Você está na página 1de 3

Introdução

TOCI-08: Segurança de Redes Conhecer as estratégias de ataque a redes e sistemas ajuda a


projetar as defesas e detectar ataques e invasões
I foco nas coisas mais importantes
Prof. Rafael Obelheiro
Entretanto, saber atacar e saber defender são duas coisas
rro@joinville.udesc.br diferentes
I em segurança, o atacante só precisa acertar uma vez
F e não precisa nem saber o que está fazendo. . .
Lembrete importante: os conhecimentos adquiridos aqui não
devem ser usados sem autorização explı́cita
I o uso dessas técnicas contra determinadas redes ou sistemas,
mesmo que por mera curiosidade, pode ser malvisto pelos seus
Aula 14: Estratégias de Ataque responsáveis

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 14: Estratégias de Ataque SEG 1 / 12 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 2 / 12

Objetivos do ataque Varrendo uma rede

Um atacante genérico tem os seguintes objetivos


O objetivo central de uma varredura (scan) é identificar possı́veis
1. Identificar alvos fazendo uma varredura na rede alvos de ataque em uma rede
2. Ganhar acesso ao host ou hosts adequados I quais máquinas estão ativas
3. Ganhar controle desses hosts I que software roda nessas máquinas
I acesso de root ou administrador
I até mesmo se a segurança da rede é monitorada
I comprometimento, intrusão, invasão Em geral, a coleta de informações usa ferramentas
4. Encobrir evidências da invasão automatizadas
I scanners de rede
5. Instalar backdoors para facilitar acessos futuros
Outras fontes úteis de informações incluem
6. Repetir o processo para hosts que confiam no comprometido I DNS
Ataques a redes em geral iniciam pelos pontos mais fracos
I páginas web ou outros documentos “oficiais”
I Google
I não necessariamente são o alvo final ou mais interessante I mensagens em listas de discussão
I ataques progressivos

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 14: Estratégias de Ataque SEG 3 / 12 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 4 / 12
Ferramentas úteis para varredura Ferramentas úteis para varredura

nmap: permite fazer varreduras completas


Descobre todas as portas abertas (TCP/UDP) em uma máquina
ping: verifica se uma máquina está ativa na rede especı́fica ou em todas as máquinas de uma rede
Pode ser usado com endereço de broadcast Descobre o serviço rodando em cada porta
I muitas vezes a resposta é desabilitada para evitar ataques Smurf Descobre o sistema operacional da máquina e sua versão
(DoS) I descobertas de serviço/SO/versão são heurı́sticas, baseadas em
Usa ICMP, que pode estar desabilitado ou filtrado peculiaridades de cada implementação
Disponı́vel em qualquer sistema Permite fazer varreduras “invisı́veis” (stealth)
I por exemplo, enviando SYN e depois RST
Fácil escrever scripts para varrer redes inteiras I não aparece em logs na máquina examinada
Tem mecanismos para confundir monitoramento (IDS)
I fragmentação IP
I IP spoofing

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 14: Estratégias de Ataque SEG 5 / 12 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 6 / 12

Ferramentas úteis para varredura Invadindo o host

Nessus: procura vulnerabilidades conhecidas na rede Existem três abordagens principais para invadir um host na
Procura os serviços disponı́veis na rede e verifica se existem Internet
vulnerabilidades conhecidas para eles 1. Explorar uma brecha nos serviços de rede
F uso de ferramentas automatizada (exploits)
I base de plugins F nem sempre são vulnerabilidades, mas erros de configuração
Permite testar a configuração de serviços de rede 2. Duplicar as credenciais de um usuário autorizado
Permite ver se serviõs resistem a tentativas de derrubá-los F roubo ou adivinhação de senhas
Tenta quebrar senhas usando dicionários e força bruta 3. Seqüestrar uma conexão existente do host
Nessus v2 era GPL; Nessus v3 adotou uma licença proprietária e Outras possibilidades incluem
fechou o código I engenharia social: convencer alguém a liberar acesso ou alguma
I existe uma versão GPL, baseada na v2, chamada OpenVAS informação relevante
I acesso fı́sico aos sistemas

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 14: Estratégias de Ataque SEG 7 / 12 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 8 / 12
A batalha pelo host Ocultando os rastros

Depois de uma invasão bem sucedida, o atacante prudente tenta


Nem sempre obter acesso ao host é suficiente ocultar seus rastros
I muitas vezes o acesso obtido é a uma conta não privilegiada I rootkits são muito úteis nesse ponto → ocultam processos,
I o próximo passo é, então, conseguir elevar os privilégios
arquivos, . . .
F acesso de root ou Administrador
A remoção de entradas em logs é um passo básico
É prudente supor que, se o atacante consegue acesso local, ele I uso de loghosts em rede minimiza o problema
conseguirá acesso privilegiado
I dificuldade de administração dos SOs atuais Por vezes, a vulnerabilidade original é corrigida (para que outro
atacante não possa usá-la), e um outro backdoor é criado
Técnicas comuns I novos serviços de rede
I instalação de cavalos de Tróia I versões modificadas de serviços que aceitam senhas mestras
I (ab)uso de brechas temporariamente instaladas pelo administrador I modificações de kernel
I programas setuid root
I rootkits Máquinas comprometidas não são confiáveis, e devem ser
reinstaladas

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 14: Estratégias de Ataque SEG 9 / 12 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 10 / 12

Metástase Bibliografia
Máquinas invadidas em uma rede servem como trampolim para
outras invasões
Senhas podem ser quebradas off-line e testadas em outras
máquinas da mesma rede
A máquina invadida pode ser usada para captura de tráfego
(sniffing) William R. Cheswick, Steven M. Bellovin e Aviel D. Rubin.
Cavalos de tróia e outros softwares de monitoramento podem ser Firewalls e Segurança na Internet, 2a ed. Bookman, 2005.
instalados para tentar capturar senhas e outras informações de Capı́tulo 6.
acesso
As informações disponı́veis no sistema de arquivos da máquina
invadida podem ajudar em novas invasões
Muitas vezes uma máquina invadida é mantida como “posto de
observação” durante um tempo considerável
Máquinas invadidas ainda podem ser usadas para
armazenamento de dados (pirataria, pornografia, ferramentas de
ataque) ou como bots
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 11 / 12 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 14: Estratégias de Ataque SEG 12 / 12