Faculdade Atenas Maranhense - FAMA

Curso Superior de Tecnologia em Redes de Computadores

Segurana da Informao
Prova Parcial 1

Ataques em Redes de Computadores

Acyron Maike Assis Gomes
Benedito Sousa Primo Filho
Carlos Henrique Santos Costa
Igor Miranda Jansen Pereira
Jlio Pereira da Silva Neto
Neol Silva Gonalves Araujo

Maro de 2015

Inicialmente, se conscientizando...

importante ter em mente os passos que

correspondem a um ataque.
Porm, importante sempre lembrar que

alguns invasores so mais inteligentes que a

pessoa que implementou a segurana;

que vrios invasores so imprevisveis;

que a preveno eventualmente falha.

Quem pode invadir?

Pessoas com conhecimento tcnico.

Atualmente, qualquer pessoa com acesso
Internet e interesse em aprender, pois possuem:

acesso sites de ajuda;

acesso scripts prontos;

acesso tutoriais de ataque.

A Internet fornece contedo facilitado e atualizado:

ensinando a burlar os sistemas de segurana;

permitindo que pessoas com pouco conhecimento

ataquem computadores com ou sem proteo.
3

O que leva invaso?

Ato de descobrir vulnerabilidades no sistema, para

simplesmente para divulgar a falha,

ou para utilizar o sistema,

para ganhar status, etc.

Ato de danificar um sistema,

por diverso,

por concorrncia, etc.

Ato de obter os dados importantes do sistema

para utilizao prpria,

para terceiros, etc.

Ou simplesmente por prazer...

4

Outros fatores que levam invaso

Espionagem industrial;

Proveito prprio;

Inexperincia;

Vingana;

Status ou Necessidade de Aceitao;

Curiosidade e Aprendizado;

Busca de aventuras;

Maldade;

Acabar com a corrupo;

Diversos outros motivos...

5

Uma curiosidade...

Na Filosofia Hacker, um atacante:

deve estudar e obter o maior conhecimento

possvel,

no pode ficar se exibindo, se achando o tal,

no deve cometer atitudes Lammer,

deve deixar um sistema com sua falha para uma

possvel utilizao futura.

Tipos de atacantes

Curiosos:

In-house:

Funcionrios ou ex-funcionrios de empresas.

Tcnicos:

Geralmente estudantes procurando diverso.

Gostam de criar programas e compartilhar com os

outros, possuem muito conhecimento.

Profissionais:

Aqueles que recebem pelo que fazem.

7

O atacante...

Os passos de um atacante envolvem:

Reconhecimento da rede;

Explorao da rede;

O reforo;

A consolidao dos planos;

E o saque.

Com esses passos o invasor pode tirar

vantagem de uma vtima.

Reconhecimento

Processo de:

validar a conectividade,

enumerar os servios e

verificar por vulnerabilidade de aplicaes

Como obter informaes de um servidor:

Fornecendo pacotes vlidos TCP ou UDP;

Para comunicar com o servidor, pois precisa utilizar

sua linguagem e suas regras.

Pode-se tambm fazer uma busca detalhada de

informaes sobre o alvo.
9

Explorao

Processo de violao, que corrompe ou penetra

os servios de um alvo.
Alguns exemplos de violao so:

acessar o servidor por algum servio utilizando um

acesso legtimo ou no;

criar uma execuo de um servio no prevista por

seus programadores;

acessar um sistema, ganhando privilgios sem

interromper o servio fornecido.

10

Reforo

Processo onde o intruso aproveita o acesso

sem autorizao,

Verifica falhas e ganha mais capacidades no alvo.

Geralmente, instalam meios de comunicar com

o mundo externo. Ex:

backdoors: tneis de acesso mais complicados de

serem encontrados:

servidor.py e cliente.py
Servidor: nc -l -p porta -e /bin/bash
Cliente: nc IP porta
11

Consolidao

Processo de comunicao do intruso ao alvo

com um backdoor.
H trs casos de sua consolidao:

Abrir uma porta por onde um invasor pode se

conectar ao programa do backdoor;

Fazer o programa do backdoor se conectar ao IP do

invasor;

Fazer o programa do backdoor se conectar a um

Internet Relay Chat (IRC) para receber as
instrues de funcionamento.
12

Saque

Envolve:

roubar informaes do alvo,

construir uma base de ataques, ou

fazer qualquer outra coisa que o invasor deseje.

13

A deteco do invasor

No reconhecimento:

a probabilidade de deteco de mdia para alta.

os atacantes devem executar servios de

descoberta durante um longo tempo, utilizando
padres normais de trfego.

S assim podem catalogar as mquinas, os servios e as

aplicaes.

Nesse momento, os atacantes revelam-se pelas

diferenas entre seu trfego e o trfego legtimo de
um usurio.

Ex: nmap
14

A Deteco do Invasor

Na explorao:

a probabilidade de deteco alta.

para efetuar tentativas de acesso, os atacantes

utilizam exploits nos servios oferecidos.

Essas ferramentas no apresentam um trfego

legtimo.

Pode ser detectado por Sistemas de Deteco de

Intrusos.

15

A Deteco do Invasor

No reforo:

a probabilidade de deteco alta.

as ferramentas utilizadas pelos atacantes para

obter mais privilgios ou para disfarar a invaso
causam uma atividade suspeita nos servidores.

essa atividade pode ser facilmente acompanhada e

identificada.

16

A Deteco do Invasor

Na consolidao

a probabilidade de deteco de baixa para mdia

o atacante tem o controle total atravs da

comunicao de sua mquina com a mquina alvo

seus limites so impostos somente pelo controle de

acesso e de trfego dos dispositivos da rede

O perfil do trfego o nico que pode identificar

padres desconhecidos que correspondem a
utilizao do backdoor pelo atacante

A Deteco do Invasor

No saque

a probabilidade de deteco de baixa para mdia

o trfego do atacante vem de uma mquina de

confiana

Uma forma possvel para deteco

conhecer o trabalho dos sistemas internos

detectar divergncias

O Processo de Segurana

Processo de Segurana

Segurana um processo e no um estado.

Envolve quatro passos

de avaliao,

de proteo,

de deteco e

de resposta ao ocorrido.

Avaliao

Envolve determinar medidas que possam garantir a probabilidade

de sucesso ao defender uma empresa ou instituio.
Deve-se definir

Uma poltica de segurana

Os servios que estaro disponveis em uma empresa

Este passo define como ser o trfego da instituio

Se a poltica definida for realmente rigorosa, qualquer outro trfego
no conhecido um incidente na rede, sendo ou no um ataque
Os incidentes originam tambm de tentativas de usurios internos
de escaparem das regras
A equipe de gerncia define como invaso ou somente violao da
poltica

Porm, sempre se baseiam na poltica de segurana adotada

Proteo

a aplicao das medidas defensivas

Visa reduzir a probabilidade de incidentes

Problema crtico na auditoria de trfego

Quantidade de trfego que deve ser monitorada

Deve-se reduzir a quantidade de trfego ou as formas de

acesso
Assim, tem-se um trfego menor para monitorar e
analisar

Deteco

o processo de identificar os intrusos

coletando,

identificando,

validando e

escalonando eventos suspeitos

As invases so

violaes da poltica ou

acidentes na segurana dos computadores de uma

rede

Deteco

Requer quatro passos:

Coletar: inspecionar e armazenar informaes teis

do trfego da rede

Identificar: obter informaes do trfego e ento,

classific-lo em: Normal; Suspeito; Malicioso

Validar: atribuir aos eventos uma categoria de

incidente preliminar.

Definio se necessita de mais investigao

Escalonar: encaminhar os eventos obtidos s

pessoas que tomaro decises

Deteco - Validao

Os eventos podem ser assimilados em uma das

categorias:

acesso sem autorizao como administrador

acesso de usurio sem autorizao

tentativas de acesso sem autorizao

ataque de negao de servio com sucesso

prtica de segurana ruim ou violao da poltica

reconhecimento/provas/exploraes

infeco por vrus

Resposta

o processo de

validar os frutos da deteco e

tomar medidas para remediar as invases

Existem dois processos de resposta

conteno do incidente em curto prazo

consiste em impedir que o incidente continue na rede

Ex: impedir fisicamente o acesso mquina alvo
ou instalar uma nova regra no firewall para proibir o trfego

monitoramento de emergncia

consiste em capturar todos os dados sobre o IP invasor

quando todo o trfego j armazenado, isso no necessrio

Tipos de Ataques

Furto e quebra de senhas

O arquivo de senha roubado de um servidor

submetido a quebra por uma ferramenta de
crack de senha.
Assim obtido as senhas dos usurios que
tiveram seu servidor invadido.
John The Ripper

Homem do Meio

Negao de Servio (DoS)

Sobrecarga de um servidor com uma

quantidade excessiva de solicitaes de
servios
Existem ataques DoS distribudos (DDoS)

o invasor invade muitos computadores

e instala neles um software zumbi;

Quando recebem a ordem para iniciar o ataque,

os zumbis bombardeiam o servidor alvo

Engenharia Social

...Sexta feira as 16:00 da tarde o operador do

CPD de uma grande empresa recebe um
telefonema do "diretor financeiro" solicitando
sua senha para trabalhar remotamente, o
operador gentilmente fornece a informao e no
outro dia vai descobrir que foi enganado.
Este um exemplo do expediente usado para
este tipo de ataque.

Falhas de Autenticao

Um programa pede para efetuar o login

Username: marcia
Password: ********

Explorando falhas,

o programa de login pode ser atacado

e pode fornecer acesso sem nome e/ou senha

Exemplo com shell...

Falhas de Protocolos

Ataques DoS (negao de servio)

Reinicia ou para o servio

Ou causa lentido

Ataque LAND

Um invasor emite pacotes de requisio de conexo

com endereos IPs de origem e destino

Spoofing

Usar uma mquina para fazer de conta que

outra
Pode-se

forjar o endereo de origem de um ou mais hosts

atacar o DNS

atacar como mquina do meio

Para realizar uma sesso bem sucedida de

spoofing, costuma-se matar temporariamente a
mquina que est personificando
Exemplos....

Vazamento de informao

Obtido atravs da resposta a consulta de

Ping,

Traceroute,

Telnet,

Nmap,

etc.

Informaes de verses de SO e hosts

Fornecem ao invasor informaes que o permitir

planejar seu ataque a rede

Ex: NmapSI4

Mail Bomb

Milhares de mensagens enviadas a uma caixa

postal
O objetivo do atacante

apenas enviar lixo para a caixa postal de algum

e congestionar a via de acesso corporativo

Internet

Existem diversos programas que automatizam

o mail bombing

Cavalos de Troia

O termo vem de uma passagem da Ilada de

Homero, na qual os gregos deram de presente
um imenso cavalo de madeira a seus inimigos,
os troianos, aparentemente como oferta de uma
proposta de paz.
Por analogia, hoje na informtica, o termo trojan
ou cavalo de troia usado para designar uma
categoria de programas destrutivos
mascarados em programas e aplicativos

Sondagem (Probing)

Escanear a rede com scanners

programas que buscam portas TCP abertas por

onde pode ser feita uma invaso

Para evitar a deteco,

alguns scanners testam portas de um computador

durante muitos dias em horrios aleatrios

Smurf

Um tipo de ataque de negao de servio

Como funciona

O agressor envia solicitaes de ping para um

endereo de broadcast

Usando spoofing, o cracker faz com que o servidor

de broadcast encaminhe as respostas no para seu
endereo, mas para o da vtima

Assim, o computador-alvo inundado pelo ping

Sniffing

Programa ou dispositivo que captura o trfego

de rede
So teis para gerenciamento de redes
Mas nas mos crackers permitem roubar
senhas e outras informaes sigilosas
Exemplo...

Ping da Morte

o envio de um pacote IP com tamanho maior

que o mximo permitido (65535 bytes) para a
mquina que se deseja atacar
O pacote enviado na forma de fragmentos e
quando a mquina destino tenta montar estes
fragmentos, inmeras situaes podem ocorrer:

a maioria da mquinas trava,

algumas reinicializam,

outras abortam e mostram mensagens no console...

Ataque de replay

Forma particular de ataque em que parte de uma

transmisso de rede gravada e reproduzida
posteriormente.
Normalmente, esse tipo de ataque est associado a
uma criptografia mal estruturada
Onde est o problema

credencial for codificada sempre da mesma maneira;

o atacante pode gravar a sequncia criptografada

e incorpor-la em uma transmisso realizada por ele mesmo

Assim, sem saber a senha, seria possvel conseguir acesso

ao sistema.

Concluso
A segurana em redes e continuar sendo um importante tpico na rea da informtica, pois as redes
de computadores esto presentes em nosso cotidiano.
A medida que pessoas e paises ficam cada vez mais dependentes de computadores, provvel que
ataques cibernticos se tornem mais comuns. Isso tem levado muitos pases a acelerar sues esforos
para reforar suas defesas digitais, e alguns esto realizando testes em grande escala para avaliar o
desempenho de suas redes de computadores em resistir a ataques. Mesmo assim, "um crimonoso
munido de s uficiente tempo, motivao e financiamento ser sempre - sempre - capaz de penetrar em
um sistema-alvo".