Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANÇA DA INFORMAÇÃO
• Routers
Ataque de acesso – obter acesso ao router ou a rede ;
Ataque de negação de serviço:
DoS ou distributed DoS – derrubar o roteador
Alterar o roteamento - redireciona o tráfego, negando o serviço à rede
• Firewalls
Ataques semelhantes ao dos roteadores;
Dependendo do tipo e tamanho do firewall as técnicas são diferentes.
• Switches
Qualquer ataque afeta o fluxo do tráfego da LAN no segmento, o tráfego fica
concentrado no switch (concentrador);
No caso de switch L3 a situação fica mais crítica.
• Servers
Podem ser um grande alvo para os atacantes, porque são usados para
armazenamento de dados e podem fornecer acesso à rede;
Se o servidor foi explorado, muitos outros equipamentos da rede devem estar
vulneráveis, além das informações contidas no server poderem ser usadas para a o
ataque aos outros equipamentos.
Aplicação
• Plugins para Browsers (ActiveX, Applets Java)
• Senhas enviadas sem criptografia (Telnet, POP)
• Vírus, Worms, Trojans
• Vírus são programas maliciosos que se replicam
• Trojan horse programa malicioso disfarçado de benigno
• Worms são vírus auto-replicáveis
• Bugs de software vulnerabilidade
• Serviços “startados” como root (administrador do sistema)
• Vulnerabilidades em SNMP, SSH, FTP etc
• Falha na configuração de serviços (FTP, HTTP)
Transporte
• Aplicações TCP, UDP ( varredura de portas )
• Port scan permite “mapeamento da rede”
• Porta aberta = serviço rodando
• Negação de Serviço (Dos)
• SYN flood
• TCP session hijacking
Internet
Vulnerabilidades em roteadores
• senha de administração fraca ou default ou em “branco”(sem senha)
• Bugs no OS permitem “buffer overflow” (IOs)
IP – Internet Protocol
• IPv4 não oferece confidencialidade
• Pacotes atravessam redes públicas ou do ISP
• IP spoofed (IP de origem falso)
• DoS (ping da morte)
• Firewalls mal configurados(filtro de pacotes, ACL)
• Vulnerabilidades nos protocolos de roteamento (RIP, BGP, OSPF etc)
SEGURANÇA DA INFORMAÇÃO
http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-
e-celulares-e-sequestram-dados.html
Fonte:http://www.ic3.gov/media/annualreport/2014_IC3Report.pdf
O FBI mantem publicada lista dos suspeitos de cyber crimes mais procurados.
Fonte: https://www.fbi.gov/wanted/cyber
FERRAMENTAS DE LOG E AUDITORIA
Nos sistemas UNIX e LINUX os arquivos de log são, por padrão, armazenados no
diretório “/var/log”
Podemos enumerar diversas ferramentas:
UTMP E UTMPX
Registra os usuários locais que estão conectados atualmente no sistema
Formato armazenamento: binário
Comandos exibição das informações: who, whodo, write, finger e ps.
WTMP E WTMPX
Registra detalhes da sessão aberta pelo usuário
Formato armazenamento: binário
Comandos exibição das informações: last, acctcom
LASTLOG
Registra o horário da ultima tentativa do usuário acessar o sistema
Formato armazenamento: binário
Comandos exibição das informações:
lastlog –u aluno (último logon desse usuário)
lastlog –t 3 (últimos 3 dias)
MESSAGES
Registrar todas as operações do sistema (kernel) ou algum mecanismo de log
(programas), exemplo mensagens enviadas ao console
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
SULOG
Registra tentativas de execução do comando su, tenham sido estas bem ou mal
sucedidas.
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
XFERLOG
Registrar todas as operações logon/logoff realizadas pelo daemon de ftp.
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
SECURE(tcp-wrappers
Registrar todas as operações realizadas por tcp-wrappers (alteração de senhas,
criação de usuários e grupos)
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
MAILLOG(e-mails)
Registrar os envios e recebimentos de e-mails no sistema
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
BASH_HISTORY
localização: /home/user ou /root
Armazena os últimos 1.000 comandos digitados pelo usuário.
Formato armazenamento: texto
Comandos exibição das informações: cat, tail etc
ANÁLISE DE LOGS
O problema não está na ferramentas para acessar os LOG’s
O PROBLEMA está no grande volume de dados gerado diariamente por eventos
relacionados ao sistema. Como identificar as informações RELEVANTES?
AUDITORIA/ANÁLISE DE DADOS
CAATs
Técnicas de Auditoria Assistidas por Meios Computacionais
Computer Assited Audit Techiniques
Tipos de CAATs
Software de Auditoria Generalizado (GAS) – como seu nome define, é de uso geral,
podendo ser utilizado para testes de controle;
Software de Auditoria Customizado(personalizado) (CAS) –
desenhados pelos auditores para tarefas específicas de auditoria, não realizadas
pelo GAS.
Dados de teste – teste é realizado com dados simulados, válidos ou não, com o
objetivo de testar a precisão do sistema, verifica a validação dos dados, a detecção de
erros, etc
Simulação Paralela – objetiva imitar o programa de produção do cliente
1. Planificação de auditoria
1.1. Planning Advisor
2. Execução – SUPERVISÃO
2.1. COBIT Adivisor
2.2. Pro Audit Advisor
3. Análise de risco
3.1. RISK2K – Pilar – Chinchón
3.2. Enterprise Risk Assessor (ERA Lite)
3.3. Risk Assement Program – RAP
3.4. Audicontrol
4. Análise e avaliação de base de dados
4.1. ACL: (Audit Command / Control Language)
4.2. IDEA: (Interactive Data Extraction and Analysis)
5. Ferramentas Integradas
5.1. Gestor F1 Audisis
5.2. Auditor 2000
5.3. TeamMate
6. Programas para propósitos específicos
6.1. Sistema de Auditoria e Segurança – SAS
6.2. Statistical Techiniques of Analytical Review
6.3. DATAS – Digital Analysis Tests And Statistics
DESAFIO
Controlar o acesso de usuários/colaboradores
autenticação;
autorização e
auditoria.
CONTROLE DE ACESSO
Usuários/Colaboradores:
Funcionários
Estagiários
Terceiros
Características
Requer senha forte (mínimo 8 caracteres)
Suscetibilidade à engenharia social
Política de senhas (periodicidade e repetitividade)
Par login/senha para cada sistema
Características
Custo do dispositivo;
Reposição dos mesmos por perda;
Expiração do dispositivo, acarretando a troca;
Permissões emergenciais.
Impressão digital:
Verifica as terminações e bifurcações dos sulcos;
Sistemas mais modernos, verificam os arcos e voltas que aparecem nos dedos;
O leitor deve minimizar a rotação da imagem e compensar pequenas variações em
relação a imagem armazenada;
Utilizado para controle de acesso e caixas eletrônicos;
Problemas na identificação quando ocorrem pequenos cortes no dedo, pele
ressecada ou ambiente de trabalho com excesso de sujeira;
Método rápido e confiável;
Custo acessível, por ser muito difundido e utilizado, aumento de oferta desses
leitores;
Menos intrusiva.
Reconhecimento facial:
Verifica os vários pontos identificadores e delimitadores da face;
Define distâncias, tamanhos e formas de cada componente da face (nariz, olhos,
orelha etc);
Problemas na identificação, acarretada pelas transformações faciais (adolescência,
fase adulta, terceira idade etc);
Problemas de identificação, acarretada pelo uso de óculos de sol, bigode, barba e
expressões faciais.
Retina
Íris:
Verifica imagem da íris (extremamente complexa);
Método bastante seguro;
A íris é única e diferente de seu par;
Pequena margem de erros;
Praticamente imutável durante a vida;
Lente de contato não compromete o reconhecimento da íris;
De fácil implementação, unidade óptica (câmera monocromática de alta precisão);
As cores não são significativas para a identificação;
Problema é a resistência de algumas pessoas em realizar a fotografia da íris
Geometria da mão:
Não tão confiável quanto a impressão digital;
Problema relacionado ao posicionamento correto da mão na superfície do leitor;
Outro problema é a utilização de acessórios, anéis, alianças etc.
GERÊNCIA DE ACESSO
GESTÃO TRADICIONAL DE USUÁRIOS
Duração de aproximadamente 5 dias para conceder acesso a todos os ativos
computacionais, para o colaborador desempenhar suas funções.
Além do acesso inicial, o colaborador pode ser transferido ou promovido, com a
mudança de função, há a necessidade de rever suas permissões, evitando atrasos no
desempenho da nova função e impedindo acessos indevidos à função anterior.
Solução - Role Based Access Control - RBAC
Controle de Acesso Baseado em Função (papéis)
SGI – MODELOS
Tradicional
Centralizado
Federado
Centrado no usuário
Fácil implementação;
• É Provedor de Serviços – SP e
Provedor de Identidade – IdP – SP + IdP;
• O usuário possui uma identidade digital para cada SP;
• Os SP trabalham isoladamente NÃO compartilhando as identidades.
Fonte: http://www.gta.ufrj.br
o IdP possui controle total das informações, fato que acarretou o insucesso do
Microsoft Passport Network.
Fonte: http://www.gta.ufrj.br
Fonte: http://www.gta.ufrj.br
Fonte: http://www.gta.ufrj.br
vídeos:
https://www.youtube.com/watch?v=EXeOxjccfHc
https://www.youtube.com/watch?v=CqvJcTvhCBw
STATEFUL FIREWALL E NEXT GENERATION FIREWALL
FIREWALL
É uma solução de segurança baseada em hardware ou software, também
conhecido como “parede corta-fogo”, separando através de critérios, materializado por
regras, a rede interna da externa (INTERNET).
LINUX - FIREWALL
O firewall mais popular do LINUX é o netfilter, popularizado por sua interface
iptables.
CABEÇALHO IPv4
CABEÇALHO TCP
PACKET FILTER
Trata todo o cabeçalho IP (20 bytes) e
as portas de origem e destino (4 bytes).
STATELESS
Trata todo o cabeçalho IP (20 bytes);
as portas de origem e destino (4 bytes) e
em geral analisa os FLAGs de conexão do TCP.
NÃO trata o estado da conexão.
STATEFUL
Trata todo o cabeçalho IP (20 bytes);
Trata todo o cabeçalho TCP (20 bytes) ou UDP (8 bytes) ou ICMP.
TRATA o estado da conexão.
O STATEFUL pode realizar o tratamento como se fosse PACKET FILTER ou
STATELESS
FERRAMENTAS DE FIREWALL
Exemplos de firewalls:
• Linux Kernel 2.0.x
• IPF – Packet FilterB
• IPFWADM – Packet Filter
• Linux Kernel 2.2.x
• Ipchains – Stateless
Sinus – Packet Filte
• Linux Kernel 2.4.x / 2.6.x
• Netfilter (iptables) – Stateful
• Outras soluções Open Source:
• IPFW – FreeBSD
• PF – OpenBSD e FreeBSD 5.x
• IPFilter - Solaris 10
ARQUITETURA DE FIREWALL
• Dual-homed host
• Screened Host
• Screened Subnet
• Dual-homed host
• Screened Host
• Screened Subnet
SEGURANÇA LÓGICA FIREWALL
APPLICATION PROXY – MÉTODOS DE UTILIZAÇÃO
• Conexão direta - configurando o navegador;
• Proxy de Autenticação – usuário se identifica e autentica;
• Proxy Transparente – NÃO configura o navegador, o usuário não tem o conhecimento da
existência do proxy ou que o utiliza.
APPLICATION PROXY
VISÃO DO DPI
• Verificar o conteúdo do payload da aplicação, para tomar decisão baseado no conteúdo
desses dados;
TÉCNICAS DO DPI (herdadas dos IDS)
• Análise baseada em assinaturas;
• Estatísticas;
• Anomalias.
WIRE-SPEED - DPI
• ASICs - Application Specific Integrated Circuits ou
• NPUs – Network Processing Units
EXEMPLO NECESSIDADE DPI
• O cliente 200.0.0.1 acessa
• o servidor de e-mail 200.10.10.1,
• acesso permitido.
OUTRO EXEMPLO:
Explorar Remote Buffer Overflow in Sendmail
CERT Advisory CA-2003-12
http://memoria.rnp.br/cais/alertas/2003/ca200312.html
O QUE É VULNERABILIDADE?
Segundo a NORTON by Symantec, “são falhas no software de computador que
criam deficiências na segurança geral do computador ou da rede. As vulnerabilidades
também podem ser criadas por configurações incorretas do computador ou de
segurança. As ameaças exploram as vulnerabilidades, o que resulta em possíveis danos
para o computador ou dados pessoais.”
Segundo a CERT.ORG, “é definida como uma condição que, quando explorada por
um atacante, pode resultar em uma violação de segurança”
VULNERABILIDADES - EXEMPLOS
VULNERABILIDADES - FRAGILIDADES
Da tecnologia
• De configuração
• Da política de segurança
• Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES
Da tecnologia
• TCP/IP
• Sistema Operacional
• Equipamentos de rede
De configuração
Da política de segurança
Do equipamento de rede
VULNERABILIDADES
ATAQUE – é a exploração de uma VULNERABILIDADE, com a finalidade de
executar ações maliciosas, como invadir um sistema, acessar informações confidenciais,
disparar ataques contra outros computadores ou tornar um serviço inacessível.
Estudo realizado pelo governo australiano indica que 85% das vulnerabilidades
conhecidas podem ser paradas por meio da implantação dos CSC Top 5 da CIS. Isto inclui
a confecção de um inventário de ativos de TI, implementação de configurações de
segurança, correção de vulnerabilidades, e restringir usuários não autorizados.
• http://isc.sans.edu
• é apoiado pelo Instituto SANS;
• reúne milhões de entradas de log de detecção de intrusão diariamente, a
partir de sensores que cobrem mais de 500.000 endereços IP em mais de 50 países.;
• está se expandindo para realizar uma busca mais rápida por tempestades,
identificando os locais que são utilizados para ataques e oficializar os alvos e os tipos de
ataques;
• é um serviço gratuito para a comunidade da Internet.
LISTA DE CRITÉRIOS:
Data de entrada
Vendor
Produto
Versão
Por palavra-chave
Gravidade
Fontes comuns
Explorar Relacionado
Consequência Vulnerabilidade
Tipo de Vulnerabilidade
Tipo de SO
Tipo de entrada
Tipo de componente
Data inicial
FASES DE UM ATAQUE
• Descoberta
• Enumeração
• Mapeamento de vulnerabilidades
• Exploração
Descoberta
• coletar informações, servidor web, e-mail, registros DNS etc
Enumeração
tentativa de obter nome de usuários, os recursos compartilhados através rede,
informações dos aplicativos, plataforma, infra-estrutura e principalmente as versões dos
serviços;
Mapeamento de vulnerabilidades
traçado o perfil através das fases anteriores, busca as vulnerabilidades publicamente
conhecidas.
Exploração
tentar obter acesso privilegiado ou escalar privilégios, dos alvos, utilizando ferramentas
para explorar as vulnerabilidades esperadas (exploits).
PACKET SNIFFING
Outra possibilidade para captura em redes segmentadas por switch, seria gerar
tráfego com MAC de origem falso para comprometer a MAC address table, quando o
switch não sabe a interface do destino envia o frame para todas as interfaces.
Softwares: tcpdump (Linux) e wireshark
ARP SPOOFING
Enviar um frame com uma solicitação ou resposta ARP falso, desviando o tráfego
para o host invasor (apropriação de identidade).
Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego
válido chegue ao seu destino.
IP SPOOFING
Consiste na técnica de falsificar o endereço IP de origem de um pacote.
FRAGMENTAÇÃO DE PACOTES IP
Entendendo a fragmentação de pacotes IP.
É uma técnica utilizada, objetivando dificultar a detecção de um ataque ou realizar
uma negação de serviço (DoS).
A seguir entenda as possibilidades de ataque com a fragmentação.
ATAQUE
FRAGGLE - ATAQUE
Ataque Fraggle é uma variação do ataque smurf . O smurf utiliza ICMP – echo
request e o fraggle UDP echo.
VARREDURA - ATAQUE
FERRAMENTAS
Abordaremos as seguintes ferramentas:
• NMAP
• HPING
• METASPLOIT
• MEDUSA
• THC-Hydra
NMAP – FERRAMENTA
Realizar uma varredura com objetivo de identificar as portas de serviços que estão
abertas em um host ou uma rede. Com a utilização de parâmetros, pode retornar a
versão do sistema operacional e a versão dos serviços em execução.
Exemplo:
Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e
serviço.
Com alguns parâmetros podemos:
-O - tentar detectar o SO;
-P0 - realizar a varredura do host mesmo que não responda ao ping;
Possui uma interface gráfica a ZENMAP para diversas plataformas de SO (
Windows, Linux, MacOS, BSD, etc ).
HPING - FERRAMENTA
é uma ferramenta que gera e analisa pacotes;
suporta os protocolos ICMP, UDP e TCP;
permite alteração do cabeçalho e do payload do pacote.
Funcionalidades:
Teste de firewall
Port scanning avançado
Teste de diferentes protocolos e
fragmentação na rede;
MTU Discovery manual;
Traceroute avançado;
OS Fingerprinting
Auditoria da pilha TCP/IP
METASPLOIT – FERRAMENTA
A partir de 2009 diversas variantes comerciais foram desenvolvidas. A versão livre
e open source, possui algumas limitações em relação comercial.
É um framework, open source, que foi criado por H.D.Moore, com o objetivo de
acelerar o desenvolvimento, testes e utilização de exploits, além de permitir a criação de
seus próprios módulos de exploits.
Possui um número considerável de exploits, payloads e ferramentas para teste de
vulnerabilidades em diversas plataformas, sistemas operacionais e servidores.
MEDUSA - FERRAMENTA
É uma ferramenta usada para ataques de força bruta para descobrir login/senha
remotamente. É uma ferramenta que obtém enorme sucesso, quando os usuários
utilizam senhas fáceis (fracas). Resumindo não há uma política de senhas implementada,
permitindo senhas fracas, como sequencias numéricas, datas, palavras do dicionário, etc.
Além da política de senhas o administrador deve bloquear usuários com falhas de
logon sucessivas, implementar um Sistema de Detecção de Intrusos (IDS) e realizar
auditoria nos logs.
Fraudes
Boletos alterados
• 2ª via de boleto falso, DNS malicioso
Phishing Clássico
• Centenas de variações para a mesma URL
DESVANTAGEM
• Ação de resposta não pode parar o pacote que a desencadearam.
• Ação de resposta necessita de um ajuste fino e preciso
VANTAGEM
• Pode parar os pacotes que a desencadearam
• Pode usar técnicas de normalização de fluxo contínuo
DESVANTAGEM
• Questões do sensor podem afetar o tráfego de rede
• Se houver SOBRECARGA no sensor AFETARÁ a rede
• Gera algum impacto de latência e jitter na rede
HIPS
VANTAGEM
• É específico do host
• Protege host após descriptografia
• Fornece proteção de criptografia em nível de aplicativo
DESVANTAGEM
• Dependente do Sistema Operacional
• Eventos inferiores ao nível de rede NÃO serão vistos
• O Host é visível para atacantes
NIPS
VANTAGEM
• É o custo-efetivo
• Não é visível na rede
• Independe do Sistema Operacional
• Eventos inferiores ao nível de rede serão vistos
DESVANTAGEM
• Não pode examinar o tráfego criptografado
• Não sabe se um ataque foi bem-sucedido
CARACTERÍSTICAS DA ASSINATURA:
• Um sensor IDS ou IPS realiza a correspondência entre uma assinatura e um fluxo de dados
• O sensor toma ações
• Assinaturas têm três atributos característicos:
• tipo de assinatura
• trigger da assinatura (disparo)
• ação da assinatura
• HP-UX HIDS
• Pode realizar monitoramento, gerar alerta da possível invasão;
• detecção baseada em áreas de vulnerabilidades:
• os dados de auditoria são correlacionados para determinar em qual delas houve
exploração
• quase real-time.
• SNORT
• Baseado em regras que são processadas na análise dos pacotes
• Modos de operação:
• sniffer,
• registrador de pacotes,
• detecção de intrusos e
• Snort Inline, que é um IPS
• UNTANGLE
• Pode ser instalado em um computador servidor;
• não requer um sistema operacional para funcionar, por ser um programa servidor.
• BRO INTRUSION DETECTION SYSTEM
• Pode realizar monitoramento passivo do tráfego de rede;
Pode analisar a ocorrência de atividades suspeitas através de eventos em
semântica de aplicações, verificando o que é considerado um ataque.
TIPOS DE ASSINATURAS:
• Atômico
• Composto ou Stateful
Atômico
• Forma mais simples
• Consiste em um único pacote, atividade, ou evento
• Não necessita de sistema de intrusão para manter informações de estado
• Fácil de identificar
Composto ou Stateful
• Identifica uma sequência de operações distribuídas em vários hosts
• Assinatura deve manter um estado conhecido
DESVANTAGENS
• Saída genérica
• Deve ser criada uma política
BOAS PRÁTICAS
• Grandes redes devem atualizar os pacotes preferencialmente de forma automática;
• Quando a atualização dos pacotes de assinatura for necessária, deve ser baixada para um
servidor seguro na rede de gerência, com um HIDS/HIPS instalado;
• Criar uma nova assinatura para detectar e mitigar um ataque específico, se a atualização
não existir;
• O pacote de assinaturas deve ser disponibilizado em um servidor FTP dedicado e seguro.
Com acesso somente para leitura, garantido às contas que os sensores utilizarão par ao
download interno;
• Agendar a hora do dia em que os sensores deverão verificar as atualizações, de forma
automática no servidor FTP interno. Priorizando o horário de menor atividade
momentânea
• Sensores e consoles de gerenciamento devem suportar os mesmos níveis de assinatura.
CRIPTOLOGIA
Criptografia
Criptoanálise
Esteganografia
Criptografia
• kryptós(cripto): “escondido”;
• gráphein(grafia): “escrita”.
• Ocultar informação de pessoas não autorizadas;
• Encriptação – torna a mensagem incompreensível.
Criptoanálise
• Decodificar mensagens sem conhecer a chave secreta
Esteganografia
Ocultar mensagens dentro de outras
Confidencialidade/privacidade/segredo
• Garantir que a mensagem somente possa ser lida pelo receptor desejado
Autenticação de origem
• Garantir quem originou a mensagem
Integridade da mensagem
• Garantir que a mensagem não tenha sido alterada
• Desloca
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 mento
a bc de f ghi j k l mno p q r s t uv w xy z de 3 –
segundo
a b c d e f g h i j k l mn o p q r s t u v w x y z
desloca
1 2 mento
a bc de f ghi j k l mno p q r s t uv w xy z
a b c d e f g h i j k l mn o p q r s t u v w x y z
1 2 3 • O
alfabeto é circular
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c de f g h i j k l mno p q r s t uv w xy z
d e f g h i j k l mn o p q r s t u v w x y z a b c
Cifradores de blocos:
• Divide a mensagem em blocos de tamanho fixo na momento da cifragem dos dados,
exemplo – DES e AES
Cifradores de fluxo:
• Cifra cada dígito do texto plano por vez
• Menos utilizados que os de bloco
• Exemplo – RC4
• garantir a confidencialidade dos dados.
• não comprometer a confidencialidade da chave
• métodos criptográficos que usam chave simétrica são: DES, 3DES, AES, IDEA, BLOWFISCH,
RC2, RC4, RC5, CAST, TWOFISH e SERPENT
• Utiliza um algoritmo e um par de chaves, se cifrado com uma chave somente decifra com
a outra
• Uma chave é pública e a outra deve ser mantida em segredo(privada ou secreta)
• Pode ser armazenada em: Arquivo, smartcard ou token
• Como requisito de segurança: Algoritmo + parte do texto cifrado + uma das chaves, NÃO
deve ser suficiente para obter a outra chave
• métodos criptográficos que usam chaves assimétrica são: RSA, DAS, ECC e DIFFIE-
HELLMAN.
BLOWFISH- SIMÉTRICO
• Criado por Bruce Schneier
• Chave de 32 a 448 bits, chaves de tamanho variável
• Encripta blocos de 64 bits
• Utilizador opta por maior segurança ou maior desempenho
• Não patenteado
• Aperfeiçoamento do Twofish
• Utilizado pela ICP-Brasil a partir de 2012 aumentou a chave de 2048 para 4096 bits;
ASSINATURA DIGITAL
PENTEST – CLASSIFICAÇÃO
Quanto a quantidade de informações fornecidas ao auditor:
teste caixa-preta ou teste de penetração zero
teste caixa-cinza ou teste de penetração parcial
teste caixa-branca ou teste de conhecimento
• teste reverso: o auditor recebe todas as informações disponíveis sobre o alvo e a equipe
de TI não tem ciência do teste.
• WHOIS: Utilizado para obter informações sobre o nome de domínio, endereço IP,
proprietários, contatos dos responsáveis, servidores de nome etc.
• DNS: Registros do servidor DNS, e-mail do hostmaster, nome dos ativos de redes e na
pior das hipóteses a transferência de zona estar aberta para qualquer IP.
W3AF: - é o projeto Web Application Attack and Audit Framework, com o objetivo de seu
framework buscar e explorar vulnerabilidades de aplicações web.
http://w3af.sourceforge.net
Samurai WTF : - o ambiente do framework Samurai Web Testing Framework é live Linux
configurado para funcionar como um ambiente de web pen-testing.
http://samurai.inguardians.com
Nikto: - é uma ferramenta scanner de servidor, com o objetivo de realizar testes contra
múltiplos itens em servidores web.
http://cirt.net/nikto2
CAT: The Manual Web Application Audit - aplicação com o objetivo de facilitar testes
manuais de invasão em aplicações web.
http://cat.contextis.co.uk
OBJETIVO
Identificar as principais características do comércio eletrônico as técnicas
utilizadas para prover segurança ao mesmo.
CONCEITO
Comércio Eletrônico (e-commerce) pode ser entendido como uma combinação de
tecnologias, aplicações e procedimentos negociais que permitem a transação on-line de
bens e serviços entre governos, sociedades e empresas.
Um conceito básico para comércio eletrônico seria defini-lo como qualquer
transação comercial por meio eletrônico.
Criptografia;
HISTÓRICO
A Internet nasceu em 1969, sob o nome de ARPANET, resultado de um projeto de
interconexão dos computadores de instituições de pesquisa, de ensino e governamentais.
Essa rede fornecia os serviços básicos de correio eletrônico, transferência de arquivos e
compartilhamento de impressoras, e foi projetada para uso de uma comunidade restrita
de usuários que confiavam mutuamente entre si (SMITH & GIBBS, 1994). Não foi
concebida para um ambiente comercial e sendo assim é vulnerável a vários tipos de
ataques.
Originalmente, comércio eletrônico significava a facilitação de transações
comerciais eletrônicas, usando tecnologias como:
Eletronic Data Interchange (EDI) - troca de documentos via sistemas de teleinformática
entre duas ou mais organizações de forma padronizada.
Eletronic Funds Transfer (EFT) - transferência eletrônica de dinheiro de uma conta para
outra.
Transações fraudulentas;
Questões de privacidade;
DESAFIOS
A segurança é um dos fatores que distingue as lojas de comércio eletrônico
perante os consumidores.
Consumidores passam a exigir mais garantias, a preocupação torna-se maior e
isso cria um novo e promissor cenário: o de oferecer aos consumidores algo além da
qualidade, da garantia de entrega e dos melhores preços. A garantia de seu direito à
privacidade.
PRINCIPAIS AMEAÇAS
• Acesso não autorizado
• Alteração de dados
• Monitorização
• Spoofing
• Negação de serviço
• Repudio
• Privacidade
• Autenticação
• Autorização
• Integridade
• Não repudio
MECANISMOS DE SEGURANÇA
Basicamente, referem-se as técnicas que asseguram que dados armazenados ou
em transferência não sejam acessados ou alterados. A maioria das medidas de
segurança envolve encriptação de dados e de senhas. A encriptação, ou cifragem , é a
transformação de dados para uma forma ilegível que impede ou dificulta o seu
entendimento. A senha ou frase secreta possibilita a um usuário o acesso a um
determinado programa ou sistema. Além destas medidas, convém citar protocolos de
segurança, baseados em algoritmos de encriptação, e às barreiras digitais.
Como mecanismos de segurança no comércio eletrônico podem ser citados os
seguintes:
• Barreiras digitais (firewall)
• Protocolos de autenticação
• Certificados digitais
• Assinaturas digitais
• Selos digitais.
FIREWALL
Solução de segurança baseada em hardware ou software, que a partir de um
conjunto de regras ou instruções, analisa o tráfego de rede para determinar que
tratamento será dado aos pacotes de transmissão ou recepção de dados. O objetivo de
um Firewall é bloquear tráfego de dados indesejado e liberar acessos autorizados.
CRIPTOGRAFIA
Encriptação consiste em converter mensagens e dados para um formato ilegível
com objetivo de proteger o seu conteúdo. Apenas quem possuir a chave a chave secreta
poderá fazer a decifragem. Por vezes, é possível decifrar com uso de força bruta.
Contudo, as técnicas modernas buscam tornar a encriptação virtualmente
"inquebráveis".
De acordo com o tipo de chave utilizada, os métodos criptográficos podem ser
subdivididos em duas grandes categorias: criptografia de chave simétrica e criptografia
de chaves assimétricas.
Criptografia de chave simétrica (ou de chave única): utiliza uma mesma chave
tanto para codificar como para decodificar informações, sendo usada principalmente
para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada
e decodificada por uma mesma pessoa não há necessidade de compartilhamento da
chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos
diferentes, é necessário que a chave secreta seja previamente combinada por meio de
um canal de comunicação seguro (para não comprometer a confidencialidade da
chave).
Criptografia de chaves assimétricas (ou de chave pública): utiliza duas chaves
distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser
mantida em segredo por seu dono. Quando uma informação é codificada com uma das
chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para codificar
depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e
não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como um
arquivo no computador, um smartcard ou um token.
O RSA é um exemplo de método criptográfico utilizado.
CERTIFICADO DIGITAL
Associa a identidade de um titular a um par de chaves eletrônicas (uma pública e
outra privada) que, usadas em conjunto, fornecem a comprovação da identidade. Pode
ser usado em uma grande variedade de aplicações, como comércio eletrônico, Intranet,
Internet, transferência eletrônica de fundos, etc.
O Certificado Digital é emitido e assinado por uma Autoridade Certificadora
Digital (Certificate Authority), que o emite utilizando as mais avançadas técnicas de
criptografia disponíveis e de padrões internacionais (norma ISO X.509 para Certificados
Digitais).
INFORMAÇÃO DE ATRIBUTO: - informação sobre o objeto que é certificado. Em sendo
uma pessoa, dados como nome, nacionalidade, endereço, e-mail, organização, dentre
outros.
ASSINATURA DIGITAL
Os sistemas de assinatura digital podem ser divididos em:
Assinatura Biométrica
Assinatura Codificada
Assinatura Codificada: – sistemas que têm uma abordagem mais transparente. Estas
tecnologias anexam uma assinatura exclusiva codificada – algumas vezes chamada de
certificado digital – a um documento ou transação.
ASSINATURA DIGITAL
Assinatura codificada resume-se a um código que pode ser enviado juntamente
com uma mensagem que identifica de forma única o emissor da mensagem. Num
sistema com chave pública, qualquer pessoa pode cifrar uma mensagem, mas somente
o destinatário da mensagem pode decifrá-la.
Para contornar a baixa eficiência característica da criptografia de chaves
assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é
mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação
toda.
SELO DIGITAL
Serve para gerar chancelas cronológicas que associam data e hora a um
documento digital sob a forma de criptografia forte. Terá grande aplicação para fazer
prova da existência de certo documento eletrônico em determinada data.
Concretamente, como exemplo, um pesquisador pode descrever seu achado
científico em documento e selá-lo com selo eletrônico digital. Posteriormente, poderá
comprovar a antecedência de sua idéia, a despeito de publicação inédita por parte de
outros pesquisadores.
SSL - Secure Socket Layer: - foi projetado para aplicações clientes/servidor, prevenindo
intrusões não desejadas em transmissões de dados, alterações de dados, ou falsificação
de mensagens.
HTTPS - Hyper Text Transfer Protocol Secure: - é a versão segura do HTTP (Hyper Text
Transfer Protocol). Meios seguros de transferência de dados usando o protocolo HTTPS
na internet são necessários para efetuar transações online seguras, como os serviços
bancários ou compras online.
CONCLUSÃO
Apesar da Internet não ser um meio seguro, existem vários mecanismos
disponíveis para garantir que transações de comércio eletrônico sejam feitas com certa
tranquilidade.
Implementar segurança lógica utilizando protocolos de seguros, criptografia e
certificados, são passos essenciais para definir segurança básica. Acompanhar as
vulnerabilidades descobertas e atualizar o sistema operacional e todos os software
envolvidos é vital para seu comércio eletrônico.
• sessão pode incluir múltiplas conexões seguras entre o mesmo cliente e servidor;
• sessões são usadas para evitar a custosa negociação de novos parâmetros de segurança
para cada conexão;
SSL – COMPONENTES
SSL – COMPONENTES
• compressão
• criptografia
SSL – HANDSHAKE PROTOCOL - OVERVIEW
SSL – RECORD PROTOCOL – OVERVIEW DO PROCESSAMENTO
SSL – FUNCIONAMENTO RESUMIDO
• confidencialidade;
IPSec – MÓDULOS
MÓDULOS DO IPSec
• Security Policy Database (SPD) especificações de segurança aplicadas a cada pacote;
• Integridade Sim
• Autenticação Sim
• Encriptação Não
• Integridade Sim
• Não-repúdio Não
• Encriptação Sim
• Proteção contra repetição Sim
• modo de túnel - protege um pacote IP inteiro, incluindo a sua carga útil (VPN), SA entre 2
gateways ou host-gateway
IPSec - ARQUITETURA
• DOI - Domain of Interpretation, define formato do payload, tipos de trocas, conveções
para nomear informações de segurança relevante, como políticas ou algoritmos
criptográficos.
• A autenticação é aplicada aos dados do cabeçalho IPsec, bem como os dados contidos
como carga útil
ESP – MODO DE TRANSPORTE Vs. TUNELAMENTO
três passos
SA negociação
autenticação
• Fase II
• Kerberos
• Certificate
• Pre-shared Key
• Quick Mode
distribuição de chaves,
DNSKEY – exemplo:
RSIG – exemplo:
pos1.estacio.br. A 192.168.0.1
pos1.estacio.br. RISG A
ZSdfgmc78237djdfjiajfm420WDfjkru347&$3jifdhcmjijjh32450sxjuix5
O processo de assinatura é realizado off-line;
O NS recursivo recebe como resposta:
RRSet (registros consultados) +
RRSIG (assinatura do RRSet)
Checagem, executa a função hash no RRSet recebido, com a chave pública da zona
decriptografa o RRSIG. Se hash do RRSet = RRSIG decriptografado => Válido
MOTIVAÇÃO
• Não existem redes 100% seguras;
• Redes devem ser tratadas como mais seguras ou menos seguras;
Integridade
Disponibilidade
Autenticação
Wi-Fi
Principais padrões
• 802.11a (54 Mbps, 5 GHz)
MECANISMOS DE SEGURANÇA
WEP (Wired Equivalenty Privacy): Pioneiro em proteção de redes sem fio; Utiliza
algoritmo RC4 que é apontado como ponto negativo; Vetor de inicialização de 24 bits e
chave compartilhada de 40 ou 104 bits; Utiliza método de autenticação por sistema
aberto ou por uso de chave compartilhada; Obsoleto no quesito segurança.
WPA (Wi-Fi Protected Access): Corrigiu falhas e substituiu o WEP; Utiliza algoritmo RC4
com TKIP melhorando a segurança; Vetor de inicialização estendido de 24 para 48 bits;
Chave secreta entre 32 e 512 bits conhecida como PMK; Código de verificação de
mensagem (MIC) para erros no conteúdo do quadro; WPA Personal (PSK) – Utiliza chave
pré compartilhada entre AP e cliente; WPA Enterprise – Responsabilidade de
autenticação do AP é delegada a um servidor de autenticação (IEEE 802.1x/EAP).
WPA2: Utiliza algoritmo AES; Como o WPA, utiliza chaves temporárias e código de
integridade de mensagem; Como o WPA, usa tecnologia de autenticação IEEE 802.1x/EAP
ou tecnologia PSK; Não pode ser executado no mesmo hardware que roda WPA;
WPS (Wi-Fi Protected Setup): Padrão permite a configuração facilitada rede sem fio.Por
este padrão, os dispositivos podem ser adicionados a uma rede pelos seguintes modos:
PBC, PIN, NFC, UFD.
VULNERABILIDADES
WEP: Necessidade de compartilhamento da chave com todos os integrantes da rede;
Vetor de inicialização curto (24 bits) gera possibilidade de repetição em redes com muito
tráfego; Uso do algoritmo de CRC-32 para detectar erros de transmissão.
WPA2: Sujeito a ataque de negação de serviço, por não possuir proteção dos quadros de
gerenciamento e controle; Susceptível a ataques de dicionário, se o usuário PSK possuir
menos de 20 caracteres.
WPS: PIN tem apenas 8 bits numéricos. Uma falha faz roteador enviar resposta que
permite ao atacante verificar se os 4 primeiros dígitos do PIN estão corretos e de
identificar os outros 4. Com o PIN descoberto cai o número de possíveis combinações de
1 bilhão para 11.000, viabilizando um ataque de força bruta.
SEGURANÇA FÍSICA
Posicionar o AP de forma a restringir o acesso ao equipamento;
Troca do equipamento, customizar as configurações de segurança (impedir nível
inferior de segurança);
Reinicialização (RESET) do equipamento retorna às configurações default, em
geral rede aberta e as senhas de administração retornam a padrões amplamente
divulgados.
TÉCNICAS DE INVASÃO
Interrupção – invasor interrompe a passagem dos dados;
RISCOS EXTERNOS
Neste caso ocorre a ação direta do atacante para expor a vulnerabilidade.
Negação de Serviço (DoS): Tem o objetivo de tornar os recursos do sistema indisponíveis;
ARP Spoofing: Tem o objetivo de fornecer um MAC address falso para um sistema alvo
para que ele direcione o tráfego para um destino diferente do legítimo;
Associação Maliciosa (Access Point Spoofing): O atacante tem o objetivo de se passar por
um AP legítimo, fazendo com que todo tráfego dos usuários passe por ele.
Potência do sinal;
GPS
HostAP
É um módulo kernel capaz de transformar um dispositivo de rede sem fio padrão
em um AP.
Utilizado no ataque de associação maliciosa;
Kismet (http://www.kismetwireless.net)
Sniffer opensource com grande número de ferramentas.
Pode armazenar pacotes capturados em vários formatos. Gera dados relacionados
à localização aproximada do dispositivo monitorado. Disponibiliza quase todas as
informações necessárias para um atacante.
FERRAMENTAS PARA REDES SEM FIO
Backtrack (KALI)
Voltada para testes de penetração é muito utilizada por auditores. Possui mais de
300 ferramentas atualmente.
CONCLUSÃO
Redes sem fio se comunicam por meio não guiado e permitem que qualquer
dispositivo dentro do raio de propagação do sinal possa captura-lo, mesmo que não o
interprete.
Para que se possa fazer deste tipo de rede com certa tranquilidade, os mais
modernos e disponíveis recursos dos equipamentos devem ser utilizados.
Search Parameters:
• Contains Software Flaws (CVE)
• CVSS Version: 3
Raw Data
Year Qtd Total %
2006 90 6,608 1.36%
2007 108 6,514 1.66%
2008 88 5,632 1.56%
2009 117 5,732 2.04%
2010 171 4,639 3.69%
2011 152 4,150 3.66%
2012 221 5,288 4.18%
2013 277 5,186 5.34%
2014 233 7,937 2.94%
2015 430 6,488 6.63%
2016 24 1,006 2.39%
Search Parameters:
• Contains Software Flaws (CVE)
• CVSS Version: 3
Raw Data
Year Qtd Total %
2006 0 6,608 0,00%
2007 5 6,514 0.08%
2008 0 5,632 0.00%
2009 1 5,732 0.02%
2010 19 4,639 0.41%
2011 0 4,150 0.00%
2012 4 5,288 0.08%
2013 1 5,186 0.02%
2014 1 7,937 0.01%
Search Parameters:
• Contains Software Flaws (CVE)
• CVSS Version: 3
CONTAS DO USUÁRIO
• Limitar a quantidade de contas de usuários nos servidores;
POLÍTICAS DE CONTA
• Implementar políticas de senha (composição e periodicidade);
SISTEMA DE ARQUIVOS
• Conceder somente as permissões estritamente necessárias;
SERVIÇOS DE REDE
• Somente execute os serviços estritamente necessários (serviços ponto de falha);
• Não execute os serviços como usuários privilegiados;
• Serviços não utilizados não devem estar instalados ou possíveis de serem executados;
CORREÇÕES DO SISTEMA
• Manter atualizada as correções recomendadas pelo fabricante ou pelo aplicativo;
INTEGRIDADE DO SISTEMA
• Realizar auditoria para verificar a integridade do SO;
• 4.12.5. Configure o prazo de retenção dos arquivos de log para 30 dias, no mínimo.
MOTIVAÇÃO
Adianta uma super politica de senhas para os ativos de rede ( roteador, firewal etc
), se o invasor possuir acesso físico? ( recuperação de senha etc )
Qual a diferença entre ransomware (sequestro de dados), da quebra física de um
storage? ( perca da informação )
Exemplos mil, CUIDEM da infraestrutura.
INTRODUÇÃO
Conceitualmente, a infraestrutura de TI é a parte da TI que dá suporte às
aplicações que fornecem sustentação aos processos de negócio. Por esse motivo, a
superioridade e a capacidade de inovação da organização dependem muito da
infraestrutura de TI adotada (HAMEL, 2008).
Os negócios de uma organização depende muito do bom funcionamento e
segurança da infraestrutura de TI.
ISO 27002:2005
Norma de segurança apresentada pelo Brasil e elaborada no Comitê Brasileiro de
Computadores e Processamento de Dados pela Comissão de Estudo em Segurança Física,
denominada por NBR ISO/IEC 27002, que tem conteúdo equivalente ao da norma ISO/IEC
17799.
A norma apresenta em sua estrutura 11 seções de controles de segurança da
informação. Dentro de cada seção existem categorias. Ao todo existem 39 categorias
principais de segurança e uma seção introdutória que aborda a análise e o tratamento de
riscos.
As seções são as seguintes:
Política de Segurança da Informação
Organizando a Segurança da Informação
Gestão de Ativos
Controle de Acesso
Conformidade
Roubo;
Interrupção de energia;
Interrupção de comunicação;
Fenômenos climáticos;
Falha de equipamentos;
Incêndio.
Códigos maliciosos;
Vírus;
Backdoor;
Worms;
KeyLoggers;
Rootkits;
Ataques;
Negação de serviço;
Spam;
Backup;
Criptografia;
Antivírus;
Firewall;
Não acessar sites recebidos por e-mail ou presente em páginas, sem certeza da
procedência;
Climatização
Acesso
Acesso: Envolve controle de acesso físico ao ambiente e deve ser provido por diferentes
mecanismos.
Seguras com prevenção de acesso físico NÃO autorização, danos e interferências com as
instalações;
o ÁREAS SEGURAS
4. Proteção contra ameaças externas e do meio ambiente: aplicar proteção física contra
incêndios, enchentes, terremotos, explosões, perturbações de ordem pública ou outras
formas de desastres naturais ou causados pelo homem.
o SEGURANÇA DE EQUIPAMENTOS
CONCLUSÃO
As organizações não devem achar que estão seguras pelo fato de terem feito uma
análise de segurança da informação no passado e esquecerem de realizar análises
futuras.
Devem lembrar também, que o controle de acesso as instalações físicas tem tanta
importância quanto os controles lógicos de acesso aos sistemas de informações
Mobilidade
Convergência
Acesso Remoto
M-Serviços:
• M-Commerce
• M-Bank
• M-Serviços
• Smartphones
• Celulares
• etc
• Internet Banking
• E-mails
• Redes sociais
• Invasão de privacidade;
• Poder de processamento
• Reiniciar; • Redefinir.
Precauções:
1. Acordo de confidencialidade e NÃO divulgação
• Uso de ferramentas não homologadas pela TI, mas de domínio do usuário (“acha a
melhor”);
• Jogos online