Você está na página 1de 28

Redes e Segurana de

Sistemas de Informao
Faculdade Impacta Tecnologia FIT

Prof Andr Koide da Silva


andre@aksilva.com

2013

Prof Andr Koide da Silva

Parte 7: Riscos que rondam


as organizaes

Objetivos:
Identificar os potenciais atacantes:
hackers, crackers, script kiddies, cyberpunks, entre
outros
Descrever os tipos de ataques mais comuns:
obteno de informaes
negao de servios
contra o protocolo TCP
coordenados
aplicao

Prof Andr Koide da Silva


Potenciais atacantes

Termo genrico para identificar quem realiza o ataque em


um sistema computacional hacker
Esta generalizao tem vrias ramificaes
ataques tm objetivos diferentes
depende do grau de segurana dos alvos
depende da capacidade do hacker
Hackers, por sua definio original so aqueles que
utilizam seus conhecimentos para invadir sistemas, no
com o intuito de causar danos s vtimas, mas sim como
um desafio as suas habilidades
querem demonstrar que conhecimento poder
Prof Andr Koide da Silva

Potenciais atacantes

Os ataques geralmente so atribudos aos hackers


estes refutam esta idia, hackers no so crackers
Crackers so os elementos que invadem os sistemas para
roubar informaes e causar danos s vtimas
denominao tambm utilizada para os que decifram
softwares e destroem suas protees
Perfil de um hacker (segundo Marc Rogers)
indivduo obsessivo de classe mdia
cor branca e sexo masculino, entre 12 e 28 anos
pouca habilidade social (possvel histrico de abuso
fsico e/ou social)
Prof Andr Koide da Silva
Classificao dos atacantes

Script kiddies
Cyberpunks
Insiders
Coders
White hats
Black hats
Grey hats
Cyberterroristas

Prof Andr Koide da Silva

Classificao dos atacantes

Script kiddies
tambm conhecidos como newbies
geralmente so inexperientes e novatos
conseguem ferramentas prontas na internet
utilizam sem entender o que esto fazendo
considerados perigosos para um grande nmero de
organizaes, que no tm uma poltica de segurana
bem definida
por exemplo, organizaes que no atualizam as
falhas dos sistemas operacionais de servidores e
desktops
Prof Andr Koide da Silva
Classificao dos atacantes

Cyberpunks
dedicados s invases de sistemas por puro
divertimento e desafio
grande conhecimento dos sistemas
obcecados pela privacidade de seus dados, o que faz
que todas as suas comunicaes sejam protegidas pelo
uso da criptografia
a preocupao principal contra os governo que pode
estar acessando as informaes privadas dos cidados
hackers mais paranicos, que acreditam em teorias da
conspirao, tendem a virar cyberpunks

Prof Andr Koide da Silva

Classificao dos atacantes

Insiders
maiores responsveis pelos incidentes de segurana
mais graves nas organizaes
empregados insatisfeitos, ex-funcionrios e pessoas
que conseguem infiltrar-se nas organizaes
roubam cdigos fontes
espionam a empresa para sua concorrncia

Prof Andr Koide da Silva


Classificao dos atacantes

Coders
hackers que resolveram compartilhar seus
conhecimentos escrevendo livros ou proferindo
palestras e seminrios sobre suas proezas
White hats
conhecidos como hackers do bem
utilizam seus conhecimentos para descobrir
vulnerabilidades nos sistemas e aplicar as correes
necessrias
responsveis pelos testes de invaso, simulando
ataques para medir o nvel de segurana da rede

Prof Andr Koide da Silva

Classificao dos atacantes

Black hats
conhecidos como crackers
utilizam seus conhecimentos para invadir sistemas e
roubar informaes secretas das organizaes,
chantageando a empresa atacada

Prof Andr Koide da Silva


Classificao dos atacantes

Grey hats
black hats que fazem o papel de white hats
trabalham na rea de segurana
diferentemente do white hat, tem conhecimento sobre
atividades de hacking
algumas organizaes contratam gray hats para realizar
anlises de segurana
diversos incidentes j demonstraram que o nvel de
confiana necessrio para a realizao de trabalhos
to crticos e estratgicos no alcanado por meio
dessa abordagem

Prof Andr Koide da Silva

Classificao dos atacantes

Prof Andr Koide da Silva


Classificao dos atacantes

Cyberterroristas
hackers que realizam seus ataques contra alvos
selecionados cuidadosamente
objetivos:
transmitir uma mensagem poltica ou religiosa
derrubar a infra-estrutura de comunicaes
obter informaes que podem comprometer a
segurana de uma nao

Prof Andr Koide da Silva

Os pontos explorados

Baseados em engenharia social e/ou invases tcnicas

Prof Andr Koide da Silva


Os pontos explorados

Tipos de ataques mais comuns:


ataques para obteno de informaes
ataques de negao de servios
ataques ativos contra o protocolo TCP
ataques coordenados
ataques no nvel da aplicao

Prof Andr Koide da Silva

Ataques para obteno de


informaes

Utilizados para conhecer o terreno e coletar informaes


sobre o alvo
Principais tcnicas:
dumpster diving ou trashing
engenharia social
eavesdropping ou packet sniffing
scanning
war dialing
firewalking

Prof Andr Koide da Silva


Ataques para obteno de
informaes

Dumpster diving ou trashing


revirar o lixo a procura de informaes (ato legal)
pode revelar informaes pessoais e confidenciais
senhas, organogramas, listas telefnicas, cdigos
fontes, inventrios, polticas internas, entre outras
acessrio importante: fragmentador de papis
Engenharia social
tem como objetivo enganar e ludibriar pessoas
ataca o elo mais fraco da segurana: o usurio
normalmente o atacante se faz passar por um
funcionrio da empresa
Prof Andr Koide da Silva

Ataques para obteno de


informaes

Eavesdropping ou packet sniffing


interface de rede colocada em modo promscuo
captura pacotes no mesmo segmento de rede (pode
forar o switch a trabalhar como um hub)
senhas trafegam em texto claro (telnet, FTP, POP, entre
outras aplicaes)

Prof Andr Koide da Silva


Ataques para obteno de
informaes

Scanning
port scanning
obtm informaes a respeito dos servios
acessveis (portas abertas) em um sistema
nmap uma da ferramentas mais utilizadas, pois
implementa diversos mtodos de scanning:
TCP connect ()
UDP
Null scan
entre outros

Prof Andr Koide da Silva

Ataques para obteno de


informaes

Prof Andr Koide da Silva


Ataques para obteno de
informaes

Prof Andr Koide da Silva

Ataques para obteno de


informaes

Prof Andr Koide da Silva


Ataques para obteno de
informaes

Scanning
scanning de vulnerabilidades
realizado aps o mapeamento dos sistemas que
podem ser atacados e dos servios que so
executados
obtm informaes sobre vulnerabilidades
especficas (conhecidas) para cada servio em um
sistema

Prof Andr Koide da Silva

Ataques para obteno de


informaes

Prof Andr Koide da Silva


Ataques para obteno de
informaes

War dialing
realiza uma busca por modens
modem pode ser entrada alternativa para a rede
Firewalking
obtm informaes sobre uma rede remota protegida
por um firewall (similar ao traceroute)

Prof Andr Koide da Silva

Ataques de negao de servios

Tambm conhecidos como Denial-of-Service (DoS)


Recursos so explorados de maneira agressiva, de modo
que usurios legtimos ficam impossibilitados de utiliz-los
Principais tcnicas:
flooding
smurf e fraggle
teardrop
land attack
ping of death

Prof Andr Koide da Silva


Ataques de negao de servios

Flooding
inundar o servidor com requisies falsas
tipos:
TCP SYN flooding
UDP flooding
ICMP flooding

Prof Andr Koide da Silva

Ataques de negao de servios

Smurf e fraggle
consistem em ataques de flooding distribudo
utilizam broadcasting em redes inteiras para amplificar
seus efeitos
utilizam o endereo IP da vtima como endereo de
origem dos pacotes (IP spoofing)
protocolos utilizados:
smurf utiliza o ICMP
fraggle utiliza o UDP

Prof Andr Koide da Silva


Ataques de negao de servios

Etapa 1: incio do ataque

Prof Andr Koide da Silva

Ataques de negao de servios

Etapa 2: propagao do ataque

Prof Andr Koide da Silva


Ataques de negao de servios

Etapa 3: resultado do ataque

Prof Andr Koide da Silva

Ataques de negao de servios

Teardrop
aproveita uma falha na implementao das rotinas de
remontagem de pacotes (atualmente, os sistemas no
mais so vulnerveis)
consiste em enviar um pacote com um tamanho
invlido para o sistema obter um nmero negativo ao
calcular o offset e resultar em crash do sistema
Land attack
consiste em conectar uma porta de um sistema a ela
mesma (IP spoofing)
leva ao travamento do sistema em diversas plataformas

Prof Andr Koide da Silva


Ataques de negao de servios

Ping of death
consiste em enviar um pacote de ICMP echo request
(ping) com mais de 65.507 bytes de dados
tamanho mximo de um datagrama IP = 65.535 (216-
1) bytes (RFC 791)
datagrama cabealho IP cabealho ICMP =
65.535 20 8 = 65.507 bytes de dados
implementaes do ping no devem permitir a emisso
de datagramas invlidos
resulta em reboot, panic ou travamentos
atualmente, sistemas no so mais vulnerveis

Prof Andr Koide da Silva

Ataques ativos contra o


protocolo TCP

Exploram um dos grandes problemas existentes na sute


de protocolos TCP/IP: a autenticao entre os hosts, que
baseada em endereos IP
Principais tcnicas:
spoofing
ARP, IP e DNS
man-in-the-middle
replay attack
fragmentao de pacotes

Prof Andr Koide da Silva


Ataques ativos contra o
protocolo TCP

Spoofing
consiste em enganar a vtima fazendo-se passar por
outro host
modalidades:
ARP spoofing (respostas ARP falsas)
IP spoofing (pacotes com endereo IP falso)
DNS spoofing (respostas de DNS falsas)

Prof Andr Koide da Silva

Ataques ativos contra o


protocolo TCP

ARP spoofing: primeira etapa

Prof Andr Koide da Silva


Ataques ativos contra o
protocolo TCP

ARP spoofing: segunda etapa

Prof Andr Koide da Silva

Ataques ativos contra o


protocolo TCP

ARP spoofing: resultado final

Prof Andr Koide da Silva


Ataques ativos contra o
protocolo TCP

IP spoofing
UDP e ICMP: trivial
TCP: maior grau de dificuldade, pois necessrio impedir
que o host confivel responda

Prof Andr Koide da Silva

Ataques ativos contra o


protocolo TCP

DNS spoofing
ataque onde o hacker compromete um servidor de
nomes (Domain Name System)
servidor DNS aceita e usa incorretamente a informao
de um host que no tem autoridade de dar esta
informao
utilizando esta tcnica, o atacante pode direcionar o
email ou navegador da vtima para o seu prprio
servidor

Prof Andr Koide da Silva


Ataques ativos contra o
protocolo TCP

Man-in-the-middle
atacante intercepta os
dados e responde
pelo cliente, podendo
alterar os dados
na variante session
hijacking, o atacante
derruba o cliente e
mantm a conexo
em andamento

Prof Andr Koide da Silva

Ataques ativos contra o


protocolo TCP

Replay attack
dados interceptados so retransmitidos pelo atacante
permite utilizao de dados cifrados

Prof Andr Koide da Silva


Ataques ativos contra o
protocolo TCP

Fragmentao de pacotes
se o tamanho do pacote for maior que o MTU do meio,
ento ocorre a fragmentao
possvel sobrescrever cabealhos durante a
remontagem dos pacotes, burlando as regras de
filtragem do firewall

Prof Andr Koide da Silva

Ataques coordenados

Conhecidos como ataques de negao de servios


distribudos (Distributed Denial-of-Service
DDoS)
Hosts distribudos so atacados e coordenados
pelo hacker, para realizao de ataques
simultneos aos alvos
Ataque extremamente eficiente, vtima sequer
sabe a origem do atacante

Prof Andr Koide da Silva


Ataques coordenados

Etapas:
intruso em massa
instalao do software DDoS
disparo do ataque
Tcnicas utilizadas:
IP Spoofing
SYN Flooding
execuo de comandos remotos
fragmentao de pacotes
criptografia na comunicao entre o atacante e os masters

Prof Andr Koide da Silva

Ataques coordenados

Prof Andr Koide da Silva


Ataques no nvel da aplicao

Exploram vulnerabilidades em aplicaes, servios e


protocolos que funcionam no nvel de aplicao
Principais tcnicas:
crackers de senha
buffer overflow
missing format string
exploits
vrus, worms e trojans
rootkits e backdoors

Prof Andr Koide da Silva

Ataques no nvel da aplicao

Crackers de senha
programas capazes de revelar senhas cifradas
mtodo:
utilizam o mesmo algoritmo usado para cifrar as
senhas, realizando anlise comparativa
tcnicas:
ataque de dicionrio
ataque de fora bruta
ambos
desempenho:
podem ser executados de forma distribuda
Prof Andr Koide da Silva
Ataques no nvel da aplicao

Buffer overflow
visa prover uma quantidade de dados maior do que a
memria do programa/servidor pode suportar
o ataque feito com a insero de uma string grande em
uma rotina que no checa os limites do buffer
com isso, a string ultrapassa o tamanho do buffer,
sobrescrevendo as demais reas de memria
resultado: dados corrompidos, programa instvel ou
execuo de cdigo remoto
caso famoso descoberto em 2000 no Outlook Express: era
possvel fazer com que um e-mail executasse arquivos
apenas por ser aberto (bastava anexar um arquivo com um
certo nmero de caracteres no nome)
Prof Andr Koide da Silva

Ataques no nvel da aplicao

Buffer overflow
idia bsica:

Prof Andr Koide da Silva


Ataques no nvel da aplicao

Missing format string


programas usualmente no validam os dados de entrada

supondo $mail_to igual a joao@uol.com.br; cat


/etc/passwd, o comando executado ser:
/usr/lib/sendmail joao@uol.com.br; cat /etc/passwd
logo, alm de enviar o e-mail pretendido, ocorre a exibio
do arquivo de senhas do unix

Prof Andr Koide da Silva

Ataques no nvel da aplicao

Exploits
programas que exploram falhas conhecidas de
segurana
exploram falhas de:
sistemas operacionais
protocolos
aplicaes
normalmente possuem procedimentos de como usar e
podem ser facilmente obtidos na Internet
permitem a qualquer leigo se tornar um hacker (script
kiddies)
Prof Andr Koide da Silva
Ataques no nvel da aplicao

Vrus
programa que se anexa aos arquivos na mquina alvo e
realiza alguma ao indesejada (destri dados ou
sistemas de computador)
Worms
diferem dos vrus por se espalharem automaticamente,
sem necessidade de interao com o usurio
Trojan horses (cavalos de tria)
programa legtimo que tenha sido alterado com a
insero de cdigo no autorizado e que realiza uma
funo oculta e indesejvel

Prof Andr Koide da Silva

Ataques no nvel da aplicao

Rootkits
conjunto de ferramentas que o atacante instala no host
da vtima para ocultar sua presena e facilitar futuros
acessos
programa modificado que no faz o que normalmente
deveria fazer
exemplos:
ps que mostra processos errados
ls que no mostra alguns arquivos
alm disso, escondem backdoors e alteram logs

Prof Andr Koide da Silva


Ataques no nvel da aplicao

Backdoors
programas que permitem acesso por meio de portas
desconhecidamente abertas no host da vtima
computador poder ser totalmente controlado a
distncia, possibilitando ao invasor:
visualizar arquivos, e-mails e senhas
apagar arquivos
executar programas
formatar o disco rgido
entre outras atitudes ilcitas
exemplos: Back Oriffice e o Netbus

Prof Andr Koide da Silva