Testes de Intruso em Redes Corporativas 406

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

OVERVIEW SOBRE O TREINAMENTO

Overview sobre o treinamento

Introduo
Viso Geral sobre Segurana da Informao Viso Geral sobre Pentest

Taxonomia de um Ataque Levantamento de Informaes Varreduras Trojans, Backdoors, Vrus e Worms Engenharia Social Tcnicas de Fora Bruta Ataques a Servios Vulnerabilidades em Aplicaes Web Sniffers Escalao de Privilgios Ataques de Negao de Servio (DoS) Ataques a Redes sem Fio Exploits Google Hacking Segurana Fsica Laboratrios

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

2
2.1

INTRODUO
Objetivos

Fornecer ao aluno uma viso geral sobre segurana da informao Fornecer ao aluno uma viso geral sobre testes de intruso

2.2

Viso geral sobre Segurana da Informao

Segundo o dicionrio da Wikipdia[1], segurana um substantivo feminino, que significa: 1. Condio ou estado de estar seguro ou protegido. 2. Capacidade de manter seguro. 3. Proteo contra a fuga ou escape. 4. Profissional ou servio responsvel pela guarda e proteo de algo. 5. Confiana em si mesmo. Segundo a norma ISO 27001[2], A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios da empresa e

conseqentemente necessita ser adequadamente protegida. Portanto, Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao.

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Segurana da Informao

Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao

So exemplos de padres e normas relacionadas a segurana da informao: - ISO 27001 - Payment Card Industry Data Security Standard - NBR 17799

Padres / Normas
ISO 27001 NBR ISO/IEC 17799 Basileia II PCI-DSS ITIL

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Por que precisamos de segurana?

Evoluo da tecnologia focando a facilidade de uso Aumento do uso de redes e interligao das aplicaes Diminuio do nvel de conhecimento para a execuo de um ataque avanado Aumento da complexidade para administrao de infraestrutura de computadores e gerenciamento

2.2.1 Princpios Bsicos da Segurana da Informao

So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade e disponibilidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados, incluindo os sistemas em si.

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Princpios bsicos da segurana da informao

Confidencialidade - propriedade que limita o acesso a informao to-somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo

CONFIDENCIALIDADE - propriedade que limita o acesso a informao tosomente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. INTEGRIDADE - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controlo de mudanas e garantia do seu ciclo de vida (nascimento, manuteno e destruio). DISPONIBILIDADE - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles utilizadores autorizados pelo proprietrio da informao.

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Ainda podemos adicionar outras propriedades

Autenticidade Garantia da origem da informao Legalidade Importante estarmos atentos as leis de cada pas.

CIDAL
Lembre-se disso!

O nvel de segurana desejado, pode se consubstanciar em uma poltica de segurana que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. de extrema importncia saber equilibrar o nvel de segurana com a funcionalidade e facilidade de uso do sistema, pois o mais importante para a empresa o negcio, e a segurana existe para proteger o negcio da empresa, e no atrapalh-lo.

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Segurana X Funcionalidade X Facilidade de Uso

O triangulo da Segurana da Informao A segurana no pode atrapalhar o negcio!

2.2.2 Definies de Segurana

Antes de prosseguirmos, iremos conceituar algumas palavras: VULNERABILIDADE fragilidade de um software, hardware ou procedimento que pode fornecer a um atacante a porta de entrada parar entrar em um computador ou rede e ganhar acesso s informaes do ambiente. AMEAA - agente ou ao, espontneo ou proposital, que se aproveita das vulnerabilidades de um sistema para conseguir seu intento. RISCO calculado considerando o nvel de impacto e a probabilidade de uma ameaa ocorrer. ATAQUE Incidncia da ameaa sobre a vulnerabilidade. EXPLOIT Programa capaz de explorar uma vulnerabilidade.

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Terminologias da segurana
Vulnerabilidade fragilidade que pode fornecer uma porta de entrada a um atacante Ameaa agente ou ao que se aproveita de uma vulnerabilidade Risco (Impacto X Probabilidade) da ameaa ocorrer Ataque Incidncia da ameaa sobre a vulnerabilidade Exploit Programa capaz de explorar uma vulnerabilidade

Exemplo de ameaa: Uma chuva de granizo em alta velocidade Exemplo de vulnerabilidade: Uma sala de equipamentos com janelas de vidro Exemplo de ataque: A chuva de granizo contra as janelas de vidro O risco ser calculado considerando a probabilidade de uma chuva de granizo em alta velocidade ocorrer e atingir a janela de vidro.

www.4linux.com.br

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Terminologias de segurana
Exemplo de ameaa:
Um funcionrio insatisfeito

Exemplo de vulnerabilidade:
Uso de protocolos inseguros para envio de dados

Exemplo de ataque:
O funcionrio capturando o trfego da rede

No caso de ameaas rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, pois tentam ajudar a encontrar possveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade, auto-estima, vingana e o dinheiro.

Ameaas
Fsicas
Desabamento Raio Alagamento Acesso indevido de pessoas

Lgicas
Infeco por vrus Acessos remoto rede Violao de senhas

www.4linux.com.br

10

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________ De acordo com pesquisa elaborada pelo Computer Security Institute, mais de 70% dos ataques partem de utilizadores legtimos de sistemas de informao (Insiders) -o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet).

Ataques
Interno (70% dos ataques)
Funcionrios Insatisfeitos Funcionrios despreparados Espionagem

Externo
Crackers Concorrentes Espionagem

2.2.3 Mecanismos de segurana

Controles Fsicos - so barreiras que limitam o contacto ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta.

www.4linux.com.br

11

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Mecanismos de segurana
Controles Fsicos
Portas Trancas Paredes Blindagem Guardas Cmeras

Controles Lgicos - so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

Mecanismos de segurana
Controles Lgicos
Criptografia Firewall Anti-Vrus IDS IPS ADS Anti-Spam Fuzzers

www.4linux.com.br

12

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________ Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os antivrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc. Alm de dispositivos de segurana, tambm existem diversos servios relacionados a segurana da informao.

Servios de segurana
Criao de Polticas de Segurana; Hardening de Servidores; Anlise de Vulnerabilidade; Teste de Intruso; Anlise de Aplicao; Percia Computacional; Treinamento de Colaboradores; Defesa em camadas!

Porm, apesar de todos os equipamentos e servios, ainda ocorrem milhares de incidentes de segurana por ano. Isso se deve a diversos fatos, como exemplos: - Bugs em softwares - Funcionrios insatisfeitos - Falta de educao em segurana

www.4linux.com.br

13

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Mundo Real
Apesar de tudo, ainda temos incidentes de segurana
Bugs em softwares; Empregados insatisfeitos; Administradores de sistemas sobrecarregados; Acomodao de necessidades empresariais; Falta de educao em segurana

2.2.4 Preocupao por parte das empresas

Acredito que toda empresa tenha preocupaes especficas com segurana de acordo com o grau de conhecimento, o valor da informao, cultura organizacional e foco de atuao, porm, em um consenso geral, as preocupaes so seguintes: Continuidade dos negcios em caso de desastres Capacidade de recuperao de dados em caso de perdas Estratgia de proteo aos dados do cliente Estratgia de proteo aos dados confidenciais da empresa

www.4linux.com.br

14

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Preocupao por parte das empresas

Continuidade dos negcios em caso de desastres Capacidade de recuperao de dados em caso de perdas Estratgia de proteo aos dados do cliente Estratgia de proteo aos dados confidenciais da empresa

2.3

Viso geral sobre Teste de Intruso

O Teste de Intruso um processo de anlise detalhada do nvel de segurana de um sistema ou rede usando a perspectiva de um infrator. Trata-se de um teste realista ao nvel de segurana das infra-estruturas e da informao que estas detm. No Teste de Intruso so testadas vulnerabilidades tcnicas e conceituais das infra-estruturas alvo. O objetivo principal simular de forma controlada um ataque real que normalmente executado por criminosos. Desta maneira possvel ter o conhecimento total do que poderia acontecer caso esse ataque realmente existisse, garantindo assim a possibilidade de uma estratgia de preveno.

www.4linux.com.br

15

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Viso geral sobre o Pentest

O Teste de Intruso um processo de anlise detalhada do nvel de segurana de um sistema ou rede usando a perspectiva de um infrator. O objetivo principal simular de forma controlada um ataque real que normalmente executado por criminosos.

Assim como existem normas que ajudam a dar a direo de como proteger nossos sistemas, tambm existem frameworks que ajudam a efetuar um teste de intruso. O nosso treinamento foi feito baseado na metodologia OSSTMM (Open Source Security Testing Methodology Manual)[3], as premissas para realizar um teste so: O teste dever ser conduzido exaustivamente O teste deve contemplar todos os itens necessrios O escopo do teste no deve ferir os direitos humanos bsicos Os resultados devem ser quantificveis Os resultados devem ser consistentes Os resultados devem conter apenas o que foi obtido com os testes

www.4linux.com.br

16

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Open Source Security Testing Methodology Manual (OSSTMM)

O teste dever ser conduzido exaustivamente O teste deve contemplar todos os itens necessrios O escopo do teste no deve ferir os direitos humanos bsicos Os resultados devem ser quantificveis Os resultados devem ser consistentes Os resultados devem conter apenas o que foi obtido com os testes

Essas so as premissas de um teste de intruso. Ainda em acordo com a OSSTMM, o resultado final deve conter os seguintes tpicos: Data e hora dos testes Tempo de durao dos testes Analistas e pessoas envolvidas Tipo do teste Escopo do teste O resultado da enumerao Margens de erro Qualificao do risco Qualquer tipo de erro ou anomalia desconhecida

www.4linux.com.br

17

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

OSSTMM
Os resultados devem conter:
Data e hora dos testes Tempo de durao dos testes Analistas e pessoas envolvidas Tipo do teste Escopo do teste O resultado da enumerao Margens de erro Qualificao do risco Qualquer tipo de erro ou anomalia desconhecida

Mas de fato, o que uma intruso? Uma intruso pode ser considerada uma anomalia, algo que passou as protees e impactou de alguma forma o negcio da empresa. E essa intruso pode ser realizada com algo realmente inovador: os 0days.

Mas o que uma intruso?

uma anomalia Alguma coisa que passou as protees e impactou de alguma forma o negcio da empresa (Lembre-se CIDAL) Alguma coisa que pode ser realmente inovadora, 0day

www.4linux.com.br

18

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

2.4

0Day

0day um exploit para uma falha que no de conhecimento do pblico e no possui correo. realmente muito difcil de proteger contra ataques de exploits 0days.

0-day
Nova tcnica X Novo exploit

Bug que no foi corrigido e no pblico Pesquisado principalmente por hackers e governo, motivados pela fama e dinheiro Empresas vendem e compram 0days: Gleg / iDefense

0day comercializado na internet por empresas e pesquisadores independentes, e seu preo pode variar de acordo com a falha a ser explorada, tendo maior valor uma falha em uma aplicao muito utilizada e que no precisa de interao de um usurio para explor-la. Exemplos de empresas que compram 0days: iDefense ZDI Exemplos de empresas que vendem 0days: Gleg

www.4linux.com.br

19

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________ Immunity

Sites de empresas :: Acessar

http://www.zerodayinitiative.com/advisories/ upcoming/ http://research.eeye.com/html/advisories/upc oming/index.html http://labs.idefense.com/intelligence/vulnera bilities/ http://www.gleg.net/products.shtml http://d2sec.com/products.htm
http://d2sec.com/d2clientinsider.htm

A figura abaixo mostra uma falha que j foi reportara para a empresa, mas ainda est aguardando correo.

www.4linux.com.br

20

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

Valor de um 0day
Varia de acordo com as seguintes caractersticas:
Nvel de dificuldade para explorar a falha; Se existem mais falhas no mesmo servio; Client-Side / Server-Side; Quantidade de computadores afetados;

www.4linux.com.br

21

Anlise e Testes de Vulnerabilidades em Redes Corporativas (406) ___________________________________________________________________

2.5

Referncias do Captulo

[1] http://pt.wiktionary.org/wiki/seguran%C3%A7a [2] Item 0.1 da norma ISO 27001 [3] www.isecom.org/osstmm

www.4linux.com.br

22