com.br
20
Valor de um 0day
Varia de acordo com as seguintes caractersticas:
Nvel de dificuldade para explorar a falha; Se existem mais falhas no mesmo servio; Client-Side / Server-Side; Quantidade de computadores afetados;
www.4linux.com.br
21
2.5
Referncias do Captulo
[1] http://pt.wiktionary.org/wiki/seguran%C3%A7a [2] Item 0.1 da norma ISO 27001 [3] www.isecom.org/osstmm
www.4linux.com.br
22