Escolar Documentos
Profissional Documentos
Cultura Documentos
Fundamentos de Sistemas de
Segurana da Informao
Aluno: ______________________________________________________
1a aula:
1. Introduo:
1.1 Motivao;
1.2 Jargo de Segurana;
1.3 Necessidade de uma infraestrutura de segurana;
1.4 Conceitos Bsicos;
2. Oportunidades e Riscos:
2.1 Vulnerabilidades;
2.2 Comrcio Eletrnico;
2.3 Conhecendo o inimigo;
2.4 Segurana de acesso e de dados;
2.5 Itens importantes para a segurana;
2a aula:
3. As ameaas:
3.1 Problemas mais comuns;
3.2 Script Kiddies;
3.3 Engenharia Social;
3.4 Vrus, Worms e Trojans;
3.5 Ataques de Negao de Servio (DoS e DDoS);
3a aula:
5. Contramedidas:
5.1 Contramedidas Bsicas;
5.2 Segurana no nvel do cliente;
5.3 Configurao segura de servios;
5.4 Resposta a ataques e problemas de segurana;
6. Ferramentas de Segurana:
6.1 Controle de acesso;
6.2 Criptografia;
6.3 Firewalls e IDS;
6.4 Scanners;
6.5 Sniffers;
6.6 Password Crackers;
6.7 Logs e Auditoria;
4a aula:
7. Firewalls:
7.1 Tipos de Firewall;
7.2 Arquiteturas;
7.3 Fabricantes;
7.4 Testando a segurana de um firewall (penetration test)
5a aula:
10.Gerncia de Segurana
10.1 Plano de Segurana;
10.2 Anlise de ameaa e Anlise de Risco;
10.3 Normas de Segurana;
1. Introduo:
1.1
Ataque:
Autenticao:
Back door:
Bug
Cavalo de Tria
Uma aplicao ou cdigo que, sem o conhecimento do usurio realiza alguma tarefa
que compromete a segurana de um sistema, em geral, esta aplicao se apresenta
ao usurio de forma rotineira e legtima, Ex.: um simples jogo que contm cdigo
malicioso que envia os dados do usurio para um e-mail especfico.
CERT
Certificao
Existem duas definies para este termo. Primeira, certificao pode se referir para o
resultado de uma avaliao com sucesso
Crack
Cracker
Engenharia Social
Exploit
Firewall
Flood
Sobrecarga (em geral, de pacotes) causada por eventos no esperados que causam
lentido da rede.
Hacker
Hacking
Hijacking
Hole
Invaso
Lammer
uma palavra que os hackers utilizam para identificar os ndividuos que se acham
hackers, mas esto ainda no estgio inicial de aprendizado.
Phreaking
Scanner
Script Kiddie
o indivduo que saiu do estgio de lammer mas que s sabe usar as receitas de
bolo, programas prontos e ainda no entende muito bem o que est fazendo.
Sniffer
Spoofing
uma forma de manter uma conexo com uma mquina se fazendo passar por outra
na qual ela confie. Um termo muito utilizado o IP Spoofing, que significa o uso de
vulnerabilidades do Protocolo TCP/IP que permitem a ao descrita acima.
Vrus
Vulnerabilidade
Warez
Worm
importante lembrar que os seres humanos so o elo mais fraco dessa corrente. Voc
pode ter os mais perfeitos produtos de segurana, mas eles no sero nada se voc
no tiver conscincia que eles sero gerenciados e utilizados por pessoas, isto nos faz
refletir sobre a necessidade de uma infraestrutura de segurana e forma de como
mont-la.
A modelagem de ameaa algo difcil de ser feito, ela envolve pensar sobre um
sistema e imaginar o vasto panorama de vulnerabilidade.
Avaliao de Risco:
No suficiente apenas listar um punhado de ameaas, voc precisa saber o quanto
deve se preocupar com cada uma delas.
Privacidade
Integridade
Autenticao
No-repdio
Disponibilidade
2. Oportunidades e Riscos:
2.1 Vulnerabilidades
Hackers
Crackers
Fabricantes de software ou hardware
Alguns Sites:
http://www.securityfocus.com
http://packetstorm.securify.com
http://ciac.llnl.gov
http://www.lockabit.coppe.ufrj.br
http://www.securenet.com.br
Uma lista bem grande de sites de segurana pode ser encontrada na seo de links do
portal Lockabit da COPPE/UFRJ.
Mesmo com tecnologias j amadurecidas, ainda temos problemas com o fator humano
que nega a confiar em tais tecnologias. As pessoas acham que esto mais seguras
usando o carto de crdito numa loja onde o atendente leva seu carto e volta
minutos depois do que na Internet. s vezes essas pessoas esto erradas.
Ex:
Adversrios Objetivos
Estudante Divertir-se vasculhando emails, roubando
senhas, etc.
Hacker Testar a segurana de sistemas, roubar
Cracker informaes
Homens de negcios Descobrir planos e estratgias de
marketing do concorrente
Ex-empregado Vingar-se por ter sido despedido
Espio Conhecer a tecnologia do inimigo
Terrorista Roubar e utilizar segredos polticos
http://www.ussrback.org
http://www.destroy.net
http://www.insecure.org
http://www.hackershomepage.com
http://www.hackerslab.com
http://packetstorm.securify.com
http://www.rootshell.com
http://www.securityportal.com
http://www.technotronic.com
http://unsekurity.virtualave.net
http://www.phrack.com
http://www.bufferoverflow.org
A distino entre estes dois tipos de segurana muito importante. Temos que ter em
mente que um hacker mal intencionado ir descobrir falhas ou usar de qualquer
artifcio para conseguir quebrar um ou o outro tipo, e
ele quebrar uma das duas, conseqentemente quebrar as duas!
necessrio trancar bem a periferia de sua rede ou sistema, mas para fazer voc
tem que conhece la bem, saber que tipos de dados trafegam e onde voc ter que
apl
2.5
As ferramentas esto entre um dos itens importantes, mas esto longe de serem as
nicas necessrias.
Investimento
Plano de Segurana
Pessoal qualificado
Interao na organizao e entre fornecedor e cliente
Ferramentas de segurana
3. As ameaas:
Nestes casos, a culpa colocada sempre nos fabricantes, porqu seus sistemas
possuem vulnerabilidade e falhas, quando no deveriam ter. Bem, acontece que bugs
so to naturais em softwares quanto doenas so em ns, seres humanos. Os bugs,
falhas, e vulnerabilidades sempre iro existir, ento, cabe a ns, nos manter
atualizados quanto ao lanamento de correes, patches, updates etc.
Este sim, um problema causado pelo fabricante, quando este deixa de manter um
controle de qualidade de seu software, e o que pior, no alerta os usurios e nem
lana correes para tais problemas. Portanto, antes de adquirir um software,
verifique, alm de sua funcionalidade, se existe uma rea de suporte ativa que cuide
das atualizaes e tenha preocupao com a segurana do produto.
maneira mais fcil possvel. Eles fazem isto utilizando um pequeno nmero de
, ento eles procuram pela Internet inteira, at que conseguem
mquina que seja vulnervel (cedo ou tarde isto certamente acontecer).
evitar isto.
Os hackers mais
eles invadem o sistema. As Backdoors permitem acesso fcil e "furtivo" ao sistema,
no apareceria em qualquer
ele constri uma "casa" confortvel e segura, onde ele pode escanear a Internet
a qualquer hora do dia. Eles tambm podem ficar escaneando 24 horas por dia. Voc
no pode ter idia de quando o scan ocorrer. Pois estes ataques so lanados de
qualquer lugar do mundo, e, assim como a Internet no tem fronteiras geogrficas,
tambm no existe um tempo fixo. O hacker pode lanar um ataque a meia noite no
pas dele, mas para voc, aqui no Brasil podem ser 3 horas da tarde.
Os servidores DNS so muito usados para construir bases de dados dos sistemas que
podem ser testados/escaneados. Limite os sistemas que podem fazer a transferncia
de zona dos seus Servidores de DNS. altamente recomendado atualizar para a
ltima verso do BIND, que voc pode encontrar em http://www.isc.org/bind.html. E
por ltimo, observe se os seus sistemas sofrem ataques de scanning.
Existe algum mtodo mais rpido e eficiente de se descobrir uma senha? Que tal
simplesmente perguntar? Por mais extraordinrio que possa parecer, o mtodo mais
simples, mais usado e talvez mais eficiente de se recolher informaes
simplesmente chegar e perguntar.
Voc tambm poderia subornar, mas dependendo da situao, isto pode lhe custar
muito caro, ento porqu no tentar enganar e obter tais informaes? De fato, este
mtodo bastante utilizado, e existem hackers que sabem us-lo com grande
destreza, um exemplo o famoso hacker Kevin Mitnick que era um expert em fazer
tais vigarices.
Geralmente este tipo de aproximao envolve muito mais do que simples raciocnio
rpido e uma variedade de frases na ponta da lngua. Engenharia social pode envolver
muito trabalho de aquisio de informao antes de uma real ao de qualquer tipo.
Para se iniciar um ataque, a maior parte do trabalho est na preparao, muito mais
que no prprio ataque.
O segundo criar uma situao onde o indivduo apenas uma parte dela. Com muito
mais fatores que um simples pedido, o indivduo preocupado estar bem mais
predisposto a ser persuadido. Isso no significa que as situaes propostas devam ser
fictcias. Quanto menos voc faltar com a verdade melhor. Isso requer muito mais
trabalho por parte de quem faz o ataque e com certeza envolve um recolhimento de
informao e conhecimento prvio do alvo.
Troca de favores. Permitir que o alvo acredite que esta prestando um favor a
voc e que voc extremamente grato. As pessoas geralmente mostram-se
mais dispostas a cooperar quando acreditam que podero obter alguma
vantagem no futuro, como se voc ou o chefe ficassem devendo um favor.
Dever moral. quando o alvo coopera, pois acha que a coisa certa a fazer.
seu dever moral. Parte disso culpa. As pessoas procuram evitar o sentimento
de culpa e faro o possvel para evitar esse sentimento.
Procure escolher seu alvo levando em considerao seu envolvimento (veremos mais
frente no texto), sua experincia e tempo de trabalho junto ao sistema alvo. Alunos,
estagirios, secretarias e profissionais iniciantes mostram-se sempre mais dispostos a
cooperar. Isto se deve ao fato de que estes indivduos possuem ainda pouco
conhecimento e pouca experincia a respeito do sistema alvo e desejam mostrar-se
teis. Eles querem mostrar servio.
Quanto menos conflito com o alvo melhor. muito mais fcil ganhar a confiana do
alvo sendo gentil. Utilizar um tom de voz calmo (se ao telefone) e ser gentil, um
bom comeo para que o alvo coopere.
Como uma atque de engenharia social pode revelar muitas informaes, como se
pode tornar um sistema de computadores mais seguro? A resposta educao e
difuso da informao, explicando aos empregados e pessoas ligadas direta ou
indiretamente ao sistema a importncia de uma poltica de segurana, evitando assim
o ataque de pessoas que podero tentar manipul-los para ganhar acesso a
informaes privadas. Isto j um excelente comeo para tornar segura sua rede ou
sistema.
Atualmente est cada vez mais difcil classificar um programa malicioso em uma
destas categorias, pois os "vrus" modernos esto usando cada vez mais tcnicas
mistas de contaminao. No raro encontrar programas que usam tcnicas de
worms para entrar no sistema, alterar as configuraes de segurana e infectar seu
computador como se fosse um vrus de macro. Est se tornando cada vez mais
comum encontrar vrus que usam arquivos de lote (.BAT) para se infiltrar no sistema.
3.4.1 Antivrus
Os vrus acabaram por formar uma grande indstria de antivrus. Atualmente existem
da McAfee.
Todos os antivrus agem de forma semelhante. Existem dois mtodos bsicos usados
para combater vrus. O primeiro consiste em manter nos antivrus
de dados onde ficam registradas todas as assinaturas (parte do vrus que o
caracteriza) de vrus conhecidos. Da a importncia de manter seu antivrus
atualizado, pois a cada dia surgem centenas de novos vrus. Assim, quando
scaneamos o sistema, na verdade o que estamos fazendo comparar cada arquivo
nosso com a assinatura dos vrus registrados.
A segunda forma de proteo conhecida como inoculao, que nada mais que a
criao de um banco de dados contendo as principais informaes (tamanho, data de
criao e data da ultima alterao) sobre os arquivos inoculados. Assim, cada vez que
scaneamos o sistema o programa antivrus compara as informaes do banco de
dados criado com as que esto no disco. Se houver alguma diferena emitido um
alerta. Mas note que no qualquer arquivo que deve ser inoculado, uma vez que
arquivos de dados sempre so alterados. Os arquivos executveis, DLLs e arquivos de
sistema so exemplos de arquivos que devem ser inoculados, pois so as principais
vtimas de vrus e no mudam seu contedo com freqncia.
Nenhuma empresa est livre de ataques de vrus. Mas existem algumas medidas que
ao menos podem diminuir o risco de contaminao. Em primeiro lugar muito
importante que haja uma conscientizao por parte dos funcionrios sobre as normas
de segurana. Este o primeiro passo para evitar problemas futuros.
Nada adianta uma equipe super treinada em segurana se os funcionrios insistirem
em baixar arquivos de origem duvidosa na Rede externa, ou inserirem discos
inseguros nos micros. Um dos pontos mais importante do processo de
conscientizao dos funcionrios a questo do e-mail, pois este o principal
trampolim dos vrus atualmente.
Algumas medidas simples podem evitar muita dor de cabea futura, tais como:
Apesar de tudo, o ideal tambm ter uma equipe preparada para agir em caso de
contaminao. Esta equipe deve se manter atualizada e no s tratar de
contaminaes, mas tambm da segurana do site em geral. Algumas atribuies
bsicas de uma equipe de segurana so:
3.5
ela possui uma quantidade enorme de informao para manipular e portanto, ficar
-se o nome de DoS (Denial of Service, ou
O DoS tem sido usado por profissionais de segurana como ferramenta para avaliar a
capacidade de sua rede. Por outro lado, do mundo todo tm trazido muitos
problemas a pequenos e at grandes sites, como Yaho
redes.
Mas antes de existirem ferramentas que automatizassem esse ataque, era necessrio
usar para disparar o ataque. Usando telnet ou SSH, o hacker dispararia o comando
para causar o na mquina vtima. Para isso, ele poderia usar, por exemplo, o
ping do UNIX nos hosts.
3.4.3
SYN FLOOD - Para entendermos este ataque precisamos ver como funciona
uma conexo TCP entre duas mquinas A e B, que realizada em 3 etapas.
Primeiramente, a mquina A envia um pacote SYN. A mquina B ento
responde com um outro pacote SYN/ACK que ao chegar a mquina A,
reenvia um pacote ACK e ento a conexo estabelecida. A vulnerabilidade
H dois tipos de trfego gerado por DDoS: trfego de controle (entre cliente e
servidor) e trfego flood (entre servidor DDoS e a vtima). Para habilitar uma
eficiente deteco deve-se procurar por sinais gerais (assinaturas), alguns bvios,
outros pelo volume de trfego e que causam suspeita.
Ainda no existe uma soluo para bloquear um ataque DoS/DDoS. O que se pode
fazer tentar minimizar seu impacto, para fazer isso temos que primeiro identificar
corretamente um ataque de DoS e depois criar solues para escoar o fluxo de
pacotes, seja atravs de um firewall na fronteira ou algum esquema de alterao de
endereamento IP ou DNS.
Antes da diverso real do Hacker comear, trs passos especiais, e s vezes rduos,
precisam ser executados. Falaremos agora sobre o primeiro: a aquisio de alvos, ou
footprinting, a fina arte de coletar informaes do alvo. Por exemplo, quando um
ladro decide roubar um banco ele no entra simplesmente no banco e comea a
exigir o dinheiro (pelo menos, no os expertos). Em vez disso, eles fazem grandes
esforos para obter informaes sobre o banco as rotas dos carros-fortes e horrios
de entrega de dinheiro, as cmeras de vdeo, o nmero de caixas, etc.
Tecnologia
Nome de domnio;
Blocos de rede;
Endereos IP;
Servios TCP e UDP executados em cada sistema identificado;
Internet Arquitetura do sistema;
Mecanismos de controle de acesso, Firewalls;
Sistemas de deteco de intruso (IDS);
Enumerao de sistemas (nome de usurios e de grupos,
tabelas de roteamento, informaes de SNMP);
Protocolos de rede em uso;
Nomes de domnio interno;
Blocos de rede;
Endereos IP;
Intranet Servios TCP e UDP executados em cada sistema identificado;
Arquitetura do sistema;
Sistemas de deteco de intruso (IDS);
Enumerao de sistemas (nome de usurios e de grupos,
tabelas de roteamento, informaes de SNMP);
Nmeros de telefone analgicos e digitais;
Acesso Remoto Tipo de sistema remoto;
Mecanismos de autenticao;
Origem e destino dos pacotes;
Extranet Tipos de conexo;
Mecanismos de controle de acesso;
Enumerao de redes
o Buscas na Faperj
o Buscas no Internic
o Servidores de Whois
Mail Transfer
4.2 Varredura
Varreduras de ping de rede: fping, gping, hping, nmap sP, Pinger, Ping
Sweep etc.
Consultas ICMP: icmpquery, icmpush
Varredura de Portas:
o Varredura TCP
o Varredura TCP SYN
o Varredura TCP FIN
o Varredura TCP rvore d Natal
o Varredura TCP nula
o Varredura UDP
o Para sistemas UNIX/Windows use: nmap, strobe, udp_scan, Netcat
o Para sistemas Windows use: PortPro, PortScan, Stealth
Deteco de Sistema Operacional: nmap O, queso
Pacotes completos: scotty, cheops e ferramentas de gerncia.
4.3 Enumerao
O tipo de informao enumerada por atacantes pode ser classificada, de forma geral,
nas seguintes categorias:
No Windows NT:
No Unix:
showmount e
rpcinfo -p
finger l @vitima.com.br
rusers, rwho, etc.
Telnet para o servidor de email a fim de identificar logins;
Enumerao de banners, usando telnet para portas especficas;
Use o Netcat
Use o SamSpade
Emails bomba
Ferramentas de DoS/DDoS
List Linking (cadastramento de uma pessoa em milhares de listas de discusso)
Vrus
4.4.2 Trojans
4.4.4 Scanners
4.4.5 Sniffers
Por que os exploits so to especficos? Para responder esta pergunta temos que
aprender algo sobre buffer overflows, nem sempre os exploits esto baseados em
buffer overflows, mas esto baseados em, digamos 90% dos casos.
Este assunto um tanto complexo, e uma das tcnicas de hacking mais avanadas.
Envolve dominar bem as linguagens de programao, e at mesmo em baixo nvel
(assembly). Vamos tentar dar uma explicao com menos detalhes tcnicos para o
assunto, para no fugir ao escopo deste curso.
Descobrir falhas deste tipo e escrever exploit uma tarefa bastante complexa, e
apenas hackers em nvel avanado possuem tal expertise. Criar programas que no
sejam vulnerveis tambm requer bom nvel de conhecimento de segurana na
programao.
Para proteger seus sistemas contra o uso de tais tcnicas a melhor coisa a fazer
ficar ligado nos ltimos exploits nos sites de hackers e nos advisories dos fabricantes.
5. Contramedidas:
Utilizao de VPNs;
Desabilitar javascripts;
Vamos abordar aqui algumas guidelines para configurao segura de servios. Vamos
tratar separadamente ambientes UNIX e Windows:
Patches: verificar os ltimos patches dos servios que esto disponveis. Ex:
DNS, E-mail, Web, etc. Manter uma tabela atualizada dos servios em cada
host, com as verses, datas de atualizao e site do fabricante.
Segurana de rede: Permitir o acesso somente aos servios estritamente
necessrios. O ideal bloquear o acesso a todos os servios e dar permisso
somente aos necessrios. Se isto no for possvel deve-se bloquear os
seguintes servios:
o echo 7 TCP/UDP
o systat 11 TCP
o netstat 15 TCP
o bootp 67 UDP
o tftp 69 UDP
o link 87 TCP
o supdup 95 TCP
o sunrpc 111 TCP/UDP
o News 144 TCP
o snmp 161 UDP
o xdmcp 177 UDP
o exec 512 TCP
o login 513 TCP
o shell 514 TCP
o printer 515 TCP
o biff 512 TCP
o who 513 UDP
o syslog 514 UDP
o uucp 540 TCP
o route 520 UDP
o openwin 2000 TCP
o NFS 2049 UDP/TCP
o X11 6000 at 6000 + n TCP (n o nmero de X servers)
Utilize um Port Scanner para verificar as portas que ainda existem abertas no
sistema. Lembre-se de verificar UDP tambm.
Patches: verificar os ltimos patches dos servios que esto disponveis. Ex:
DNS, E-mail, Web, etc. Manter uma tabela atualizada dos servios em cada
host, com as verses, datas de atualizao e site do fabricante.
Utilizar o System Policy Editor, mas conhecido como Policy (poledit.exe), e pode
ser encontrado na maioria dos CDs do Windows 98 em
\tools\reskit\netadmin\poledit ou no site da Microsoft.
Mesmo com sua rede super protegida os seguintes eventos ainda podem ocorrer:
No primeiro caso pode haver ataques rotineiros (com os quais voc no deve perder
muito tempo em se preocupar) ou ataques macios (Ex. DDoS), podem haver
incidentes mais graves, como a deteco de uma invaso, e ataques que so
persistentes. Nos ltimos casos necessrio interveno do administrador.
Ateno: Lembre-se da nossa definio de ataque (Ataque uma tentativa, e pode ter
sucesso ou no).
O segundo caso o melhor pois espera-se que voc foi o primeiro e nico a detectar
tal situao, neste caso voc deveria consertar o problema e informar ao
fabricante/desenvolvedor. Se no for possvel consertar o problema deve-se parar o
servio e informar imediatamente ao fabricante e aguardar a soluo.
No caso dos ataques mais graves e invases, temos que estar preparados para tais
situaes e ter um plano de contingncia. Assim como o corpo de bombeiros se
comporta, ns devemos nos comportar.
Planejamento de Respostas:
o Data e Hora;
o Informaes sobre os contatos no suporte ao incidente;
o Detalhes tcnicos;
o Contedo da comunicao com outras pessoas;
o Manter a gerncia informada;
o Manter as informaes sigilosas em carter confidencial;
o Escolher com inteligncia os canais de comunicao;
Segue uma lista de fabricantes e/ou desenvolvedores com seus respectivos contatos,
que voc pode usar para reportar uma vulnerabilidade:
Allaire mgin@allaire.com
Alt-N issues@altn.com
Apache security@apache.org
Debian security@debian.org
BSDI problems@bsdi.com
Caldera security@calderasystems.com
Checkpoint cpsupport@ts.checkpoint.com
Cisco security-alert@cisco.com
Cobalt security@cobalt.com
FreeBSD security-officer@freebsd.org
Gordano support@gordano.com
HP security-alert@hp.com
IBM security-alert@austin.ibm.com
IpSwitch dkarp@ipswitch.com
ISC BIND bind-bugs@isc.org
KDE submit@bugs.kde.org
Lotus security@lotus.com
Microsoft secure@microsoft.com
NetBSD security-officer@netbsd.org
Novell frank@novell.com, ncashell@novell.com
OpenBSD deraadt@openbsd.org
Qualcomm Qpopper qpopper@qualcomm.com
Qualcomm Eudora eudora-bugs@qualcomm.com
Red Hat bugs@redhat.com
SCO security-alert@sco.com
Slackware security@slackware.com
SGI security-alert@sgi.com
Sun security-alert@sun.com
SuSE security@suse.de
TurboLinux K8e@turbolinux.com
WarFTPD jgaa@jgaa.com
Wu-FTPD wuftpd-members@wu-ftpd.org
listserv@securityfocus.com
Utilize o seu primeiro e segundo nome. Para saber mais sobre a BUGTRAQ leia a FAQ
em: http://www.securityfocus.com/frames/?content=/forums/bugtraq/faq.html
6. Ferramentas de Segurana:
6.2 Criptografia
A criptografia uma das armas mais poderosas da segurana. Ela , na maioria das
vezes, utilizada indiretamente atravs de ferramentas, protocolos e sistemas
especficos. Ex.:
IPSec
Assinaturas Digitais
Verificadores de Integridade (Funes de Hash, Ex. MD5)
PGP
Criptografia de Senhas (Crypt3 + DES)
SSH
SSL
6.4 Scanners
Exemplos:
o Nessus
o Nmap
o NSS
o Strobe
o SATAN
o SAINT
6.5 Sniffers
Ethernet padro;
TCP/IP;
IPX;
DECNet;
Exemplos:
A maioria destes programas funciona atravs do mtodo conhecido como fora bruta.
A fora bruta funciona da seguinte forma:
Notamos ento, que no correto dizer que um programa destes decifra uma senha
(muitas pessoas dizem), eles no decifram o criptograma e no fazem criptoanlise
(salvo algumas excees) pois so baseados na fora bruta, ou seja, na comparao.
Exemplos:
7. Firewalls:
o Endereo de origem
o Protocolo
o Nmeros de porta
o Contedo de pacote
o Flags TCP
o E outras caractersticas dos protocolos envolvidos
Criptografia
NAT (Network Address Translation)
Autenticao
7.2 Arquiteturas
7.3 Fabricantes
Diariamente so descobertos novos furos nos mais variados sistemas, por isso de
fundamental importncia que o Tiger Team utilize tcnicas reais, pois caso isso no
ocorra o teste pode tornar-se invlido.
1.O Tiger Team obtm xito, logo o sistema de segurana est falho.
2.O Tiger Team no obtm xito, logo o sistema de segurana est adequado.
A segunda afirmativa pode no ser verdadeira uma vez que seu sistema foi submetido
a uma equipe que est sujeita a erros.
Um teste de invaso pode dar uma boa idia sobre as vulnerabilidades de alto risco
presente em seu sistema. Financeiramente no interessante utilizar o teste de
invaso para identificar todas as possveis vulnerabilidades do seu sistema. Se seu
objetivo simplesmente identificar as vulnerabilidades, considera a utilizao de uma
ferramenta de SCAN, como: nmap, SATAN, ISS scanner. Lembre-se, voc est
pagando por um teste de invaso pelo conhecimento e expertise do Tiger Team alm
da habilidade em explorar as vulnerabilidades. As ameaas e vulnerabilidades que no
conseguirem explorar podem ser identificadas pela ferramenta de scan, pense nisso,
antes de contratar um teste de invaso.
Um importante aspecto referente ao teste de invaso que ele pode gerar uma falsa
sensao de segurana. A idia de que "Eles fizeram o melhor que podiam e no
obtiveram xito" no valida.
Sua rede pode ter vulnerabilidades que o Tiger Team no tenha encontrado ou talvez
elas no existam no momento do teste, mas podem vir a existir aps alguma
mudana na configurao da rede.
Um importante ponto a se lembrar , "Voc ter o que voc pagou". Existem algumas
pessoas que executam teste de invaso e acham que seu trabalho entrar na rede -
sem identificar as vulnerabilidades. recomendvel que a pessoa que vai realizar o
teste de invaso apresente um documento detalhando exatamente quais so os
resultados finais a serem alcanados. Alm disso voc deve considerar a realizao do
teste de invaso em vrios momentos do seu sistema.
Enquanto voc no tiver testado sua ferramenta de IDS ou montado seu plano de
resposta a incidentes, a pessoa responsvel pelo teste no deve receber nenhum tipo
de informao sobre o seu sistema, parceiros comerciais. Isso pode protege-lo quanto
a validade do teste de forma que intrusos verdadeiros no tenha acesso a estas
informaes.
Qualquer tipo de teste que possa causar danos ao sistema deve ser realizado em
perodos de baixa ou sem atividades.
Nesta fazer o Tiger Team vai aprender tudo que puder sobre o alvo e no estar
necessariamente preocupado com vulnerabilidades do sistema. Ele tentar obter
informaes sobre a estrutura da diretoria, nmero dos telefones/ramais, relao dos
parceiros, dos vendedores, ou seja, todo tipo de informao.
Raramente a pessoa que realiza o teste tem que recorrer a mecanismos como
buffer overflow. A relao de telefones possui muitas informaes teis para o
invasor.
Nesta fase ainda dentro do que chamo aproximao indireta podemos colher mais
informaes sobre a intistuio que est sendo testada. Isso inclui a consulta ao whois
via web: FAPESP (www.fapesp.br), ao InterNIC ( www.inetrnic.net ) e ao ARIN (
www.arin.net ), alm destes existem outros servidores de whois.
Com estas informaes temos uma idia de que a instituio est na rede e de seus
IPs.
Agora iniciamos a fase que chamo de aproximao direta, onde temos os seguintes
passos:
B) Agora seria uma boa idia verificar que tipo de informao podemos recuperar do
servidor de DNS. Se o servidor estiver mal configurado possvel fazer uma
tranferncia de zona, isso nos da muitas informaes teis, um exemplo a
recuperao do registro HINFO, se esta informao estiver disponvel, saberemos
exatamente o tipo de sistema operacional da instituio. Podemos usar vrios
comandos diferentes para este fim como nslookup, dig e host. Um dos objetivos
determinar o endereo do firewall para que possamos testa-lo. Podemos fazer uma
anlise destas informaes e rapidamente com o auxilio do grep podemos descobrir
todas as mquinas que possuem a palavra teste em seu nome, se estas mquinas
estiverem mal configuradas um bom local para tentar um acesso no autorizado, da
mesma forma podemos usar o grep para identificar outros padres de nome como
linux, sun, bsd, etc.
Deve-se fazer log detalhado de todos os testes e scans bem como de seus resultados.
O objetivo do log permitir que aps os testes possa-se fazer uma relao para
determinar se os testes causaram algum dano ao sistema e garantir que outro intruso
no tenha ganhado acesso ao sistema durante o teste.
12. Concluso
O teste de invaso deve fazer parte do programa de segurana da sua empresa. Mas
deve-se observar os pontos acima tratados, para que se possa tirar um real
aproveitamento do dinheiro empregado em tal atividade. Voc deve restringir as
informaes sobre os testes somente aos departamentos competentes, pois alguns
funcionrios desavisados ou inocentes podem deixar esta informao vazar e algum
pode aproveitar para realizar seu prprios testes.
Baseados nas informaes de vrias entidades de pesquisa, tais como: CERT e ICSA,
podemos afirmar que um sistema foi atacado ou invadido mais de uma vez por
segundo no ano de 1999. S nos EUA a ICSA identificou que, em mdia, um site ou
computador foi invadido a cada 11 minutos.
Se sua casa possui um sistema de alarmes contra ladres, voc possui um sistema de
IDS relativamente sofisticado. Ele pode detectar tentativas de invaso e tomar
alguma ao baseado na deteco.
Vamos ressaltar em especial aqui o IDS de rede, que um dos mais utilizados. Este
tipo de IDS coloca a interface de rede no chamado modo promscuo, o que permite
escutar todos os pacotes que trafegam na sub-rede no qual est inserido,
semelhante a um sniffer. A diferena que, para cada pacote, o IDS compara seu
contedo e cabealho a um banco de assinaturas de ataques, bem parecido com um
anti-vrus. Deve-se lembrar tambm a necessidade de espelhamento (ou span) de
porta se a rede for comutada (switches).
8.2 Fabricantes
Como voc conduz uma resposta a um incidente est diretamente relacionado ao tipo
de negcio da sua instituio. Os bancos por exemplo, devem tomar algumas aes
junto a federao nacional de bancos.
Aps voc ter seu plano de resposta ao incidente montado, voc pode testa-lo
efetivamente e refina-lo utilizando o teste de invaso. uma boa idia anunciar a
realizao do primeiro teste, uma vez que seu propsito ajustar seu plano de
resposta e verificar se ele funciona.
Voc certamente no quer que suas pginas fiquem fora do ar a todo momento que
um usurio acessar seu site. muito difcil definir regras que que diferenciem entre
atividades hostis e autorizadas. O teste de invaso pode ser utilizado com a finalidade
de demonstrar efetivamente se sua ferramenta de IDS est operando conforme o
esperado e ajuda-lo no refinamento das regras de forma a reduzir a taxa de false-
positive.
O SSL foi criado pela Netscape e foi adotado pela comunidade e hoje o padro para
comunicao segura pela Web. O SSL est montado sobre a camada de transporte
(TCP) e possui dois conceitos bsicos:
Conexo SSL;
A conexo para o SSL uma relao ponto a ponto. As conexes so
transientes e esto sempre relacionadas a uma sesso.
Sesso SSL;
uma associao entre o cliente e o servidor, elas so criadas atravs de um
protocolo de handshake especfico do SSL (Handshake Protocol). As sesses
definem um conjunto de parmetros para os algoritmos de criptografia.
Fases da conexo:
Algoritmos utilizados:
RSA;
DSS;
MD5;
SHA;
Arquitetura
ESP Encapsulating Security Payload
AH Autentication Header
Algoritmos de criptografia
Algoritmos de autenticao
Gerenciamento de chaves
DOI - Domnio de interpretao
O conceito bsico de uma conexo IPSec a Security Association (SA). Deve existir
uma SA para cada conexo, e em cada sentido, ento, para uma VPN ponto a ponto
so necessrias duas SAs.
Uma funo de hash segura includa neste esquema satisfaz estes requerimentos.
Criar um plano de segurana uma tarefa dinmica que envolve diversas etapas.
Uma vez que voc tenha definido suas metas, elaborando um plano de negcios para
uso na Internet, voc poder criar o programa de segurana a ser usado para cuidar
de eventuais riscos. Voc dever se preocupar com os servios de curto prazo,
destinados a usurios finais, de que a sua empresa precisa, alm de levar em
considerao o uso estratgico, a longo prazo, da Internet.
Estamos falando at agora da Internet, que pode ser a primeira vista o ponto mais
crtico, mas temos que nos preocupar com os fatores internos que podem ser bem
mais graves. Resumindo:
Poltica de senhas;
Poltica de backup;
Uso do Antivrus;
Anlise de Risco
o Destruio de Dados
Anlise de ameaas
Gerenciar e administrar
o Monitorao e Auditoria;
o Resposta a Incidentes;
o Resposta a problemas de segurana;
o Administrao da Segurana;
o Alocao de recursos
~ The End ~
Access Control:
Appz:
Ataque:
Auditoria:
Autenticao:
Back door:
Bug
Cavalo de Tria
Uma aplicao ou cdigo que, sem o conhecimento do usurio realiza alguma tarefa
que compromete a segurana de um sistema, em geral, esta aplicao se apresenta
ao usurio de forma rotineira e legtima, Ex.: um simples jogo que contm cdigo
malicioso que envia os dados do usurio para um e-mail especfico.
CERT
Certificao
Existem duas definies para este termo. Primeira, certificao pode se referir para o
resultado de uma avaliao com sucesso
Cavalo de Tria:
CERT:
Checksum:
Hash criptogrfico. Cadeia de caracteres, geralmente de tamanho fixo que pode ser
utilizada para representar de forma nica, um arquivo. Ex. Suponha um arquivo com
1000 linhas, ele pode ser representado por um checksum de, digamos, 15 caracteres.
Se o arquivo for alterado o checksum (hash) ir alterar.
Crack
Cracker
DES:
Engenharia Social
Exploit
Firewall
Flood
Sobrecarga (em geral, de pacotes) causada por eventos no esperados que causam
lentido da rede.
Hacker
Hacking
Hijacking
conexo o hacker pode impedir o usurio legtimo de usar o sistema e tomar o seu
lugar.
Hole
Invaso
Lammer
uma palavra que os hackers utilizam para identificar os ndividuos que se acham
hackers, mas esto ainda no estgio inicial de aprendizado.
Phreaking
Scanner
Script Kiddie
o indivduo que saiu do estgio de lammer mas que s sabe usar as receitas de
bolo, programas prontos e ainda no entende muito bem o que est fazendo.
Sniffer
Spoofing
uma forma de manter uma conexo com uma mquina se fazendo passar por outra
na qual ela confie. Um termo muito utilizado o IP Spoofing, que significa o uso de
vulnerabilidades do Protocolo TCP/IP que permitem a ao descrita acima.
Vrus
VPN:
Rede Privada Virtual Virtual Private Network Rede virtual criptografada criada
atravs de um tnel numa rede IP convencional, utilizando o padro IPSec.
Vulnerabilidade
Warez
Worm