Escolar Documentos
Profissional Documentos
Cultura Documentos
UNIVERSIDADE DE BRASILIA
FACULDADE DE TECNOLOGIA
ii
UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
PUBLICAO: 2/2012
BRASLIA/DF: NOVEMBRO/2012
iii
UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
APROVADA POR:
v
FICHA CATALOGRFICA
1. Pentests 2. Vulnerabilidades
3. Ataques
I. ENE/FT/UnB. II. Ttulo (Srie)
REFERNCIA BIBLIOGRFICA
CESSO DE DIREITOS
vi
AGRADECIMENTOS
Agradeo a Deus por se fazer to presente em minha vida. Aos meus familiares por
toda fora que me deram ao longo de todos esses anos de estudo. Ao meu orientador Prof. Dr.
Laerte Peotta de Melo por todo o apoio fornecido. Aos meus amigos pessoais que sempre me
forneceram suporte quando necessrio. Ao colega Italo Diego por toda a ajuda prestada no
desenvolvimento do trabalho.
Alexandre Mendes
Agradeo sobretudo a Deus por ter me abenoado ao longo de todos estes anos. Aos
meus pais por todo suporte que me deram durante toda a vida acadmica. Aos meus colegas
de graduao que me ajudaram em diversos momentos de dificuldade. Ao meu orientador
Prof. Dr. Laerte Peotta de Melo por ter aceitado orientar o projeto e por ajudar no
desenvolvimento do tema. Ao colega Alexandre Mendes, que me auxiliou e ajudou no
desenvolvimento e coordenao deste projeto final de graduao.
Italo Diego
vii
RESUMO
PENTEST, ANLISE E MITIGAO DE VULNERABILIDADES
viii
ABSTRACT
PENTEST, VULNERABILITY ANALYSIS AND MITIGATION
Penetrations Tests - Pentests are basically a set of several tests performed on a network or a
system, where hackers or crackers looking for vulnerabilities to provide information to enable
the realization of attacks that guarantee access to desired target. There are various tools and
scripts that automate and facilitate the life of the attacker. One such tool is the Backtrack, a
Linux Operating System to perform this tests.
The work described in this monograph aims in a practical way to demonstrate all the steps
necessary to perform vulnerabilities tests. This methodology is intended to expose some
vulnerabilities, which networks and systems are likely to be subjected to attacks that could be
performed in virtue of such failures and finally the establishment of a set of actions that
enable mitigation of such vulnerabilities.
ix
SUMRIO
1- INTRODUO.....................................................................................................................1
1.1- OBJETIVOS............................................................................................................1
1.2- JUSTIFICATIVA.....................................................................................................2
1.3- METODOLOGIA.....................................................................................................2
2- CONCEITOS E FUNDAMENTOS....................................................................................5
3- REFERENCIAL TERICO.............................................................................................13
3.2- BACKTRACK........................................................................................................16
3.2.1- OpenVAS...............................................................................................16
x
3.3- REALIZAO DE UM TESTE DE VULNERABILIDADE............................22
4- DESENVOLVIMENTO E RESULTADOS....................................................................26
xi
4.3.4.1- Scanner de Vulnerabilidades...................................................48
5- CONCLUSO........ ........................................................................................................... 71
xii
LISTA DE TABELAS
xiii
LISTA DE FIGURAS
xiv
Figura 4.22 Atacante inicia interceptao de dados do host 10.1.2.2 via Wireshark.............45
Figura 4.23 Username e Password capturados com sucesso..................................................45
Figura 4.24 Interceptao de login e senha de servidor FTP.................................................46
Figura 4.25 Interceptao de login e senha de servidor de e-mail........................................46
Figura 4.26 Execuo do exploit bailiwicked_host...............................................................47
Figura 4.27 Ilustrao do envenenamento do cache..............................................................48
Figura 4.28 Resumo de algumas vulnerabilidades encontradas no Windows XP.................49
Figura 4.29 Descrio da vulnerabilidade MS08-067............................................................49
Figura 4.30 Descrio da vulnerabilidade MS09-001............................................................49
Figura 4.31 - Descrio da vulnerabilidade MS11-017............................................................50
Figura 4.32 Execuo do exploit ms08_067_netapi..............................................................50
Figura 4.33 Migrao de ID de processo da Sesso Meterpreter...........................................51
Figura 4.34 Visualizao do desktop do host invadido..........................................................51
Figura 4.35 Acesso a diretrios do host alvo.........................................................................52
Figura 4.36 Captura de login e senha com keyscan_start e keyscan_dump..........................52
Figura 4.37 Execuo do exploit ms06_063_trans e DOS no host alvo................................53
Figura 4.38 Execuo do exploit webdav_dll_hijacker.........................................................54
Figura 4.39 A vtima acessa o arquivo Senhas.txt que contm a DLL maliciosa..................54
Figura 4.40 Criao da sesso Meterpreter aps vtima acessar o documento Senhas.txt.....55
Figura 4.41 Resumo de vulnerabilidades encontradas no Windows 7 Professional.............56
Figura 4.42 Descrio da vulnerabilidade MS11-030...........................................................56
Figura 4.43 Execuo do exploit ms11_030_netapi..............................................................57
Figura 4.44 Uso em 100% da CPU, o que pode provocar DOS............................................57
Figura 4.45 Clonagem do site www.orkut.com.br.................................................................58
Figura 4.46 Captura de login e senha do website original.....................................................59
Figura 4.47 Ilustrao da pgina clonada a partir do ip do invasor.......................................60
Figura 4.48 Execuo do exploit firefox_xpi_bootstrapped_add..........................................60
Figura 4.49 Negao de acesso ao domnio pjf.unb.br..........................................................61
Figura 4.50 Plug-in solicitado para acessar o domnio pjf.unb.br..........................................61
Figura 4.51 Criao da sesso Meterpreter aps instalao do plug-in.................................62
xv
LISTA DE ABREVIAES
xvi
1 - INTRODUO
1.1 - OBJETIVOS
1
Tendo como base tais informaes, sero gerados relatrios com os dados obtidos,
explicitando quais mtodos de intruso foram contidos pelos mecanismos de defesa e aqueles
que obtiveram xito na intruso, mostrando o potencial crtico de cada um e as possveis
solues para conteno de tais vulnerabilidades.
1.2 - JUSTIFICATIVA
1.3 - METODOLOGIA
2
Partindo-se de tais pressupostos, ser simulado um ambiente de rede empresarial, o
qual possuir toda a estrutura central e perifrica tpicas de uma rede coorporativa, tais como
firewalls, internet, servidores DHCP, DNS, de Arquivos, de E-mail, rede DMZ, entre outros,
sendo definidas faixas especficas de ip para os diferentes servios. Os testes sero realizados
em dois mbitos: interno (usurio dentro da rede) e externo (usurio fora da rede).
3
O captulo 5 apresenta a concluso e uma anlise final do trabalho como um todo,
considerando se os resultados alcanados foram condizentes com os objetivos propostos,
apontando tambm os pontos de sucesso e os pontos de falha durante o decorrer do trabalho.
So tambm propostas algumas sugestes para realizao de trabalhos futuros na rea.
4
2. CONCEITOS E FUNDAMENTOS
De uma maneira geral, um ataque definido como qualquer ao que possa vir a
comprometer a segurana da informao de um determinado sistema. Dentro do contexto de
testes de vulnerabilidades, os ataques representam a maneira mais objetiva e clara de se
avaliar o potencial crtico de uma determinada falha de segurana. Os ataques podem ser
classificados basicamente de acordo com trs parmetros: quanto aos resultados que
produzem, quanto forma em que so praticados e quanto ao ponto de vista da rede.
Quanto aos resultados que produzem, podem ser classificados em 4 grandes
categorias: ataques de interrupo, de interceptao, de modificao e de fabricao. Os
ataques de interrupo so aqueles que geralmente desativam um ou mais servios,
submetendo-os reinicializao. Nos ataques de interceptao, o atacante se coloca entre dois
computadores da rede e se faz passar por um desses computadores originais, obtendo assim
uma conexo funcional que permite leitura ou modificao dos dados que so trocados entre
os hosts originais. Os ataques de modificao so aqueles onde um terceiro agente passa a ter
acesso no autorizado a um determinado recurso do sistema, podendo vir a modificar
informaes ou configuraes. Os ataques de fabricao so caracterizados pelo
comprometimento da autenticidade do sistema, ou seja, compromete-o no sentido de burlar o
processo de confirmao ao receptor que a mensagem realmente procedente da origem
informada em seu contedo.
5
Quanto forma em que so praticados so classificados em 2 categorias: passivo e
ativo. Ataques passivos so aqueles que no alteram a informao, nem o fluxo normal do
canal sob escuta, ou seja, o invasor apenas monitora as mensagens que circulam na rede,
colhendo informaes. As formas de ataque passivo so baseadas em interceptao,
monitoramento e anlise de pacotes. Por no causar danos impactantes ao sistema, so formas
de ataque mais difceis de se detectar. Ataques ativos so os que promovem interveno no
fluxo normal de informaes, quer alterando o seu contedo, quer produzindo informaes
falsas, com intuito de atentar contra a segurana de um sistema. Por serem mais agressivos,
so mais facilmente rastreados que os ataques passivos. Ataques ativos, de uma maneira geral,
envolvem adulterao, fraude, reproduo e bloqueio.
Quanto ao ponto de vista da rede so classificados em 2 categorias: ataques internos e
ataques externos. Os ataques internos consideram que o invasor j esteja dentro da rede. So
caracterizados por uma constante elevao de privilgios, de forma a se obter o maior nvel de
acesso e privilgios possveis. Os ataques externos so conhecidos como ataques em
profundidade, j que objetivam superar toda a infraestrutura externa (tais como firewalls),
que isola a rede interna almejada do mundo exterior. Desta forma, superam defesas e
contornam obstculos de forma a ingressar na rede interna do sistema alvo, ou ainda atingem
um servio em especfico sem necessariamente promover a entrada na rede.
So inmeros os mtodos de ataque que podem ser realizados. A seguir sero tratados
conceitos sobre as formas de ataque que foram praticadas durante o desenvolvimento do
projeto.
6
origem, a interface o intercepta. O software mais famoso para a prtica de sniffing o
Wireshark.
As principais ameaas que podem ser provocadas pelo sniffing so: interceptao de
senhas e logins, informaes sobre o trfego de rede (exemplo: servidores mais utilizados),
alm da obteno de informaes sobre endereos IP e MAC dos hosts da rede.
De forma a se garantir maiores nveis de segurana aos sistemas, grande parte dos
servidores s libera a utilizao de servios a um nmero restrito e autenticado de usurios.
Para burlar tal processo foi desenvolvido um mecanismo baseado em falsificao de pacotes,
tcnica conhecida como spoofing. Nesta tcnica, o invasor fabrica um pacote de dados
contendo um falso endereo de origem, fazendo com que o host atacado acredite que a
conexo est vindo de um outro local, geralmente se passando por um host que tem permisso
para estabelecer esta conexo. Assim, possvel interceptar e capturar uma transmisso
legtima de dados entre dois sistemas. Concluda a captura, os dados obtidos so
reencaminhados para o destino original, de forma a no se levantar suspeitas. Os tipos de
ataque mais conhecidos que utilizam a tcnica de spoofing so: DNS Spoofing, IP Spoofing e
ARP Spoofing.
DNS Spoofing: Consiste basicamente na interceptao do trfego DNS e posterior
substituio por pacotes DNS forjados, tarefa esta no muito difcil, j que o trfego
DNS no criptografado e nem assinado digitalmente. Aps esta interceptao, so
praticadas alteraes em tabelas que relacionam ip a hostname. Assim, ao se realizar
uma consulta a um servidor DNS sobre um hostname qualquer, o servidor informa um
IP errado, o qual o endereo do host que est aplicando o ataque. Desta forma,
consegue-se desviar o trfego da vtima para um servidor falso, o qual pode ser um
site falsificado, por exemplo.
IP Spoofing: Em poucas palavras, consiste na fabricao de pacotes IP com
informao falsa, onde so alterados dados referentes ao endereo IP de origem,
substituindo o endereo de remetente original por um endereo falso, que corresponde
ao endereo do host invasor. possvel graas a falta de verificao de remetente, no
havendo validao do endereo IP nem relao deste com o roteador anterior
responsvel pelo encaminhamento. Assim, com uma simples manipulao de
cabealho possvel praticar o spoofing. Dentre as principais consequncias, um
7
atacante consegue, por exemplo, mascarar a verdadeira fonte de um ataque ou
conseguir acesso sistemas que so baseados em autenticao pelo endereo IP.
ARP Spoofing: Representa uma variao do IP Spoofing, que se aproveita do mesmo
tipo de vulnerabilidade, ou seja, falta de autenticao de remetente. Caracteriza-se pela
interceptao do trfego e alterao de dados na tabela ARP, responsvel por associar
endereos MAC a endereos IP. Desta forma, o endereo MAC do host original
substitudo pelo endereo MAC do host invasor, fazendo com que todo o trfego
destinado a um determinado endereo IP seja encaminhado para o host que pratica o
ataque.
8
Figura 2.1 Esquemtico de um ataque de envenenamento de cache
Fonte: (De Campos e Justo, 2009)
9
overflow se refere ao processo de armazenar, em um buffer de tamanho fixo, dados maiores
que o seu tamanho. So gerados na maioria das vezes devido a erros de programao. As
principais consequncias so: execuo errnea do software, acesso indevido s reas de
memrias, interrupo do programa e possveis falhas de segurana.
Desta forma, um ataque de buffer overflow visa explorar uma eventual falha em um
cdigo, tentando estourar o buffer e sobrescrever parte da pilha (locais estticos do espao de
endereos de memria) atravs do envio de muitas informaes para uma determinada
varivel, promovendo sobrecarga na memria.
De uma maneira mais formal, durante o ataque podem ser alterados valores de
variveis locais, valores de parmetros e endereos de retorno. Ao se alterar estes ltimos,
pode-se estabelecer um novo endereo que aponte para a rea em que o cdigo malicioso que
se deseja executar se encontra (podendo estar localizado no prprio buffer estourado ou em
um trecho de cdigo presente no software vulnervel). Dependendo do cdigo utilizado, os
mais variados efeitos podem ser produzidos, como um simples DOS ou at mesmo a garantia
de uma elevao de privilgios ao invasor.
DLL (Dynamic Link Library) uma implementao que foi desenvolvida pela
Microsoft. So cdigos prontos que esto espalhados por diversas pastas do sistema e que
podem ser usados por programas para executar uma determinada tarefa, dando continuidade a
execuo de seu respectivo cdigo. Tal procedimento evita a escrita de vrias funes em um
programa, o que tornaria o desenvolvimento mais demorado e geraria softwares de tamanhos
bem maiores.
Partindo-se de tais pressupostos, o ataque baseado em injeo de DLL, tem como
objetivo injetar um cdigo malicioso em uma DLL, de modo que quando o software invocar a
DLL infectada, o cdigo malfico tambm ser executado. Dependendo do cdigo, diversos
ataques posteriores podem ser gerado, como Buffer Overflow, DOS, alm de por exemplo,
elevao de privilgios e quebra de acessos restritos.
10
2.1.7- Sequestro de sesso
Sequestro de sesso uma forma de ataque onde se explora uma sesso vlida de um
computador de forma a se quebrar acessos restritos informaes ou servios em um
determinado sistema. uma tcnica usada para controlar uma sesso atual depois que o
usurio tenha estabelecido uma sesso autenticada, diferente por exemplo de spoofing, onde a
sesso criada pelo prprio invasor. Desta forma, possvel haver uma monitorao das
atividades da vtima.
Em aplicaes Web, uma forma de ataque frequentemente usada para roubar a
chamada Magic Cookie, usada para autenticar um usurio em um servidor remoto. Ao roubar
este parmetro, o invasor est apto a fazer requisies como se fosse o usurio legtimo,
ganhando acesso s informaes ou at mesmo modificando dados. No uma forma de
ataque limitada s para a Web, podendo ser extendida a qualquer aplicao que apresente um
protocolo cujo o estado mantido atravs de uma chave que checada por dois lados
comunicantes, principalmente se tal chave no for criptografada.
11
Nos ataques online, o invasor tenta adivinhar a senha, o que pode provocar um
bloqueio por parte do sistema aps sucessivas falhas. Uma tcnica utilizada neste tipo de
ataque conhecida como ataque de fora bruta. Neste tipo de ataque, so geradas milhares de
combinaes de senhas possveis, e se tenta adivinhar o conjunto correto por meio de tentativa
e erro. O processo iniciado inicialmente em cima de logins padro, como admin,
administrator e root.
Durante o desenvolvimento do projeto, foi utilizado um software conhecido como
Cain & Abel para realizar alguns processos de quebra de senhas. O software utiliza vrios
mtodos, dentre os quais esto inclusos uso de rainbow tables e ataques de fora bruta.
12
3- REFERENCIAL TERICO
13
disponveis, entre outros. So definidos tambm os tipos de testes que sero
realizados, como testes internos e externos e se os testes seguiro a filosofia da caixa
preta (com nenhum conhecimento do sistema a ser avaliado) ou da caixa branca(com
conhecimento parcial ou irrestrito de qualquer informao relevante para a execuo
do teste).
Os testes internos consideram que o invasor j est dentro da rede. Tais testes simulam
diferentes nveis de acesso a rede, tanto o de um simples usurio como o de um
administrador do sistema, que representa o pior cenrio possvel. A partir disso so
estudadas maneiras de se ganhar privilgios e acessos adicionais. A seguir, procura-se
a descoberta de vulnerabilidades que podem ser exploradas e so expostos potenciais
danos que podem ser causados, com uma conjunta anlise de diferentes nveis de
segurana, envolvendo controle de acesso, servios e configuraes.
Os testes externos seguem a filosofia de Defesa em Profundidade. Isso significa que
a corporao deve apresentar toda uma infraestrutura (como a presena de firewalls)
que isolem sua rede interna de acessos no autorizados. Dessa forma, o objetivo de
invaso externa ver se possvel superar as defesas e obstculos que isolam a rede
interna das empresas. Tal cenrio bem mais difcil de se representar do que os testes
de mbito interno, pois a princpio no se tem nenhuma informao da rede a ser
invadida e diversas defesas devem ser superadas, como firewalls, proxys, DMZ, NAT,
Sistemas de Deteco e Intruso, entre outros.
Execuo: Corresponde a fase onde os testes so executados. Nesta fase h a
identificao dos riscos e vulnerabilidades. subdivida nas sub etapas obteno de
informao, scanning e mapeamento, identificao de vulnerabilidades, e ataques.
Obteno de Informao: Procedimento indispensvel para modelar os ataques e
determinar os caminhos que podem ser explorados com maior facilidade. Destacam-se
aqui a coleta passiva (representada principalmente pelo uso de sniffers) e a coleta ativa
(tcnicas como WHOIS, DNS, Engenharia Social, Dumpster Diving, etc).
Scanning e Mapeamento: Processo de varredura e mapeamento da rede a partir das
informaes obtidas na etapa anterior. As principais atividades so: identificao de
atividade de hosts, mapeamento da rede bem como de portas e servios em
funcionamento e identificao de sistemas operacionais e rotas. Tais informaes
ajudam a corroborar ou descartar determinadas hipteses sobre os alvos
(Hurley,2007).
14
Identificao de Vulnerabilidades: Aps mapeamento dos sistemas e servios
pertencentes rede, deve-se detectar vulnerabilidades conhecidas ou determinados
caminhos que possam ser explorados para promover a invaso, estimando-se o
impacto que cada uma delas pode causar. O NVD (National Vulnerability Database),
CVE (Common Vulnerabilities and Exposures) e o MSB (Microsoft Security Bulletin)
correspondem a importantes bancos de dados de vulnerabilidades que pode ser usados
como referncia.
Ataques: So realizados logo aps a identificao das vulnerabilidades, atravs da
obteno de acesso no autorizado com o maior nvel de privilgio possvel. Diversas
formas de ataque sero analisadas no projeto como Buffer Overflow, Quebra de Senha,
Negao de Servios, entre outros.
Ps-Execuo: Corresponde a ltima fase dos testes de vulnerabilidades. Nesta etapa
realizada uma anlise de todas as vulnerabilidades identificadas na fase de execuo,
identificando causas e estabelecendo recomendaes de mitigao de tais
vulnerabilidades e riscos. Deve ser gerada uma documentao durante a execuo do
teste com o intuito de se manter registro de todas as atividades de forma transparente.
A figura 3.1 ilustra com um maior nvel de detalhes as etapas que sero descritas,
levando em conta o ponto de vista de quem usa o BackTrack para a realizao dos
testes.
15
3.2- BACKTRACK
3.2.1- OpenVAS
16
OpenVAS Client: Sua principal funo controlar a execuo da varredura realizada
no sistema alvo, fazendo uso do Protocolo de Transferncia OpenVAS (OPT), que age como
um protocolo de comunicao com o OpenVAS Scanner.
OpenVAS Manager: Representa o ponto central de anlise das vulnerabilidades.
Responsvel por armazenar os resultados das varreduras realizadas, alm de executar funes
como agendamento de tarefas, gerao de relatrios e atividades de filtragem de dados.
Greenbone Security Assistant (GSA): uma interface web, onde os usurios podem
configurar, gerenciar e administrar o processo de varredura das vulnerabilidades. uma
interface amigvel e de simples uso, onde seleciona-se um alvo, realiza-se o scanner e se
observa os relatrios gerados aps execuo dos testes. Apresenta tambm uma variao de
interface prpria para desktops, conhecida como GSA Desktop.
OpenVAS Administrator: Responsvel pela administrao e logs dos usurios.
A figura 3.2 ilustra um esquemtico de todos os componentes do OpenVAS citados
anteriormente. A figura 3.3 apresenta uma viso da interface web GSA
17
Figura 3.3 Interface Web GSA
Fonte: www.openvas.org
18
Alm de exploits e payloads, outras ferramentas de destaque que constituem o
Metasploit Framework so os auxiliares, que constituem um conjunto de ferramentas
baseadas na busca de informaes dos sistemas alvo, alm dos Encoders, os quais evitam,
durante a invaso, a deteco de antivrus, firewalls, Sistemas de Deteco de Intruso (IDS) e
outras defesas similares.
O Metasploit Framework apresenta basicamente trs interfaces de uso: uma baseada
em linha de comando, conhecida como MSFCli, uma interface web conhecida como
MSFWeb, e por fim uma interface console, conhecida como MSFConsole, a qual devido ao
fcil uso, velocidade de funcionamento e flexibilidade foi utilizada durante o projeto.
O MSFConsole um dos meios mais eficientes e poderosos para que durante um teste
de vulnerabilidade, se faa um melhor uso do potencial quadro de explorao. As aes
realizadas durante um ataque utilizando o MSFConsole se resume basicamente a: seleo do
exploit, seleo do alvo, seleo do payload, configurao das opes e desenvolvimento da
fase de explorao.
O MSFConsole possui uma extensa lista de exploits, que continua a crescer
periodicamente. A seleo do exploit deve ser feita tendo em mos algumas informaes do
sistema alvo, como por exemplo identificao de portas abertas, de servios em execuo,
hosts existentes,etc. Atravs de um scanner de vulnerabilidades, como o OpenVAS, possvel
identificar as potenciais e vulnerabilidades e escolher exploits desenvolvidos em cima de tais
falhas. Outra forma tambm olhar diretamente o banco de dados do Metasploit e ver se tem
algum exploit disponvel para o servio que se est alvejando. A figura 3.4 ilustra a tela inicial
do Metasploit Framework.
.
19
Aps escolha do exploit, deve-se selecionar o alvo, que representa basicamente o
sistema operacional a ser invadido. Em muitos casos, um mesmo exploit pode ser aplicvel a
diferentes sistemas operacionais com diferentes nveis de patches e verses.
Uma vez escolhidos o exploit e o alvo, seleciona-se o payload que se deseja executar.
Cada exploit apresenta um conjunto de payloads especficos baseados na vulnerabilidade a ser
explorada. Com exploit, alvo e payloads selecionados, configuram-se as opes tpicas que
um determinado payload possui, como, por exemplo, seleo de portas, endereos ou
eventuais threads a serem utilizados.
Por fim, chega-se a fase de explorao, na qual o exploit ser executado. O resultado
depender do tipo de ataque que prprio do exploit selecionado. Em alguns casos, tem-se a
fase de ps-explorao, a qual tpica de payloads cujo ataque em si na fase de explorao
consiste apenas no estabelecimento de conexo com o alvo, o qual gera uma sesso que
possibilita a realizao de diversas formas de ataques. Um payload tpico desta fase o
Meterpreter.
O Meterpreter no simplesmente um payload, mas sim uma plataforma de
explorao que apresenta um shell de comandos, o qual fornece ao invasor uma variedade de
atividades possveis de serem executadas no sistema explorado. Sua forma de execuo por
meio de injeo de DLL na memria do sistema alvo. Atravs do Meterpreter, scripts e
plugins podem ser carregados dinamicamente com o objetivo de se estender a atividade de
ps-explorao. Dentre as atividades que o Meterpreter fornece esto: elevao de privilgios,
keylogging, criao de um backdoor persistente, permitindo acesse remoto estvel ao alvo,
alm de outras extenses. Outra opo de suma importncia oferecida pelo Meterpreter a
migrao de processos, o que permite camuflar a invaso, dificultando assim a deteco da
invaso por firewalls, antivrus e sistemas de deteco de intruso.
20
O SET caracteriza-se por ataques que utilizam estruturas conhecidas como vectors, as
quais fornecem acesso ou informao de um sistema. Os principais tipos de ataques oferecidos
pelo SET so:
SphearPhishing Attack Vector: Caracterizado pela criao de exploits em forma de
ficheiros (como por exemplo .pdf) e pelo envio de um ataque por e-mail vitima
contendo um anexo, o qual quando aberto compromete o sistema alvo. A figura 3.5 ilustra
a tela inicial desta forma de exploit.
21
Figura 3.6 Tela do exploit Website Attack Vectors
22
desenvolvimento de tais testes. Outra referncia importante (Lyon, 2009), a qual voltada
para a descrio do NMAP, ferramenta para mapeamento de portas, til na fase de scanner.
23
O MSB so boletins de segurana desenvolvidos pela Microsoft, para apontar
vulnerabilidades nos sistemas operacionais Windows. De uma maneira geral, apresentam uma
sinopse da vulnerabilidade, ataques que podem ser explorados, recomendaes de segurana,
alm de uma lista de softwares e sistemas operacionais afetados e no afetados pela falha
analisada. So disponibilizados tambm, um conjunto de patches que ao serem instalados
mitigam integralmente ou parcialmente a falha existente. A figura 3.8 ilustra a descrio de
uma vulnerabilidade no MSB.
O NVD, CVE e MSB, podem ser acessados respectivamente atravs dos websites:
nvd.nist.org , cve.mitre.org , http://technet.microsoft.com/en-us/security/bulletin.
24
que conta com exploits e payloads, os quais, como dito anteriormente, so softwares de
explorao que aceleram e automatizam a realizao dos ataques. A obra (Foster, et al., 2007)
apresenta como tema a descrio dos diferentes tipos de aes que podem ser realizadas
atravs da utilizao do Metasploit Framework. So apresentados tambm estudos de caso
que ilustram alguns tipos de ataques praticados a partir de ferramentas do Metasploit
Framework, alm de uma descrio dos principais payloads e exploits pertencentes
plataforma.
Uma importante fonte de consultas para exploits que podem ser praticados a partir de
determinadas vulnerabilidades o website http://www.metasploit.com. O website em questo
referenciado a alguns bancos de dados de vulnerabilidades, tais como o CVE e o MSB.
Tendo em mos o nmero de CVE ou MSB que descreve a vulnerabilidade, possvel fazer
consultas que retornam como resposta uma lista de comandos prprias do Metasploit
Framework que so necessrias para a realizao de um ataque que explora a vulnerabilidade
em questo. Alm disso, descreve tambm, todos os sistemas operacionais e verses de
softwares que podem ser atingidos pelo exploit consultado. Desta forma, o trabalho para se
realizar o ataque reduzido drasticamente. A figura 3.9 ilustra a descrio de um exploit bem
como os comandos para execut-lo no metasploit.com.
25
4- DESENVOLVIMENTO E RESULTADOS
Neste captulo sero abordados todos os procedimentos que foram utilizados para a
realizao do trabalho, bem como ser fornecida uma anlise de todos os resultados gerados
aps a prtica experimental. Em um primeiro momento, sero dados detalhes tcnicos que
explanam sobre a montagem do laboratrio de experimentos. A seguir, ser descrito todo o
quadro de explorao que foi realizado, englobando com o devido nvel de detalhes todas as
etapas realizadas durante o teste de vulnerabilidades. Por fim, ser feita uma minuciosa
anlise dos dados obtidos, estabelecendo-se um paralelo entre estes e os objetivos propostos
no incio do trabalho.
26
configurada no canal 11, e utiliza-se do protocolo de comunicao sem fio WPA/WPA2 PSK
e padro de criptografia AES. Autentica-se rede por meio de uma senha de acesso, cuja
responsabilidade do administrador da rede. Para a realizao dos testes, assumiu-se a
configurao de um sistema de segurana default, sem elevados nveis de defesas em
profundidade.
27
estruturada de forma a ter, em sua base, os computadores de usurios instalados com Sistemas
Operacionais Windows XP e Windows 7, que foram sistemas amplamente utilizados nos
ltimos anos. Os computadores de usurios seriam virtualmente interligados ao gerenciador
de mquinas virtuais, que faz o papel de switch na topologia de rede, como pode ser
observado na figura 4.2, que descreve a topologia de rede do cenrio 2. Ainda analisando-se a
figura, percebe-se que o endereamento da rede local 10.1.2.0/24.
Os principais servios de rede a serem oferecidos foram instalados em uma mquina
virtual rodando o sistema operacional Windows Server 2003. O Windows Server 2003 foi
escolhido por ter sido amplamente utilizado como controlador de domnio de redes, e
provavelmente permanece sendo utilizado em muitas empresas, e sendo mais antigo, cr-se
que possua mais vulnerabilidades que o atual sistema da Microsoft, o Windows Server 2008.
Alguns servios instalados foram: Active Directory, SMTP, FTP, DHCP,DNS, INTRANET,
etc. As mquinas de usurio e o controlador de domnio da rede esto interligados pela funo
de switch, exercido pelo gerenciador de mquinas virtuais. Contudo, ainda no se tm o
controle de trfego e roteamento entre diferentes redes. Desta forma, logo acima do switch foi
inserido uma mquina virtual com a funo de firewall/router da rede. Para tal, foi instalado
o Sistema Operacional CentOS 6. O mesmo foi escolhido por ser uma verso open source do
sistema pago Linux Red Hat e por ser conhecido por sua estabilidade, segurana e
flexibilidade para implementao geral de segurana, alm de outros servios de rede. Foram
instalados no CentoS 6 os servios Iptables e Squid, com os quais possvel aplicar
reencaminhamento de pacotes, filtro de pacotes e filtro de contedo respectivamente.
Determinou-se que o firewall/router seria o responsvel pela conexo direta com o
provedor de internet (ISP) e faria ento o compartilhamento e distribuio de acesso Internet
para os demais usurios e servidores da rede.
Em suma, os servidores e usurios, j conseguiriam se comunicar via camada 2, visto
que esto todos interligados pelo switch. importante ressaltar que, para que haja sucesso no
desenvolvimento do trabalho, deve haver algum mecanismo de filtro, sobre o trfego da rede.
Um administrador de rede deve ter o conhecimento de todo o trfego que circula em sua rede,
e para tanto, todo o trfego deve ter um ponto em comum em sua rota, no qual possa ser
implementando esse controle. Como o gerenciador de mquinas virtuais interligava por
padro todos os usurios, o que simula um switch de camada 2, configurou-se em todas as
mquinas, um mecanismo de camada 3, uma rota esttica, em que todos os pacotes devem,
necessariamente, seguir o caminho: Mquina Remetente Switch Router/Firewall
Caminho do Destinatrio.
28
Figura 4.2 Topologia de rede do Cenrio 2
A seguir, sero dados detalhes tcnicos de configurao dos principais hosts e servios
que caracterizam as duas topologias utilizadas como referncia durante o desenvolvimento do
projeto.
29
4.1.1.2 - CentOS 6
No CentOS 6, foram instalados o Firewall Iptables e o filtro de contedo Squid. No
Iptables, foi feita apenas uma configurao bsica, visando o reencaminhamento de pacotes,
funo exercida do Linux como o roteador da rede, assim como permisso de pacotes ICMP e
porta 22 para servio SSH, para que o acesso remoto ao firewall/router possa ser feito por um
administrador que precise executar tarefas remotamente. Foi configurado tambm pelo
Iptables o compartilhamento de internet, que dessa forma permitia aos usurios e servidores
da rede terem acesso internet.
Com a instalao do Squid, permitiu-se a realizao de algumas configuraes, tais
como limitao de banda por usurio, filtro de contedo e bloqueio ou liberao de acesso
endereos conforme o cdigo padro de permisses da empresa.
30
No projeto, foram realizadas duas formas de ataque: um ataque a uma rede sem fio
para a obteno de senha e um ataque a um servidor web que contm um website hospedado.
Fez-se o monitoramento da rede sem fio por meio do airmon-ng. Praticou-se sniffing
na rede wireless por meio da funo airodump-ng. Foi possvel assim enxergar dados como
BSSID(que identifica o roteador wireless), MAC do ponto de acesso sem fio do alvo, canal de
transmisso, tipo de encriptao configurada no mesmo, e ainda o MAC da placa de rede sem
fio do atacante. Todo o trfego escutado foi armazenado em um arquivo. Posteriormente,
desconectou-se um cliente interligado ao ponto de acesso e capturou-se o handshake, quando
o mesmo se reconectou. Aplicou-se ento a ferramenta aircrack-ng, utilizando-se de um vasto
dicionrio de 33GB que atravs do handshake e do trfego capturado realizou a quebra da
senha.
31
Com a senha em mos possvel ento infiltrar-se na rede sem fio e ento executar
vrios tipos de ataques objetivando-se uma escalada de privilgios, a partir da j incluso do
invasor dentro da rede interna.
32
execuo deste script em cima do IP 177.133.88.5, que corresponde ao servidor web que
hospeda o website testepentest.cjb.net. Analisando a figura, possvel identificar a verso do
servidor web analisado, o qual corresponde a um servidor Apache/2.2.20 (Unix), alm da
constatao de que este no apresenta balanceamento de carga.
33
Figura 4.5- Execuo do script slowloris.pl
34
4.3.1 Descoberta dos hosts ativos na rede
Seguindo o passo a passo das etapas de um teste de vulnerabilidades, antes de
qualquer coisa preciso obter informaes dos possveis alvos em potencial atravs da
descoberta de hosts ativos. Uma das formas de se obter tal informao, atravs da
ferramenta NMAP (Lyon, 2009).
Inicialmente obteve-se informaes sobre possveis hosts no range 10.1.2.0/24, que
representa a rede interna. Atravs do mtodo bsico de pings NMAP, foi possvel obter
informaes das mquinas que estavam ativas, tais como: IP, MAC, nome no DNS dos hosts
encontrados e ainda a latncia na comunicao com os mesmos. A figura 4.7 ilustra o
resultado da busca inicial.
35
4.3.2.1. Informaes adicionais com scanner de portas
Efetuada a etapa de descoberta por meio de pings, utilizou-se o mtodo de scanner
SYN, que verifica rapidamente milhares de portas por segundo e no prejudicado por
firewalls restritivos. Buscou-se tambm informaes adicionais, tais como estado e tipos de
servios rodando em cada porta, verso do sistema operacional ativo, etc. A figura 4.8 ilustra
o resultado obtido. Nela, pode se observar que a porta 22 encontra-se aberta e que est
associada ao servio OpenSSH. Alm disso, pode-se observar que o Sistema Operacional
Linux com verso de kernel 2.6.39 e que o invasor est a 1 hop da vtima. Com uma pesquisa
posterior, pode-se chegar a concluso de que se trata da verso Linux CentOS 6.
36
Tabela 4.2- Resumo das vulnerabilidades encontradas no firewall interno
A figura 4.9 expe duas das vulnerabilidades presentes no firewall, uma de potencial
mdio, baseada no protocolo SSH, que pode vir a estar submetido a ataques de DOS e outra
de potencial baixo, destacando apenas a presena da rota estabelecida entre os hosts
10.1.2.246 e 10.1.2.15, o que ajuda a corroborar a hiptese de que 10.1.2.246 o gateway da
rede.
37
basadeado na inundao de pacotes SYN, conhecido como SYN Flood. Esta forma de ataque
consiste em enviar um grande volume de pacotes SYN( flag para iniciar uma conexo), o que
faz com que estoure o limite de conexes e como consequncia, o servidor deixe de responder
a novas conexes, mesmo que exista banda disponvel.
Para a realizao deste tipo de ataque, foi utilizada uma ferramenta conhecida como
HPING na verso 3, ferramenta nativa do BackTrack prpria para ataques de SYN Flood. A
figura 4.10 ilustra a execuo do ataque. O comando apresentado na figura significa que
10000 pacotes SYN sero enviados na porta 80 para o endereo 10.1.2.246, que corresponde
ao endereo IP do host fwinterno.pjf.unb.br. Outro ponto de destaque pode ser observado ao
se utilizar a opo spoof, que substitui o verdadeiro IP do host do atacante por um IP fake,
camuflando desta forma a identidade do invasor.
A figura 4.11 ilustra uma tela de captura do Wireshark, onde pode ser visto a enorme
quantidade de pacotes SYN enviados para o host 10.1.2.246. A figura 4.12 mostra a falta de
conexo com a internet (fato demonstrando pela falta de comunicao por ping com o
domnio www.google.com) em consequncia do ataque realizado.
Ataque SYN Flood apenas uma das opes que o hping pode realizar. Na sua verso
3, foi desenvolvida uma opo que permite, por exemplo, uma transferncia de informaes
atravs do protocolo ICMP( protocolo do ping). Desta forma, possvel se extrair a partir do
38
hping as informaes de um determinado arquivo presente no host alvo. No caso do host
10.1.2.246, por ser um sistema Linux, poderia se extrair, por exemplo, as informaes do
diretrio /etc/passwd, o qual contm informaes de nomes e senhas de autenticao dos
usurios do sistema.
Atravs do scanner, foi possvel identificar vrias portas em estado open, dentre elas,
portas de servios comuns, como: 21/tcp, 53/tcp, 80/tcp, 110/tcp, que se referem
respectivamente aos servios ftp, dns, http e pop3. Alm disso, foi possvel identificar que o
Sistema Operacional do alvo era o Windows Server 2003. Outras informaes adicionais que
puderam ser obtidas foram o nome de servios rodando nas portas abertas, como o
39
kerberosec, o qual um protocolo de segurana. Alm disso, foi possvel tambm identificar
que o alvo encontrava-se a um salto de distncia (hop) do invasor.
40
Figura 4.15 Vulnerabilidade no Windows Server 2003 - name (42/tcp)
41
4.3.3.3. Ataque DOS
Tendo em mos os relatrios de vulnerabilidades obtidos, configurou-se alguns
exploits para promoo de ataques no host 10.1.2.2 ( Windows Server).
A primeira falha de segurana explorada foi a mostrada na figura 4.14, cujo boletim de
ocorrncia liberado pela Microsoft tem o seguinte identificador: MS12-020. Trata-se de um
ataque do tipo Deny of Service. Atravs da execuo do exploit ms12_020_maxchannelids no
Metasploit Framework, o resultado ser o desligamento do host alvo, atravs da famosa tela
azul. Desta forma, todos os servios fornecidos pelo host sero paralisados temporariamente
devido ao desligamento. A figura 4.17 ilustra a execuo do referido exploit.
Uma variante desta forma de ataque a execuo de um cdigo avulso que no faz uso
do Metasploit Framework e tem como base a vulnerabilidade apresenta na figura 4.15,
descrita pelo boletim de segurana MS11-035. O cdigo pode ser acessado atravs de
referncias externas listadas nesta mesma tabela, mas especificamente no acervo:
http://www.exploit-db.com/exploits/17830/. Tal cdigo explora a referida falha de por meio
de buffer overflow.
Figura 4.18 Exploit que explora tcnica de buffer overflow, 94 pacotes enviados
42
Figura 4.19 Buffer Overflow aps o envio de 751 pacotes
As figuras 4.18 e 4.19 ilustram a execuo do cdigo, sendo claro observar que o
objetivo o estouro do espao livre de memria RAM pela quantidade de pacotes enviados. A
figura 4.20 exibe a tela azul da morte que foi observada no sistema operacional das
mquinas alvo durante a realizao dos dois ataques DOS anteriores. O resultado final foi o
desligamento forado do host alvo, o que no laboratrio estudado provocaria srios danos, j
que o host 10.1.2.2 roda servios importantes, como o DNS e o DHCP.
43
servidor a cada nova conexo, o que j no ocorre em servios como o SSH, por exemplo, o
qual a cada nova conexo, pede confirmao de identidade e aborta a conexo caso haja
suspeita de pacote adulterado. Em uma escala maior, a referida forma de ataque acaba
atingindo sistemas operacionais que em determinados segmentos no trabalham com dados
criptografados na camada 2, o que facilita a realizao de formas de ataque deste cunho.
Para melhor entendimento, o ataque ocorreu da seguinte maneira: O host invasor
passou a responder na rede como se tivesse o MAC do firewall/router 10.1.2.246, que como
dito anteriormente, representa o gateway do host 10.1.2.2. Desta maneira, todo o trfego da
rede, antes direcionado ao host 10.1.2.246 verdadeiro, passou a ser encaminhado
primeiramente para o falso destinatrio, ou seja, a mquina do atacante. Assim, o invasor
passou a enxergar todo o trfego da rede, podendo conseguir uma quantidade enorme de
informaes restritas. importante lembrar que para que a comunicao ocorra naturalmente,
o ARP Spoofing tem ainda um mecanismo, pelo qual a mquina do atacante, aps receber
pacotes falsamente direcionados a ela, reencaminha os mesmos para o destinatrio verdadeiro.
Explorou-se o ARP Spoofing de duas formas: pelo mtodo 1 e pelo mtodo 2.
No mtodo 1, o ataque foi feito atravs da ferramenta arpspoof nativa do Backtrack e a
posterior interceptao dos pacotes via Wireshark.
No mtodo 2, utilizou-se a ferramenta Cain & Abel, que explora de forma automtica
o ARP Spoofing e a captura de informaes de login, dos mais diversos servios, atravs dos
pacotes interceptados.
No mtodo 1, ao tentar se logar em um dado servidor, o administrador responsvel
pelo host 10.1.2.2 tem os dados de autenticao interceptados pelo atacante. O ataque
exibido nas figuras 4.18, 4.19 e 4.20 a seguir.
44
Figura 4.22 Atacante inicia interceptao de dados do host 10.1.2.2 via Wireshark
A figura 4.21 mostra o ataque ARP Spoofing em ao, falsificando respostas. O host
do atacante passa a responder falsamente pelo host 10.1.2.246. O atacante situou-se entre o
host 10.1.2.2 e o firewall/router 10.1.2.246, podendo enxergar desta forma todo o trfego
trocados entre eles.
A figura 4.22, mostra a interceptao dos dados feita atravs do sniffer Wireshark.
Posteriormente, a figura 4.23 mostra a interceptao do pacote que contm informaes de
login, exibindo-se o fluxo TCP completo do pacote interceptado, atravs do qual possvel
ver as informaes confidenciais capturadas nos campos username e login do fluxo analisado.
No mtodo 2, apresentada uma variao do ataque de ARP Spoofing, o qual
realizado de forma automtica pela ferramenta Cain & Abel.
Cain & Abel uma ferramenta que em um primeiro momento foi criada para auxiliar
usurios que perderam suas senhas e deseja recuper-los. Posteriormente tambm acabou
sendo utilizada para realizao de ataques. Ela permite a quebra de senhas criptografadas
utilizando ataques de criptoanlise como rainbow tables e ataques de fora bruta. Alm disso,
45
tambm pode interceptar informaes de autenticao como logins e senhas atravs de ARP
Spoofing. As figuras 4.24 e 4.25 ilustram respectivamente a interceptao de logins e senhas
em um servidor FTP e em um servidor de e-mail que utiliza o protocolo POP3. As referidas
interceptaes foram realizadas com Cain & Abel por meio de ARP Spoofing.
46
forma, estabelece-se de forma indireta uma conexo entre um host que faz uma consulta ao
host do atacante. Assim, o invasor consegue interceptar o trfego entre o host alvo e o
servidor DNS real.
O ataque foi em cima de uma condio de porta aberta descrita na figura 4.16 e ilustra
como uma vulnerabilidade de baixo impacto pode se agravar e causar danos impactantes ao
sistema. O ataque foi possvel graas a uma vulnerabilidade prpria do Microsoft DNS no
Windows Server 2003 conhecida como The Kaminsky Bug, a qual permite execuo de
cdigos remotos que conduzem ao envenenamento do cache. Tal vulnerabilidade, aliada ao
fato da porta 53 estar aberta, possibilitou a realizao do ataque.
Utilizou-se o exploit bailiwicked_host do Metasploit Framework, que explora a
vulnerabilidade citada anteriormente. Neste exploit, h uma alterao entre hostnames e
endereos IP. Tal fato pode ser claramente observado na figura 4.26, onde o hostname
pjf.unb.br (que corresponde ao Windows Server 2003, onde est hospedado o DNS) ser
associado ao novo IP 10.1.2.11, que corresponde ao host do invasor.
47
Figura 4.27 Ilustrao do envenenamento do cache
48
Figura 4.28 Resumo de algumas vulnerabilidades encontradas no Windows XP
49
Figura 4.31 Descrio da vulnerabilidade MS11-017
.
Figura 4.32 Execuo do exploit ms08_067_netapi
50
Como explanado na seo 3.2.2, o Meterpreter no simplesmente um payload, mas
sim uma plataforma de explorao que apresenta um shell de comandos, o qual fornece ao
invasor uma variedade de atividades possveis de serem executadas no sistema explorado. As
principais atividades realizadas com o Meterpreter foram:
Migrao de processo: Com a inteno de se camuflar durante a invaso, a sesso
Meterpreter estabelecida muda o ID que descreve o seu processo para um ID de um
processo comum e bastante utilizado no host alvo. No ataque realizado, o ID foi
mudado para o ID 1744, que no caso em especfico caracterizava o explorer.exe. A
figura 4.33 ilustra esta ao.
51
Shell: Tal comando permite acesso a diretrios do host invadido. A partir da,
possvel se promover criao, substituio e excluso de arquivos, alm de diversas
outras atividades que podem ser impactantes e trazer srias consequncias ao host
alvo. A figura 4.35 mostra um exemplo do que foi explicado.
52
fazer com que o computador afetado pare de responder, concretizando-se assim a concluso
do DOS.
Para a realizao do ataque, foi utilizado o exploit ms06_063_trans, o qual um
exploit compatvel para a realizao de ataque em cima da vulnerabilidade MS09-001. Tal
exploit pode afetar sistemas configurados Windows XP com Service Pack 1 e 2. Por isso, o
ataque foi promovido em cima do host 10.1.2.11. A figura 4.37 ilustra a execuo do exploit,
atravs do envio das mensagens SMB forjadas, bem como a imediata reinicializao da
mquina atacada atravs de tela azul.
53
primeiramente o atacante invade o host servidor e a partir da carrega o arquivo com a DLL
maliciosa nele. Quando a vtima acessar tal arquvio, a DLL carregada e o ataque
consumado.A figura 4.38 ilustra a execuo do ataque. Analisando a figura, observa-se a
criao de um arquivo chamado Senhas no diretrio documents, hospedado na mquina
10.1.2.11. Vale ressaltar neste exploit, o uso do payload windows/meterpreter/reverse_tcp, o
qual utilizado para camuflar o ataque realizado.
A figura 4.39 mostra o arquivo Senhas.txt criado pelo exploit e a vtima acessando-o.
Quando a vtima abre o arquivo, uma DLL maliciosa ento carregada, executando consigo
um cdigo que traz como consequncia a criao de uma sesso Meterpreter no host do
invasor, como pode ser observado na figura 4.40.
Figura 4.39 A vtima acessa o arquivo Senhas.txt que contm a DLL maliciosa
54
Figura 4.40 Criao da sesso Meterpreter aps vtima acessar o documento Senhas.txt
55
Figura 4.41 Resumo de algumas vulnerabilidades encontradas no Windows 7 Professional
56
livre da memria por meio de sobrecarga da pilha, caracterizando-se assim um buffer
overflow. Sem espao livre na memria RAM, o host invadido fica pesado e ento ingressa
em um quadro de DOS em virtude da falta de espao de memria livre para execuo da
atividade que o usurio requisita. Os efeitos do DOS podem ser diversos, desde uma simples
negao de abertura de programa at o quadro mais grave de tela azul e reincio da mquina.
Assim, o ataque duplo finalizado.
A execuo do exploit pode ser observada na figura na figura 4.43, onde observa-se o
ataque praticado em cima do host de IP 10.1.15 na porta 5355, default do exploit e que se
encontrava aberta no host atacado. Na figura 4.44, pode ser observada a elevao do uso da
cpu para 100% pouco tempo depois da execuo do exploit. Tal quadro o suficiente para
provocar DOS para qualquer novo servio requisitado.
57
4.3.5.3. Ataque de falsificao de pacotes de consulta DNS
Ainda tendo em vista a vulnerabilidade expressa na figura 4.42, possvel realizar
uma outra forma de ataque, porm de uma forma indireta. Ao provocar um DOS no cliente
Microsoft DNS, o atacante pode assumir o seu lugar momentaneamente e a partir disso
efetuar um ataque de DNS Spoofing. Como j explicado na seo 2.1.2, este ataque consiste
na interceptao e substituio do trfego legtimo por pacotes DNS forjados, conseguindo
com isso o desvio do trfego da vtima para um servidor fake, o qual pode conter um website
falsificado, por exemplo. Tal tipo de caso ser explorado a seguir.
Para a realizao do ataque de DNS Spoofing, foi utilizada a ferramenta SET, descrita
na seo 3.2.3. Dentre as vrias formas de ataque que a ferramenta apresenta, foi escolhido
um ataque do tipo Website Attack Vectors, sendo realizado por meio do sub ataque
Credentials Harvesting, que objetiva a obteno de credenciais (logins e senhas) dos usurios
do sistema alvo. Para obter tal efeito, utilizou-se a opo Site Clonner, que promove a
clonagem de website. Quando o usurio escrever login e senha, por exemplo, o invasor
captura estas informaes e logo em seguida, para no levantar nenhum tipo de suspeita ou
alarme, redireciona-se as credenciais fornecidas pelo usurio para o website original. A figura
4.45 ilustra a realizao dessa operao, onde foi escolhido o website www.orkut.com.br para
ser clonado.
58
informaes de login e senha, estas sero capturadas e mostradas no host do atacante. A
seguir, a vtima redirecionada para o website original, no levantando suspeitas. A figura
4.46 ilustra o processo de captura das credenciais e a figura 4.47 mostra o website clonado.
Nota-se que acessando o IP do invasor, 10.1.2.11, acessa-se a pgina inicial clonada do
website original, comprovando o ato de spoofing, ao associar o endereo 10.1.2.11 ao nome
www.orkut.com.br.
59
4.3.5.4- Ataque combinado com Engenharia Social
Analisando-se a figura 4.41, percebe-se que as vulnerabilidades encontradas foram
poucas, apresentando apenas 2 com algum potencial crtico. Em sistemas com nveis de
segurana adequados, dificilmente encontram-se potenciais vulnerabilidades a serem
exploradas. A forma encontrada ento pelos atacantes de superar tais obstculos por meio da
tcnica de engenharia social. Como descrito em 2.1.9, engenharia social um conjunto de
tcnicas e ferramentas que podem englobar negociaes, psicologia, alm de tcnicas para
enganar, objetivando a utilizao do fator humano para burlar mecanismos de segurana de
sistemas. Em suma, um ataque que para se concretizar necessita que o usurio do host alvo
realize uma ao em especfico.
O ataque realizado nesta seo uma combinao de um ataque de engenharia social,
com um ataque de (semelhante ao descrito na seo 4.3.3.5) e com uma vulnerabilidade no
browser Mozilla Firefox, afetando todas as verses de arquitetura Windows x86 e Linux x86.
A vulnerabilidade em questo se refere a uma falha na instalao de plug-ins e atinge verses
do Mozilla Firefox desatualizadas com os patches de segurana.
Para realizao do ataque, foi utilizado o exploit firefox_xpi_bootstrapped_addon. A
figura 4.48 ilustra a execuo do exploit. Em poucas palavras, o exploit funciona relacionando
um host a um plug-in. Caso deseje-se acessar tal host, necessrio instalar um plug-in
malicioso, que ao ser instalado conceder acesso do host da vtima ao invasor.
Para eficcia do ataque, o host a ser acessado deve ser relacionado com algum nome
de domnio ou website frequentemente utilizado pela vtima. Por tais motivos, necessrio
antes de mais nada, realizar um ataque de cache poisoning que falsifique o cache DNS,
relacionando um domnio com um endereo IP fake, o qual pertence ao atacante. Neste ataque
60
em especfico, o domnio pjf.unb.br, originalmente associado ao host 10.1.2.2, passou a ser
relacionado ao host 10.1.2.11, que pertence ao invasor.
A execuo do ataque ilustrada nas figuras 4.49 e 4.50. Ao tentar acessar o domnio
pjf.unb.br, o acesso negado, pedindo ento que a vtima permita a ao. Ao permitir,
solicitado a vtima a instalao de um determinado plug-in. ai que entra a parte de
engenharia social. Uma vtima que no analisa direito a origem do plug-in, ou se ele
realmente necessrio para o acesso, acaba sendo ludibriada e acabada instalando-o para
obter acesso ao site desejado.
61
Figura 4.51- Criao da sesso Meterpreter aps instalao do plug-in
62
verificao de sees abertas, tais como tempo de uso, continuidade ou fim de seo, dentre
outras informaes importantes sobre as sees autenticadas. Com o RADIUS instalado pode-
se centralizar os mecanismos de autenticaes tais como switches, roteadores, pontos de
acesso, outros servidores Windows, Linux, etc. Em suma, o RADIUS um protocolo que foi
idealizado para centralizar as atividades de autenticao, autorizao e contabilizao, visto
que o crescente nmero de sistemas independentes inviabiliza a administrao descentralizada
(SILVA,2003).
Os pontos de acesso sem fio devem exigir autenticao e autorizao do n sem fio
antes que os dados possam ser enviados e recebidos da rede que est conectada ao ponto de
acesso sem fio. Para fornecer sua prpria autenticao e autorizao, cada ponto de acesso
sem fio deve exigir um banco de dados de conta de usurio com credenciais de autenticao
de cada usurio e um conjunto de regras pelas quais a autorizao concedida. Como isso
difcil de gerenciar, alguns pontos de acesso sem fio so clientes RADIUS que usam o
protocolo RADIUS padro da indstria para enviar mensagens sobre contabilizao e
solicitao de conexo para um servidor RADIUS central. O servidor RADIUS tem acesso a
um banco de dados de conta de usurio e a um conjunto de regras para conceder autorizao.
O servidor RADIUS processa a solicitao de conexo do ponto de acesso sem fio e aceita ou
rejeita a solicitao de conexo (MICROSOFT, 2005d).
A soluo proposta cobriria a falha de segurana, pois para que o atacante consiga
ingressar rede, necessrio que o mesmo possua um usurio e senha individuais, pr-
configurados no banco de dados do servidor RADIUS.
Segue a proposta da soluo, de forma mais detalhada:
Determinar se h duas SSID(Service Set Identifier) com autenticao diferentes, uma
para usurios internos, servidores da empresa e um SSID que conceda acesso s pessoas
internas que utilizem-se de dispositivos no homologados pela empresa, como smartphones,
tablets e pessoas externas empresa. Para acesso SSID servidores , uma condio seria
exigida aos usurios internos da empresa, utilizarem-se de dispositivos mveis, como
notebooks, pr homologados e cedidos pela empresa. Quando o acesso for requisitado, seria
necessrio de antemo, o usurio e senha individuais, aos quais os funcionrios utilizam-se
normalmente em seu dia-a-dia para acesso aos seus servios na empresa, como e-mail
corporativo, portal intranet, etc. Com esse usurio e um computador pr-homologado, seria
possvel o acesso rede interna com todos os privilgios j comuns ao usurio na rede
cabeada, atravs da integrao do Active Directory (implementao da Microsoft em
ambientes Windows, que consiste em um servio de diretrio no protocolo LDAP
63
(Lightweight Directory Access Protocol) que armazena informaes sobre objetos e
disponibiliza essas informaes a usurios e administradores desta rede) e RADIUS.
Para usurios internos que no utilizam de dispositivos mveis, pr-homologados,
como celulares, tablets, etc e ainda usurios externos visitantes. O acesso seria liberado pela
segunda SSID, seria uma, SSID para dispositivos mveis visitantes, aos quais a autenticao
ao ponto de acesso sem fio poderia dar-se em ABERTO diferentemente da WPA, configurada
no cenrio 1 inicial. Esta condio iria suprir inicialmente, apenas a autenticao do
dispositivo mvel ao ponto de acesso sem fio, o que no garante ainda acesso internet. Com
o usurio autenticado ao ponto de acesso, o cliente requisitaria um usurio temporrio ou
permanente um administrador de rede. O administrador ento configuraria um usurio
conforme as necessidades do visitante, se um servidor da empresa que utiliza-se de acesso a
celular, tablet poderia ser criado um usurio permanente para acesso, se apenas um visitante
temporrio, o usurio para o mesmo teria validade em quantidade de dias ou horas s quais o
usurio teria acesso rede, etc..
Por essa soluo sugerida, os usurios internos, que se autenticassem ao SSID da rede
interna, teriam o acesso conforme aos seus perfis de acesso configurados no Active Directory,
j os usurios com acesso ao SSID dos visitantes teriam seus acessos configurados conforme
ao perfil de acesso mais limitado, que seria igual para todos os usurios visitantes.
64
dport 80 -m state --state NEW -m recent set e iptables -I INPUT -p tcp --dport 80 -m state --
state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP evitariam o referido flood de
conexes na porta 80.
Por fim, o estabelecimento de redundncia no Servidor Web (ou seja, um outro
servidor pronto para assumir caso o servidor original se torne inoperante) pode ser uma
soluo provisria adotada para evitar a queda do servio caso um ataque seja realizado.
65
As portas DNS e NTP so redirecionadas porta 3128 do Squid. O protocolo ICMP
foi liberado para uso dentro da rede interna, mas o firewall foi configurado para responder aos
pings em intervalos de 1 segundo, evitando-se o ataque DOS conhecido como pings da morte
Pacotes invlidos, aqueles enviados sem serem precedidos por pacotes SYN e pela
abertura de conexo, so rejeitados e so armazenados nos logs. O firewall sempre responder
aos pacotes nas interfaces aos quais eles foram originados, o que previne ataques que se
aproveitam de conexes j iniciadas na interface loopback. Todas as conexes direcionadas ao
firewall que no tenham sido permitidas anteriormente so rejeitadas.
66
ser acessados atravs de seus nmeros identificadores: MS12-020, MS11-035, ou ainda seus
identificadores BID e CVE, como pde ser observado nos relatrios analisados anteriormente.
Em relao aos ataques ARP Spoofing realizados, para mitigao das vulnerabilidades,
pode-se bloquear portas de servios que no realizam autenticao a cada nova conexo.
Adicionalmente, pode-se fazer basicamente o uso de trs mtodos.
O primeiro mtodo consiste na habilitao da opo MAC binding nos switchs. Esta
uma opo encontrada em alguns switchs e faz com que os endereos MAC associados com
uma determinada porta no sejam alterados depois de configurados. Tais mudanas podem ser
realizadas apenas pelo administrador da rede.
O segundo mtodo consiste no uso de caminhos estticos. Basicamente, se realizaria
uma alterao no cache ARP de forma a se ter apenas entradas estticas. Desta forma,
respostas ARP falsas seriam ignoradas. Tal abordagem porm, torna-se vivel apenas em
redes de pequeno porte, essencialmente redes caseiras.
O terceiro mtodo consiste na deteco de ARP Spoofing. Para isto utiliza-se a
ferramenta Arpwatch, nativa no Backtrack. Tal ferramenta consiste na monitorao da
atividade ethernet, mantendo uma base de dados dos pareamentos MAC/IP e reportando
alteraes via e-mail. Desta forma, o Arpwatch mantem o administrador informado sempre
que uma nova mquina adquire um endereo da rede, notificando os respectivos endereos IP
e MAC da nova mquina. Alm disso, informa se um dado endereo MAC mudou de IP ou
ainda se h alteraes na configurao da rede, como por exemplo mudanas maliciosas de IP
do gateway ou de algum servidor.
Em relao ao ataque ARP Spoofing realizado por meio do software Cain & Abel, a
melhor forma de mitigao adoo de um mecanismo de bloqueio do referido programa em
qualquer host da rede. Uma forma eficiente de se realizar tal tarefa , por exemplo, a criao
de chaves no registro para a instalao de qualquer software.
Em relao ao ataque Cache Poisoning, pode-se fazer uso do DNSSEC (Domain
Name System Security Extensions), o qual uma extenso de segurana para o DNS que tem
como foco principal oferecer autenticidade e integridade nas consultas DNS. O DNSSEC faz
uso de criptografias de chaves pblicas e assinaturas, evitando desta forma, ataques que
exploram a integridade e autenticidade das transaes DNS, como o caso do Cache
Poisoning. Mais informaes sobre o DNSSEC podem ser obtidas em (Silva, 2009).
Como medidas de segurana adicionais, pode-se proceder com a instalao e
configurao do RADIUS, que como descrito na seo 4.4.1, faz uma centralizao dos
mecanismos de autenticao.
67
4.4.5- Mitigao de Vulnerabilidades dos Windows XP e 7
Assim como na mitigao das vulnerabilidades do Windows Server 2003, as
vulnerabilidades exploradas na fase de ataques realizada no Windows XP e no Windows 7 so
solucionadas atravs da instalao dos patches de correo de segurana, disponveis nos
boletins de segurana apontados nos relatrios das vulnerabilidades.
A anlise nesta seo ser voltada para o estabelecimento de medidas que garantam o
estabelecimento de uma slida defesa proativa nos hosts dos usurios. A anlise pode ser feita
sob dois pontos de vistas: um interno e outro externo.
O ponto de vista externo consiste na adoo de medidas de segurana centralizadas no
firewall/router 10.1.2.246 e no Windows Server 2003 10.1.2.2, adotando basicamente o
conjunto de passos exposto na anlise de cada conjunto de vulnerabilidades dos respectivos
hosts. Como medida adicional poderia se propor a utilizao de um sistema automatizado de
segurana voltado para deteco de tentativas de intruso e coleta de dados. Para tal
proposio, faz-se necessrio a utilizao de Sistema de Deteco de Intruso (IDS).
O uso de IDS permite preveno a certos tipos de ataques, que envolvem invaso ou
coleta de informaes, tais como Sniffers, Port Scanners, ARP Spoofing, dentre outros. A
preveno a tais tipos de ataques seria realizada tendo como pressuposto a monitorao
constante do trfego, visando a deteco de anormalidades, como excesso de trfego vindo de
um nico host, vrios hosts enviando pacotes ICMP para um nico host, excesso de pacotes
broadcasts enviados pelo mesmo host, etc. Fazer essa monitorao manualmente exigiria
demasiada ateno e esforo humano. Isto poderia ser evitado com uma robusta configurao
de um IDS, o que agregaria ainda mais proteo rede em um nvel global, juntamente com
as solues propostas anteriormente. Alguns IDSs encontram-se disponveis em open source,
tais como o Snort e o Honeypot.
A anlise do ponto de vista interno pode ser resumida nos seguintes pontos: anlise e
correo de falhas internas, atualizaes automticas de segurana, proteo por meio de
antivrus contra malwares e spywares, criao e organizao de polticas de grupos,
configurao do protocolo SSL para acesso internet e capacitao dos usurios.
dever do administrador da rede estabelecer prticas que forneam aos host usurios
correo de falhas e automatizao de atualizaes de segurana. Atitudes simples, como o
uso de licenas originais (as quais fornecem permisso aos servios completos dos Sistemas
Operacionais tais como atualizaes freqentes contra falhas de seguranas e melhoras no
desempenho dos sistemas), habilitao do Firewall Windows, seleo de atualizaes
68
automticas de segurana, alm da frequente observao de logs que permitam identificar e
corrigir falhas rapidamente, so algumas das atitudes imprescindveis para o estabelecimento
de uma consiste defesa interna.
A utilizao de um bom antivrus, sempre atualizado com as mais novas solues
contra os diferentes tipos de ataque que surgem a cada dia, representa tambm um importante
ponto de defesa, principalmente contra malwares e spywares (scripts maliciosos que
objetivam obteno de informaes corriqueiras ou de cunho confidencial da vtima). Em um
nvel global, poderia ser configurada a contratao/instalao de um servidor de antivrus, o
qual seria sempre atualizado com os ltimos nveis de segurana e gerenciaria de forma
centralizada, a proteo de todos os host e servidores da empresa, que possuiriam o software
do lado cliente do antivrus instalado, possibilitando assim a referida integrao.
Outra importante forma de defesa consiste na criao e organizao de polticas de
grupo. O Active Directory presente nos sistemas Windows Server permite a estruturao de
polticas de grupo, de forma que sejam liberados, estritamente, somente as ferramentas
necessrias aos desempenhos dos trabalhos de cada rea da empresa. Desta forma, deve
restringir-se tanto quanto possvel o acesso de usurios comuns, no administradores de rede,
a certos servios. Desta forma, pode-se promover, por exemplo, o bloqueio de acesso ao
prompt de comando do Windows, bloqueio utilizao da ferramenta de acesso remoto
Remote Desktop, negao de acesso pastas em servidores remotos atravs da barra de
endereos do Windows Explorer, etc. Utilizando tais artefatos, diversas formas de ataque
interno podem ser evitadas.
Em relao confiabilidade de dados trafegados na internet, pode-se fazer uso da
configurao de certificados digitais, SSL (Secure Sockets Layer), que so tecnologias de
segurana comumente utilizadas para codificar os dados trafegados entre o computador do
usurio e um Website, da empresa por exemplo. O protocolo SSL, atravs de um processo de
criptografia dos dados, previne que os dados trafegados possam ser capturados, ou mesmo
alterados no seu curso entre o browser do usurio e o site com o qual ele est se relacionando,
garantindo desta forma proteo de informaes sigilosas como logins, senhas ou outros
dados pessoais. Alm disso, servios baseados em FTP tambm podem ser integrado ao
protocolo SSL de forma a gerar transferncias de arquivos mais seguras.
Por fim, para se evitar ataques baseados em ludibriar os usurios, tais como Mail
Phishing e Engenharia Social, recomenda-se a capacitao de todos os usurios da empresa,
atravs de mini cursos focados em boas prticas de segurana, afim de se evitar as referidas
69
formas de ataque, as quais com o auxlio dos usurios podem ser realizadas mesmo com
todo o sistema de segurana da rede em funcionamento.
Em suma, tendo como base o conjunto de passos e medidas apresentados no
desenvolvimento do trabalho, possvel se estabelecer nveis de defesa adequados para
implementao de sistemas de segurana.
70
5- CONCLUSO
71
de polticas de segurana pr-determinadas para a construo de um sistema de segurana
proativo.
De uma maneira geral, mesmo com limitaes de fatores materiais, tcnicos e
operacionais, os principais objetivos pr-estabelecidos para o projeto foram alcanados. Foi
possvel se observar a importncia dos testes de vulnerabilidades para o estabelecimento de
melhores nveis de segurana, e como se utilizados de forma correta podem atuar como
verdadeiras ferramentas de auditoria de segurana da informao.
Ainda tendo em vista a temtica dos testes de vulnerabilidades, trabalhos futuros
poderiam ser realizados de forma a serem centrados em determinadas fases de realizao dos
testes. Desta forma, poderiam ser desenvolvidos trabalhos voltados, por exemplo, para:
anlise de scanners de vulnerabilidades e estudos aprofundados sobre as principais
vulnerabilidades encontradas nos sistemas atuais; desenvolvimento de exploits e scripts que
simulem novas formas de ataque, fornecendo desta maneira o desenvolvimento de eventuais
solues; desenvolvimento de novos scripts para mitigao de vulnerabilidades de
determinados ataques; estudos de polticas e medidas para se alcanar uma elevada
otimizao de um determinado sistema de segurana.
72
REFERNCIAS BIBLIOGRFICAS
MELO, Laerte P.; AMARAL, Dino M.; SAKAKIBARA, Flavio; ALMEIDA, Andr
R.; Sousa Jr., Rafael T.; Nascimento, Anderson. Anlise de Malware: Investigao de
Cdigos Maliciosos Atravs de uma Abordagem Prtica. Disponvel em:
<http://tinyurl.com/93u75ut>. Acesso em: 20 de Maio, 2012.
73
NMAP Networking Scanning. Disponvel em: http://nmap.org/man/pt_BR/index.html
74