Você está na página 1de 170

SEGURANA DE REDES

William da Silva Vianna Dsc Instituto Federal Fluminense

ROTEIRO

1 - Introduo; 2 - Segurana de redes e sistemas; 3 - Segurana em redes sem fio; 4 - Auditoria e anlise forense.

IFF

wvianna@iff.edu.br

INTRODUO
CONTEDO PROGRAMTICO RESUMIDO
- Conceitos bsicos da rea de segurana; - O perfil dos invasores de sistemas; - Complexidade e conhecimento; - Estatstica de incidentes de segurana; - Consideraes;

IFF

wvianna@iff.edu.br

INTRODUO Vdeo animado sobre a Internet

CGI.br- Comit Gestor da Internet no Brasil

videos/cgi-navegar-g.wmv

IFF

wvianna@iff.edu.br

INTRODUO
Desde o surgimento da Internet, a busca por melhores estratgias de segurana tem aumentado consideravelmente, tendo em vista milhares de ataques segurana da informao, causando perdas e pnico. Esses ataques tm causado prejuzos financeiros e de imagem para empresas, instituies e pessoas fsicas. Polticas de acesso e uso, firewalls, sistemas de deteco de intrusos, projetos de rede, backups, entre outros; tem sido as armas defensivas nesta guerra da informao.
IFF wvianna@iff.edu.br 5

INTRODUO Conceito de segurana de computadores


Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos bsicos relacionados aos recursos que o compem:

confidencialidade, integridade e disponibilidade.


A confidencialidade diz que a informao s est disponvel para aqueles devidamente autorizados; a integridade diz que a informao no destruda ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema esto disponveis sempre que forem necessrios.

IFF

wvianna@iff.edu.br

INTRODUO Conceito de incidente de segurana


Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. So exemplos de incidentes de segurana: * tentativas de ganhar acesso no autorizado a sistemas ou dados; * ataques de negao de servio; * uso ou acesso no autorizado a um sistema; * modificaes em um sistema, sem o conhecimento, instrues ou consentimento prvio do dono do sistema; * desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa ou provedor de acesso.
IFF wvianna@iff.edu.br 7

INTRODUO Conceito de vulnerabilidade


Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.

Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. Fonte de pesquisa - http://www.securityfocus.com/vulnerabilities

IFF

wvianna@iff.edu.br

INTRODUO Estimativas de 5 a 50 bugs/Kloc


Linhas de cdigo (Kloc) 400 17.000 40.000 10.000 7.000 35.000 1500 40.000 5.000
IFF

Sistema

Solaris 7 Netscape Estao espacial nibus espacial Boing 777 Win2000 Linux Windows XP Celular (Smart)
wvianna@iff.edu.br 9

INTRODUO Conceito de malware


Cdigo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos de programa especificamente desenvolvidos para executar aes maliciosas em um computador. Na literatura de segurana o termo malware tambm conhecido por "software malicioso". Alguns exemplos de malware so: * vrus; * worms e bots; * backdoors; * cavalos de tria; * keyloggers e outros programas spyware;
IFF

* rootkits.

wvianna@iff.edu.br

10

INTRODUO Vdeo sobre malware

CGI.br- Comit Gestor da Internet no Brasil

videos/cgi-invasores-g.wmv

IFF

wvianna@iff.edu.br

11

INTRODUO Conceitos de segurana fsica e lgica


Lgica Proteo dos dados utilizando: sistemas de software (IDS, NIDS, filtros/firewall, anti-malware, etc), senhas fortes, polticas de segurana, monitorao constante do trfego de rede, atualizao dos sistemas vulnerveis, controle de acesso lgico por permisses, etc; Fsica Arquitetura de rede segura, restrio do acesso fsico, poltica e sistemas de backup, sistemas de condicionamento do ar para os servidores, sistema de fornecimento de energia eltrica initerrupta (geradores e no-breaks), etc.
IFF wvianna@iff.edu.br 12

INTRODUO Conceitos de segurana fsica e lgica


Segurana fsica

IFF

wvianna@iff.edu.br

13

INTRODUO O perfil dos invasores de sistemas

Script Kid - o principiante que aprendeu a usar alguns programas prontos para descobrir senhas ou invadir sistemas (receitas de bolo), entrou num provedor de fundo de quintal e j acha que vai conseguir entrar nos computadores da Nasa. Tambm conhecido como Lammer; Larva - este j est quase se tornando um hacker. J consegue desenvolver suas prprias tcnicas de como invadir sistemas;

IFF

wvianna@iff.edu.br

14

INTRODUO O perfil dos invasores de sistemas


Lammer - indica uma pessoa que acredita que um hacker (decifrador), demonstra grande arrogncia, no entanto sabe pouco ou muito pouco e geralmente malicioso. Utilizam ferramentas criadas por Crackers para demonstrar sua suposta capacidade ou poder, na inteno de competir por reputao, no entanto so extremamente inconvenientes para convvio social, mesmo com outros hackers. Algumas pessoas acreditam que essa uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade.
IFF wvianna@iff.edu.br 15

INTRODUO O perfil dos invasores de sistemas


Newbie, Noob ou a sigla NB - vem do ingls "novato". Indica uma pessoa aprendiz na rea, ainda sem muita habilidade, porm possui uma sede de conhecimento notvel. Pergunta muito, mas freqentemente ignorado ou ridicularizado por outros novatos que j saibam mais do que ele (ao contrario dos lammers que so ridicularizados por todos). Hackers experientes normalmente no ridicularizam os novatos, por respeito ao desejo de aprender - no entanto, podem ignor-los por falta de tempo ou pacincia.
IFF wvianna@iff.edu.br 16

INTRODUO O perfil dos invasores de sistemas

Phreaker - corruptela do ingls "freak" que significa "maluco", essencialmente significa a mesma coisa que o original "hacker", no entanto um decifrador aplicado area de telefonia (mvel ou fixa). No uso atual, entende-se que um Hacker modifica computadores, e um Phreaker modifica telefones. Os Phreakers tambm se enquadram no conceito de White hat ou Black hat.
IFF wvianna@iff.edu.br 17

INTRODUO O perfil dos invasores de sistemas


Hacker - tem conhecimentos reais de programao (geralmente C, C++ e Assemble) e de sistemas operacionais, principalmente o Unix, o mais usado nos servidores da Internet. Conhece as falhas de segurana dos sistemas e procura achar novas. Desenvolve suas prprias tcnicas e desprezas as "receitas de bolo". Dificilmente divulga seus conhecimentos. Infelizmente este termo utilizado de forma pejorativa, o verdadeiro Hacker conhece o sistema operacional e trabalha para resolver problemas e no cri-los;
IFF wvianna@iff.edu.br 18

INTRODUO O perfil dos invasores de sistemas


White hat (hacker tico) o hacker interessado em segurana. Utiliza os seus conhecimentos na explorao e deteco de erros de concepo, dentro da lei. A atitude tpica de um white hat assim que encontra falhas de segurana a de entrar em contacto com os responsveis pelo sistema e informar sobre o erro, para que medidas sejam tomadas. Hackers white hats ministram palestras (ou aulas em universidades) sobre segurana de sistemas, e at trabalhando dentro de empresas para garantir a segurana dos dados.
IFF wvianna@iff.edu.br 19

INTRODUO O perfil dos invasores de sistemas


Gray hat - Tem as habilidades e intenes de um hacker de chapu branco na maioria dos casos, mas por vezes utiliza seu conhecimento para propsitos menos nobres. Um hacker de chapu cinza pode ser descrito como um hacker de chapu branco que s vezes veste um chapu preto para cumprir sua prpria agenda. Hackers de chapu cinza tipicamente se enquadram em outro tipo de tica, que diz ser aceitvel penetrar em sistemas desde que o hacker no cometa roubo, vandalismo ou infrinja a confidencialidade.
IFF wvianna@iff.edu.br 20

INTRODUO O perfil dos invasores de sistemas

Black hat - (cracker ou dark-side hacker), indica um hacker criminoso ou malicioso, comparvel a um terrorista. Em geral so de perfil abusivo ou rebelde, muito bem descritos pelo termo "hacker do lado negro" (uma analogia srie de filmes Star Wars). Geralmente especializado em invases maliciosas e silenciosas, so os hackers que no possuem tica. Invade sistemas afim de dar problemas algo ou algum.
IFF wvianna@iff.edu.br 21

INTRODUO O perfil dos invasores de sistemas

Cracker - do ingls "quebrador", originalmente significa algum que "quebra" sistemas. Hoje em dia, pode tanto significar algum que quebra sistemas de segurana na inteno de obter proveito pessoal (como por exemplo modificar um programa para que ele no precise mais ser pago), como tambm pode ser um termo genrico para um Black Hat.

IFF

wvianna@iff.edu.br

22

INTRODUO O perfil dos invasores de sistemas

Warez - Primariamente se refere ao comrcio ilegal (pirataria) de produtos com direitos autorais. Este termo geralmente se refere a disponibilizao por meio de grupos organizados, fazendo o uso das redes peer-to-peer, do compartilhamento de arquivos (ficheiros) entre amigos ou entre grandes grupos de pessoas com interesses similares.

IFF

wvianna@iff.edu.br

23

INTRODUO O perfil dos invasores de sistemas

Virii o especialista em desenvolver vrus para computador. Guru ou Coder - o supra-sumo dos hackers, usa seus conhecimentos para o bem. No persegue, pelo contrrio, sofre a perseguio.

IFF

wvianna@iff.edu.br

24

INTRODUO O perfil dos invasores de sistemas


Phishing - Em computao, phishing uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sensveis, tais como senhas e nmeros de carto de crdito, ao se fazer passar como uma pessoa confivel ou uma empresa enviando uma comunicao eletrnica oficial, como um correio ou uma mensagem instantnea. O termo Phishing surge cada vez mais sofisticadas artimanhas para "pescar" (do ingls fish) as informaes sensveis dos usurios. Tipos de mensagens eletrnicas utilizadas: roubo de identidade, roubo de informaes bancrias e recados no Orkut ("scraps").
IFF wvianna@iff.edu.br 25

INTRODUO O perfil dos invasores de sistemas;


Spammer - autor do envio em massa de mensagens no-solicitadas. Geralmente maliciosas. Os tipos mais comuns so: - Propagandas (spam); - Boatos (hoaxes); - Correntes (chain letters); - Golpes (scam); - Estelionato (phishing); - Programas maliciosos (Vrus, Worms, Cavalos de Tria, keylogger, screenlogger); - Ofensivos.
IFF wvianna@iff.edu.br 26

INTRODUO Vdeo sobre spam

CGI.br- Comit Gestor da Internet no Brasil

videos/cgi-spam-g.wmv

IFF

wvianna@iff.edu.br

27

INTRODUO Complexidade versus conhecimento

IFF

wvianna@iff.edu.br

28

INTRODUO Incidentes reportados ao CERT.br

IFF

wvianna@iff.edu.br

29

INTRODUO Proxy aberto - CERT.br


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Telemar Norte Leste Telesp Brasil Telecom Global Village Telecom NET Servicos de Comunicacao Vivax Claro Vivo CTBC Telecom Embratel Tim Celular Way TV Belo Horizonte Telefonica Data LocaWeb Acom Comunicacoes

Agosto 2009

IFF

wvianna@iff.edu.br

30

INTRODUO Tipos de ataques acumulados Jan-Mar2009

IFF

wvianna@iff.edu.br

31

INTRODUO Incidentes reportados ao CAIS - RNP

IFF

wvianna@iff.edu.br

32

INTRODUO Consideraes

Segurana da informao tem que ser considerao permanente de qualquer projeto de TI; No existe segurana absoluta; A segurana sempre uma questo de economia; A segurana antagnico ao desempenho; O atacante no passa pela segurana, mas em torno dela; Organize suas defesas em camadas; uma m idia contar com a segurana por meio da obscuridade; Mantenha a coisa simples; Se no usado um programa ou protocolo, no importa se eles tm vulnerabilidades; Informaes sobre (in)segurana so abundantes; A situao tende a ficar cada vez pior !
wvianna@iff.edu.br 33

IFF

INTRODUO Vdeo sobre defesa para clientes da Internet

CGI.br- Comit Gestor da Internet no Brasil

videos/cgi-defesa-g.wmv

IFF

wvianna@iff.edu.br

34

SEGURANA DE REDES E SISTEMAS

CONTEDO PROGRAMTICO RESUMDO


- Etapas de um ataque; - Tipos de ataque; - Riscos, ameaas e vulnerabilidades; - Fontes de (in)segurana; - Medidas de segurana.

IFF

wvianna@iff.edu.br

35

PR-REQUISITOS BSICOS DESEJVEIS


1 - Sistemas operacionais - Comandos bsicos GNU/Linux; - Gerenciamento de processos; - Estrutura de diretrios; 2 Protocolos - Endereamento IPv4; - Roteamento IPv4; - Noes de TCP e UDP (diferenas, portas, flags); - Noes de ICMP; 3 Equipamentos de rede - Funcionamento bsico do Switch, HUB, roteador, AP.
IFF wvianna@iff.edu.br 36

SEGURANA DE REDES E SISTEMAS


Etapas de um ataque

As tcnicas utilizadas para se planejar um ataque, so:

Footprinting Obteno de informaes

Scanning Identificao de servios ativos

Enumeration Identificao dos recursos que fornecem os servios

IFF wvianna@iff.edu.br 37

SEGURANA DE REDES E SISTEMAS


Footprinting

Footprinting refere-se ao ato de coletar informaes sobre o sistema alvo. Um atacante sempre ir recolher o mximo de informaes importantes sobre todos os aspectos de segurana de uma organizao. Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informaes de uma grande variedade de fontes e compilar esse Footprinting. Alguns recursos disponveis:

IFF

www.internic.net whois.nic.gov www.google.com www.registro.br


wvianna@iff.edu.br 38

SEGURANA DE REDES E SISTEMAS


Footprinting
Exemplos de ferramentas: Consulta do DNS e bases Whois; dig; nslookup; whois; rndc; Maltego; Consutla de rotas; Traceroute; Cheops;
IFF wvianna@iff.edu.br 39

SEGURANA DE REDES E SISTEMAS


Scanning

O scanning tenta identificar os servios ativos:


Identificam servios TCP/UDP; Arquitetura do sistema (Sparc, Alpha, x86); Faixas de IPs. Ping sweeps; Port scans; Identificao de sistemas operacionais.
wvianna@iff.edu.br 40

Tcnicas utilizadas:

IFF

SEGURANA DE REDES E SISTEMAS


Scanning

Exemplos de ferramentas: Mquinas ping; nmap; Cheops; Sistema operacional nmap; Cheops;
IFF wvianna@iff.edu.br 41

SEGURANA DE REDES E SISTEMAS


Ennumeration

Processo de extrair dos sistemas alvos contas vlidas, recursos que esto expostos, falta de pathing; mais intrusivo que o footprinting e o scanning; Tcnicas:

IFF

Coletas de nomes de usurios e grupos; Banners de sistemas; Tabelas de roteamento; Informaes SNMP;
wvianna@iff.edu.br 42

SEGURANA DE REDES E SISTEMAS


Ennumeration
Exemplos de ferramentas: Servios Mquinas nmap; nmap; Nessus; Cheops; Sara; Sistema operacional Telnet nmap; (banner); Cheops; Vulnerabilidades Nessus; Retina; wvianna@iff.edu.br Sara;

IFF

43

SEGURANA DE REDES E SISTEMAS


Ennumeration
Exemplos de ferramentas: Contas (login e senha) Sniffers rede local Tcpdump; Ethereal; Ethercap; Etterape; MsnShadow; SPY; John; Brutus; Cain; SpyArsenal (KL); All In One (KL) SI Advanced (KL) Ardamax (KL) GPCS (SL) ScreenLogger (SL)
44

IFF

wvianna@iff.edu.br

SEGURANA DE REDES E SISTEMAS


Tipos de Ataques

Footprinting Explorao de Bugs BackDoors Arp cache poisoning Denial of Service ( DoS ) Distributed Denial of Service ( DDoS ) SYN Flooding Syn sniping Ping of death Buffer overflow Stack overflow
IFF

Smurf Attacks IP Spoofing IP sequence prediction IP fragementation Flooding Port Scanners Password Crackers Hijacking Attacks Phishing Pharming DNS Botnet
45

wvianna@iff.edu.br

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (1/11)

Denial Of Service - DOS

O objetivo principal de ataques do tipo DoS, bastante simples: indisponibilizar servidores de rede. Os ataques DoS afetam diretamente a implementao do IP, o que os torna mais hostis, uma vez que a implementao do IP varia muito pouco de plataforma para plataforma.

IFF

wvianna@iff.edu.br

46

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (2/11) Distributed Denial of Service
Agente

Vtima Internet Atacante Master

Agentes
IFF wvianna@iff.edu.br 47

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (3/11) SYN Flooding

Conexo SYN - Estabelecimento de conexo em 3 etapas do TCP: 1) SYN enviado do cliente 2) SYN/ACK enviado do servidor 3) ACK enviado do cliente Cliente Servidor

IFF

wvianna@iff.edu.br

48

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (4/11) Hijacking Attack

O sequestro ( hijacking ) de TCP oriundo de um descuido fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execuo de comandos em um host remoto. Existem produtos disponveis na Internet que colocam a teoria do hijacking em prtica, como o Juggernaut e o Hunt.

IFF

wvianna@iff.edu.br

49

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (5/11) Smurf Attack
Pacote ICMP ECHO falsificado contendo IP v;alido na rede da vtima Conexo RDSI

INTERNET Atacante Rede Amplificadora


Link T3 de 45 mbps

Rede da vtima
Link T1 de 1,544 mbps

IFF

wvianna@iff.edu.br

50

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (6/11) IP Spoofing
Atacante

INTERNET

Confivel com atacante Sobrecarga em Y Origem forjada em Y Pedido de conexo

Host Y
IFF wvianna@iff.edu.br

Host X
51

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (7/11) Port Scanning o processo de se conectar a portas TCP e UDP do sistema-alvo para determinar quais servios esto sendo executados ou em estado de escuta. Pode identificar o tipo de sistema operacional do sistema-alvo. Identifica aplicativos ou verses especficas de um servio em particular.
IFF wvianna@iff.edu.br 52

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (8/11) Tcnicas de Port Scannings

Existem vrias tcnicas empregas para realizao do scanning no dispositivo alvo. So elas:

TCP Connect() ou Dumb Scan TCP SYN Scan ou Half Scan UDP Scan Stealth Scan Null Scan FIN Scan Xmas Tree ICMP ou Ping Sweep RPC Scan FTP Proxy ou bounce Scan
wvianna@iff.edu.br 53

IFF

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (9/11) Sniffers Sniffers ou analisadores de trfego como tambm so conhecidos, so dispositivos que capturam os pacotes que esto trafegando pela rede. Estes analisadores, a princpio, podem ser utilizados para analisar o trfego de rede e identificar reas que esto sofrendo com problemas de trfego. Devem trabalhar em promiscous mode

IFF wvianna@iff.edu.br 54

SEGURANA DE REDES E SISTEMAS

Alguns tipos de ataque (10/11) Password Crackers Password Crackers so ferramentas de simulao que empregam os mesmos algoritmos usados na criptografia de senhas. Estas ferramentas executam anlises comparativas para checar a validao das senhas.

IFF

wvianna@iff.edu.br

55

SEGURANA DE REDES E SISTEMAS


Alguns tipos de ataque (11/11)

Buffer Overflow (estouro de buffer)


uma tcnica utilizada para explorar bugs que geram vulnerabilidade. Ocorre quando um programa ou processo armazena mais dados no buffer (rea temporria para armazenamento de dados) do que o previsto. O buffer criado para conter uma quantidade finita de dados. Quando esta rea ultrapassada ocorre o estouro possibilitando o desvio do programa para operaes no previstas. Esta tcnica pode ser utilizada pelos atacantes para executar programa indevidamente em clientes e at mesmo servidores.
wvianna@iff.edu.br 56

IFF

SEGURANA DE REDES E SISTEMAS


Riscos, ameaas e vulnerabilidades (1/2)
Riscos ao Hardware: BIOS USB devices Cell phones Removable storage Network attached storage
ActiveX Java Scripting Browser Buffer overflows Cookies SMTP open relays Instant messaging P2P Input validation

Riscos s aplicaes: Riscos aos protocolos:


TCP/IP hijacking Null sessions Spoofing Man-in-the-middle Replay DOS DDOS Domain Name Kiting DNS poisoning ARP poisoning

Ameaas como: Privilege escalation Virus Worm Trojan Spyware Spam Adware Rootkits Botnets Logic bomb
IFF

Cross-site scripting (XSS)

wvianna@iff.edu.br

57

SEGURANA DE REDES E SISTEMAS


Riscos, ameaas e vulnerabilidades (2/2)

Fsicas Physical access logs/lists Hardware locks Physical access control ID badges Door access systems Man-trap Physical tokens Video surveillance camera types and positioning

Dispositivos Privilege escalation Weak passwords Back doors

Autenticao Biometric reader RADIUS RAS LDAP

Default accounts Remote access policies DOS Remote authentication


VPN Kerberos CHAP PAP Mutual 802.1x

IFF

wvianna@iff.edu.br

TACACS

58

SEGURANA DE REDES E SISTEMAS


As fontes de (in)segurana
http://www.sans.org http://www.securityfocus.com http://www.cert.org http://www.us-cert.gov http://nvd.nist.gov/home.cfm http://www.first.org/ http://cve.mitre.org/ http://xforce.iss.net/ http://www.securiteam.com www.insecure.org http://www.wirelessve.org/ http://packetstormsecurity.org http://www.milw0rm.com/ http://www.securiteam.com/exploits http://insecure.org/sploits.html http://www.c4ads.org http://www.nsa.gov/SNAC/ http://www.gocsi.com/ http://www.technewsworld.com/perl/sectio n/security

IFF

wvianna@iff.edu.br

59

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (1/17)
Definio da poltica de segurana e poltica de uso aceitvel;

Elaborao de uma arquitetura de rede segura; Elevao do nvel de segurana dos hosts;

Monitorao contnua do trfego da rede e dos servios;

Definio de testes peridicos procura de vulnerabilidades.

IFF

wvianna@iff.edu.br

60

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (2/17)
Algumas caracterstica da polticas de segurana e poltica de uso.

Definir regras para evitar a quebra de uma ou mais de suas trs propriedades fundamentais: confidencialidade, integridade e disponibilidade.

Atribui direitos e responsabilidades s pessoas que fazem uso dos recursos.

Definir direitos e responsabilidades do provedor dos recursos.

Especificar aes previstas em caso de violao da poltica.

IFF

wvianna@iff.edu.br

61

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (3/17)
Arquitetura de rede segura, na medida do possvel, deve contemplar:

Least Privilege; Choke Point; Defense In Depth; Weakest Link; Fail Safe; Universal Participation; Diversity of Defense; Simplicity; Type Enforcement (permisso).
wvianna@iff.edu.br 62

IFF

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (4/17)
Firewall
O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurana. Os componentes bsicos para a construo de um firewall so: Packet Filters: so responsveis pela filtragem (exame) dos pacotes que trafegam entre dois segmentos de rede.

Bastion Host: computador responsvel pela segurana de um ou mais recursos (servios) da rede.

IFF

wvianna@iff.edu.br

63

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (5/17)
Filtro de pacotes (Packet Filters):

Hardware; Software de interao (http://www.netfilter.org/); IPTables - Linux 2.4 e 2.6. IPChains - Linux 2.2 e 2.4. IPFWADM - Linux 2.0.

O filtro de pacotes apenas um dos elementos do Firewall.

IFF

wvianna@iff.edu.br

64

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (6/17)
Algumas distribuies GNU/Linux criadas especialmente para implementar firewall de rede:

Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall, IPCop Firewall, Linux LiveCD Router, m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e Vyatta
IFF wvianna@iff.edu.br 65

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (7/17)
Algumas arquiteturas de Firewall. Esquema de atuao de um Screening Router.

IFF

wvianna@iff.edu.br

66

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (8/17)
Algumas arquiteturas de Firewall. Esquema de uma arquitetura Sreened Subnet.

IFF

wvianna@iff.edu.br

67

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (9/17)
Algumas arquiteturas de Firewall. Esquema da arquitetura Screened Subnet utilizando um nico roteador.

IFF

wvianna@iff.edu.br

68

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (10/17)
Algumas arquiteturas de Firewall. Esquema da arquitetura Screened Host.

IFF

wvianna@iff.edu.br

69

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (11/17)
Elevao do nvel de segurana dos hosts:

IFF

Particionamento adequado dos discos rgidos dos servidores; Desativao de servios desnecessrios; Definio de senhas seguras; Atualizao peridica dos servidores; Equipamentos e procedimentos Backup; Leitura peridica de logs; Configurao de filtragem de pacotes nos servidores; Definio da administrao remota segura; Controle de acesso a proxies WEB; Controle de acesso a sites indesejados; Remoo de shell desnecessrios; Segurana fsica dos servidores; Servidor de e-mail com antivrus, antispam, relay fechado.
wvianna@iff.edu.br

70

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (12/17)
Tcnicas de defeco de intruso.

IDS Sistemas de Deteco de Intruso Monitorao do sistema de arquivos: Tripwire; Aide. HoneyPot (pote de mel) DTK; PortSentry; NIDS Sistema de Rede para Deteco de Intruso

Snort.
IFF wvianna@iff.edu.br 71

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (13/17) LOGHOST
Um LogHost centralizado um sistema dedicado coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositrio redundante de logs.

IFF

wvianna@iff.edu.br

72

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (14/17)

Leitura de Logs: /var/log/messages /var/log/secure /var/log/maillog /var/log/xferlog last lastlog Outras formas de monitorao de logs: Logcheck LogWatch Colorlogs
wvianna@iff.edu.br 73

IFF

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (15/17)

Logs de comandos do Shell; .bash_history Deteco de sniffers; AntiSniff Deteco de rootkits; Aide; Chrootkit; Tripware; Rkhunter; Kem_check; Lsat; Sam Hain; Lynis; Prelude.

IFF

wvianna@iff.edu.br

74

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (16/17)

Verificar o que esta sendo executado: ps aux netstat vat lsof fuser av porta/protocolo who w

IFF

wvianna@iff.edu.br

75

SEGURANA DE REDES E SISTEMAS


Medidas de segurana (17/17)
Monitorao contnua do trfego da rede e dos servios. MRTG; Sarg; Webalizer; Snort; Nagios; Driftnet; Etherape; AutoScan. Definio de testes peridicos procura de vulnerabilidades. Nessus; Retina.
IFF wvianna@iff.edu.br 76

SEGURANA DE REDES SEM FIO


CONTEDO PROGRAMTICO RESUMIDO - Noes de rdio frequncia; - Auditoria de redes sem fio; - Ataques a redes sem fio; - Trfego 802.11: conceitos, anlise e captura; - Metodologias de auditoria; - Ferramentas de auditoria; - Sistemas de Deteco de Intrusos (IDS) em redes WLAN; - Implementao de WLAN domstica e corporativa com maior nvel de sergurana;
IFF wvianna@iff.edu.br 77

PR-REQUISITOS BSICOS DESEJVEIS

1 - Sistemas operacionais Comandos bsicos GNU/Linux; Instalao e compilao de programas GNU/Linux; 2 Protocolos Noes: IP, TCP, UDP, ICMP; Noes de protocolos e servios.

IFF

wvianna@iff.edu.br

78

SEGURANA DE REDES SEM FIO Classificao das redes sem fio


So muitas e diversas, mas normalmente classificadas por sua rea de cobertura:

WWAN 3G, IEEE 802.20, EV-DO/EV-DV; WMAN WiMAX, baseado no padro IEEE 802.16.

WLAN Baseado em IEEE 802.11, produtos certificados como Wi-Fi (Foco do curso);

WPAN Bluetooth (IEEE 802.15) e IR (Infrared) .


wvianna@iff.edu.br 79

IFF

SEGURANA DE REDES SEM FIO Fundamentos de radiofreqncia


Sinais de corrente alternada (AC) de alta freqncia. Irradiados pelo ar na forma de ondas de rdio com o auxlio de antenas. Ondas se propagam seguindo certos princpios de fsica que abordaremos nesta Sesso de Aprendizagem. Propagao das ondas depende do tipo de antena: Omnidirecional Semidirecional Altamente direcional
IFF wvianna@iff.edu.br 80

SEGURANA DE REDES SEM FIO Fundamentos de radiofreqncia


Propagao inconsistente. Interferncias externas. Comportamento: Diferenas de impedncia entre cabos e conectores causa perda de sinal Ganho e perda de sinal Reflexo, refrao, difrao, espalhamento

IFF

wvianna@iff.edu.br

81

SEGURANA DE REDES SEM FIO Fundamentos de radiofreqncia


Ganho Unidade: dBi Aumento na amplitude de um sinal de RF Normalmente um processo ativo, mas pode ser passivo por sinais refletidos Perda Diminuio na fora de um sinal RF inversamente proporcional distncia percorrida Diversos fatores podem causar perda

IFF

wvianna@iff.edu.br

82

SEGURANA DE REDES SEM FIO WLAN - Freqncias utilizadas no Brasil

IFF

wvianna@iff.edu.br

83

SEGURANA DE REDES SEM FIO Padres


Padres IEEE Camada fsica (PHY) 802.11 2.4GHz 802.11a 54Mbps a 5GHz 802.11b 11Mbps a 2.4GHz 802.11g 54Mbps a 2.4GHz 802.11n 600Mbps a 2.4GHz

IFF

wvianna@iff.edu.br

84

SEGURANA DE REDES SEM FIO Padres


Outros padres IEEE 802.11 Padres importantes 802.11i Melhorias para segurana (CCMP e TKIP) 802.11k Radio Resource Management 802.11m Corrects and clarifications to IEEE 802.111999 802.11p Wireless Access in Vehicular Environments (WAVE) 802.11r Fast Roaming 802.11s Wireless Mesh Networks 802.11t Wireless Performance Prediction 802.11u Internetworking with External Networks 802.11v Wireless Network Management
IFF wvianna@iff.edu.br 85

SEGURANA DE REDES SEM FIO Padres


Outros padres IEEE Outros padres 802.11c Bridge Operation Procedures 802.11d Operao sob outras Regulaes 802.11e QoS e Multimdia 802.11h Spectrum and Transmit Power 802.11j Operao no Japo a 4.9 e 5.1GHz 802.11p Wireless Access in Vehicular Environments (WAVE) 802.11w Protection of Management frames 802.11y Novo padro para a banda 3.65-3.7GHz ISM

IFF

wvianna@iff.edu.br

86

SEGURANA DE REDES SEM FIO Padres


Outros padres IEEE Outros padres 802.11c Bridge Operation Procedures 802.11d Operao sob outras Regulaes 802.11e QoS e Multimdia 802.11h Spectrum and Transmit Power 802.11j Operao no Japo a 4.9 e 5.1GHz 802.11p Wireless Access in Vehicular Environments (WAVE) 802.11w Protection of Management frames 802.11y Novo padro para a banda 3.65-3.7GHz ISM

IFF

wvianna@iff.edu.br

87

SEGURANA DE REDES SEM FIO WLAN equipamentos e acessrios (1/2)

AP

Access Point Elemento-chave de uma WLAN Ponto de acesso rede cabeada Principais modos Root (padro) Repeater Bridge

IFF

wvianna@iff.edu.br

88

SEGURANA DE REDES SEM FIO WLAN equipamentos e acessrios (2/2)

AP

Broadband Routers versus Access Point;

Opes tpicas:

Potncia ajustvel; Firewall bsico; Antenas destacveis; Filtro por MAC; Servidor DHCP para WLAN e LAN (portas RJ-45); Atualizao de Firmware.

IFF

wvianna@iff.edu.br

89

SEGURANA DE REDES SEM FIO Configurao de clientes

Windows

Plataforma nativa de praticamente todas as interfaces Wireless Zero Configuration Service (WZCSVC) Sem suporte a RFMON - captura de quadros 802.11 de gerenciamento Esquemas mais comuns Autenticao: WEP (inseguro), WPA, WPA-PSK, WPA2, WPA2-PSK Criptografia: TKIP (WPA), AES (WPA2) EAP Types: PEAP (PEAPv0/EAP-MSCHAPv2), EAP-TLS

IFF

wvianna@iff.edu.br

90

SEGURANA DE REDES SEM FIO Configurao de clientes


Windows Lembretes Desativar WZCSVC, caso opte por controlar a interface pelo servio do fabricante Restringir associaes a redes de infra-estrutura ou ad-hoc (Advanced)

IFF

wvianna@iff.edu.br

91

SEGURANA DE REDES SEM FIO Configurao de clientes

Linux

Outra histria Drivers ainda constituem um problema Chipsets melhor suportados por drivers e ferramentas: Prism, Orinoco, Atheros, Ralink e TI (nesta ordem) Demais chipsets: Suporte muitas vezes parcial Sem o modo RFMON

IFF

wvianna@iff.edu.br

92

SEGURANA DE REDES SEM FIO Configurao de clientes

Linux

Drivers Hostap chipset Prism wlan-ng MADWIFI chipset Atheros Wavelan chipset Orinoco Ndiswrapper instalao de driver Windows (.INF) sob Linux Utilitrios Wireless Tools (WT) iwconfig, iwlist, iwspy, iwpriv, ifrename

IFF

wvianna@iff.edu.br

93

SEGURANA DE REDES SEM FIO Configurao de clientes

Definio dos parmetros de WLAN

Linux iwconfig - canal, SSID, modo, chave, taxa de transmisso modo master: primeiro passo para transformar uma estao em um AP Windows WZCSVC - associao ao AP simplificada

IFF

wvianna@iff.edu.br

94

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (1/10)

Estima-se que, em 2006, 70% dos ataques bemsucedidos contra Access Points e clientes de WLANs ocorram devido m configurao (Gartner, 2004). Os ataque so favorecidos devido a concepes erradas sobre segurana em redes sem fio. O fato de no entender as vulnerabilidades ou de assumir que a rede est segura por si s constitui um risco.

IFF

wvianna@iff.edu.br

95

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (2/10)

Concepes erradas

Uso filtro por endereos MAC WEP melhor que nada Uso WPA-PSK, estou seguro Ningum encontrar minha rede wireless

IFF

wvianna@iff.edu.br

96

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (3/10)

Concepes erradas (continuao)

Ataques DoS exigem equipamentos caros, de acesso difcil Estamos seguros porque usamos autenticao/criptografia Segregamos nossa WLAN No temos redes sem fio em nossa empresa Temos firewall Ningum nos invadiria

IFF

wvianna@iff.edu.br

97

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (4/10)

Segurana fsica

No h segurana fsica. Conter a abrangncia de uma rede sem fio muito difcil. Lugares de ataque mais comuns: prdios vizinhos, apartamentos vizinhos, lobbies. Vazamento de sinal Qualidade para capturar sinal longa distncia Qualidade para associao curta distncia

IFF

wvianna@iff.edu.br

98

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (5/10)

Segurana fsica Wardriving

Wardriving termo cunhado por Peter M Shipley em 1999. Busca por redes sem segurana.

IFF

wvianna@iff.edu.br

99

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (6/10)

Segurana fsica Piggybacking

Termo em ingls para conexo em redes sem fio alheias. Prtica comum: vizinhos, viajantes. Eu no acho que isto seja roubar Consenso: se o dono do AP habilitou segurana (mesmo WEP), ento no quer conexes de estranhos. Outros problemas:

Uso para golpes na Internet, para pedofilia assinante do servio o culpado aparente Cotas de download prejuzo financeiro para o vizinho
wvianna@iff.edu.br 100

IFF

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (7/10)

Divulgao de informaes

WLAN = LAN com hub Com criptografia ou no, o trfego pode ser capturado No necessrio se associar ao AP para capturar Depende da combinao entre distncia e ganho da antena

IFF

wvianna@iff.edu.br

101

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (8/10)

Negao de servio

Denial of Service (DoS) Trs categorias Ataques ao meio RF Jamming Fraquezas de 802.11 ataques deauth Vulnerabilidades no firmware dos clientes Segurana = Confidencialidade, Integridade e Disponibilidade.

IFF

wvianna@iff.edu.br

102

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (9/10)

Access points Rogue

Usurios bem intencionados ligam APs mal configurados rede cabeada Mudana inadvertida no permetro da rede Firewall corporativo defende do lado errado Solues Polticas Monitoramento Auditoria

IFF

wvianna@iff.edu.br

103

SEGURANA DE REDES SEM FIO Ataques a redes sem fio (10/10)

Outros ataques

Redes domsticas e Hotspots Explorao de vulnerabilidades do sistema operacional Worms que se propagam pelas camadas PHY e MAC Filtros de camada 3 e 4 sem utilidade Possibilidade futura Worm Cabir celulares Bluetooth

IFF

wvianna@iff.edu.br

104

SEGURANA DE REDES SEM FIO Wardriving Campos (1/5)


Batalho da PM (Fundos) Marechal Floriano (Ouvidor) 21 de Abril Praa So Salvador Alberto Torres Gil de Gois (Liceu) Baro de Miracema Av. Pelinca Formosa Felipe Webe Alberto Lamego (UENF)
IFF wvianna@iff.edu.br 105

Foram detectados 280 equipamentos AP/Router Wardriving realizado entre 10:00 e 10:34 do dia 31/10/2008

SEGURANA DE REDES SEM FIO


Wardriving - Campos - ESSID BSSID (2/5)
ZPlus-G120 00:05:9E:83:EB:D9 WRLS-ETC 00:1B:11:E6:04:43 WLW 00:19:5B:4B:B4:55 WLMB 00:1B:11:6C:D4:AC WLAN_19 00:1D:19:26:38:1B WizardLan 00:1D:7E:F5:A3:52 WireSic_Serasa 00:1E:58:09:E0:DE Wireless-RHPM 00:0E:2E:C0:EC:CA Wireless da Larissa 00:1E:58:0D:3C:68 WIPEER 92:08:EF:51:A2:C6 Wi-Fi_PBSACORP 00:15:70:97:39:F0 WIFI 00:E0:4C:F5:8B:BD W+Midia 00:1B:11:3A:F6:6F Vitor Ferreira 00:1B:11:91:FE:4E Vip Car 00:1B:11:A5:C5:26 V-IMPERIAL 00:1D:0F:EC:95:FE Vieira_Wireless 00:1C:F0:AD:B4:E3 VIDAELUZ 00:1B:11:61:0E:13 VICTORWIRELESS 00:1B:11:3A:F1:1B Vanessa Braga 00:1A:3F:48:C5:38 Valeria_casa 00:1E:58:09:B0:60 UNNUS_4 00:15:6D:50:11:5A UNNUS_3 00:15:6D:50:11:5E UNNUS_2 00:15:6D:50:11:45 UNNUS_1 00:15:6D:50:11:49 Unicampos 00:17:9A:00:DA:12 TV LITORAL ESCRITORIO 00:13:46:36:E8:75 TrojanHorse 00:1A:C1:38:1D:34 Trindade 00:17:9A:4B:B3:A9 trindade 00:1C:F0:85:8A:EA TP-LINK 00:19:E0:A3:59:00 TP-LINK 00:1D:0F:D1:7A:70 TP-LINK 00:1D:0F:D1:7A:98 TP-LINK 00:1D:0F:ED:72:C2 TESTE 00:1B:11:69:2A:B1 tecnose 00:40:F4:FB:63:69 TATIEBRUNO 00:19:5B:00:26:A7 SuperPoderosas 00:1B:11:D5:2A:09 SMoto 00:0E:2E:8D:4D:50 Sobre 00:1B:11:4B:6E:6F SMC 00:13:F7:7F:61:57 Siqueira 00:1B:11:3C:E8:91 sarta 00:13:46:7A:DD:B6 Santostec 00:18:E7:1F:83:E1 Santostec 00:1B:11:F4:BD:28 Samurai 00:1C:F0:EA:8C:47 Salute2 00:12:0E:95:C8:45 SAGRES_BEER 00:18:E7:21:4A:7C Router 00:1B:11:91:BB:FE RLM Advogados 00:1E:58:37:EB:2F REDE004 00:E0:4C:FD:59:C5 Rede Sem Fio 00:1E:58:0D:50:90 Rede Igor 00:1E:58:2D:9D:4D RCR 00:17:9A:F1:AB:19 Ramos 00:1E:E5:5D:BF:15 previcpswi-fi 00:17:9A:83:20:5D previcpswi-fi 00:17:9A:83:20:7A Ppaes 20:03:7F:1F:12:C1 Portal 00:13:46:F0:E0:30 POP-SLT1 00:0C:42:0C:54:33 POP-S3 00:12:0E:2D:B3:68 POP-PLCH 00:12:0E:96:B4:4D POP-PLC 00:02:2D:51:31:3A POP-OPC2 00:12:0E:48:11:A9 POP-OPC 00:02:2D:61:77:FB POP-MTC 00:12:0E:48:0F:E7 POP-FMO 00:12:0E:59:E6:68 POP-DM 00:12:0E:78:2F:6C POP-CDT2 00:12:0E:9C:41:B6

IFF

wvianna@iff.edu.br

106

SEGURANA DE REDES SEM FIO


Wardriving - Campos - ESSID BSSID (3/5)
POP-CDT 00:02:2D:8F:D1:D3 POP - GUARUS 1 00:4F:62:0E:8C:E2 pipit 00:18:F8:6F:BB:D4 PERCI 00:1C:F0:EA:BC:F3 PAULOFA 00:15:E9:D2:B1:AC PATASEASAS 08:10:74:1A:8A:36 PACIFIC 00:1D:0F:F5:FC:F6 PACIFIC 00:1D:0F:F6:06:9A PACIFIC 00:1D:0F:F6:08:AA Ossoduro 00:06:4F:6B:C4:BC Oi 00:19:5B:DC:78:A4 OdiarioWire 00:17:9A:00:DA:0B OAB 00:1B:11:F5:82:2C nolimit 00:14:D1:36:18:E6 NETGEAR 00:1B:2F:E6:A9:CC NETGEAR 00:1E:2A:0B:0C:DA NETGEAR 00:1F:33:32:94:7E NAKED 00:1C:C5:0A:39:98 MyWLAN 00:0A:52:01:1C:85 Muniz Duarte 00:1B:11:FF:F5:8A MULTICEL 00:1C:F0:85:AA:22 movocanto 00:17:9A:35:E1:10 MMJ 00:1E:58:C1:4D:7D mixinfo 00:1B:11:A5:D4:34 MedNet 00:1D:0F:EB:90:08 MB 00:1C:F0:00:16:49 Matrix 00:1C:F0:00:98:F7 MatheusRocha 00:13:46:EF:E1:9A Margaret 00:18:E7:42:F7:04 manelzeze 00:1B:11:4E:ED:C1 M4rd0k 00:1C:F0:38:FC:1F lumare 00:19:5B:BD:D1:7D Loja10 00:1E:58:34:35:5B linksys 00:1C:10:57:BB:39 linksys 00:1D:7E:50:4C:81 linksys 00:1D:7E:5D:92:76 linksys 00:1E:E5:7B:0C:2D LIML_WIRELESS 00:1C:F0:3C:45:0A LFcasa 00:1B:2F:FC:19:5C LCBS 00:13:46:F0:F6:E8 Joao Manoel 00:1B:11:A5:F8:76 joao 00:1B:11:3C:E6:65 Japa 00:21:91:6A:6F:8E Irina 00:1B:11:3D:00:75 ione 00:1B:11:A3:61:4E INTELBRAS 00:1A:3F:48:C9:86 Imprimix 00:1A:C1:38:00:9A Iconect 00:30:4F:52:93:36 ICN 00:0A:52:01:61:FC Huguinho Zezinho e Luizinho 00:1C:F0:00:0B:E7 house 00:1B:11:D4:9D:57 Home Sweet Home 00:1E:58:C1:D7:F3 HOME 00:1B:11:92:12:9A Haddad 00:1E:58:0D:59:94 Habitare 00:13:46:34:35:E9 Habitare 00:19:E0:0F:AC:C6 Gustavo 00:1B:2F:56:50:40 GUIOPIM 00:1E:58:09:C3:84 geraldo 00:1B:11:91:B8:86 Geno 00:18:E7:44:8F:26 GANTOS WEB 00:17:9A:4B:B3:83 G604T_WIRELESS 00:0F:3D:B8:FB:4C Francisco 00:50:18:58:2B:F6 FRACTALL 00:05:9E:88:F0:32 FoX 00:21:04:10:4C:67 fourteam 00:18:39:40:3A:80 Forum_do_Pao 00:13:46:DE:8D:FF flink 00:1E:58:0D:42:32 fernandes 00:1B:11:3A:EB:7D

IFF

wvianna@iff.edu.br

107

SEGURANA DE REDES SEM FIO


Wardriving - Campos - ESSID BSSID (4/5)
FAMILIA FELIZ 00:05:9E:86:92:B1 Fabricio 00:1A:C1:38:0D:AE FABNAJ 00:1C:F0:83:30:00 EXTINCAMPOS 00:21:8D:00:08:33 ESSID BSSID EscritorioWIRE 00:1C:F0:7F:EE:40 escritorio manhaes de lima 00:1E:58:0D:59:CA escritorio 00:17:9A:58:29:99 ESCRITORIO 00:1A:3F:48:B6:46 ESC 00:18:39:64:5B:0B Ello_Campos 00:1B:11:8C:BB:DE Efeito Digital Interna 00:13:10:D2:E6:CC Efeito Digital Externa 00:05:9E:88:E1:D4 DRPC 00:1B:11:D3:10:CB Dr 00:1B:11:A1:BE:DC DPPCASA 00:1E:58:C1:BF:99 dlinkE607 00:1C:F0:5F:E6:07 DLINK_WIRELESS 00:1C:F0:3F:CE:6A D-Link 00:0D:88:3C:DF:FF d-link 00:19:5B:90:9F:AA dlink 00:1B:11:3A:89:75 dlink 00:1B:11:3D:03:FB dlink 00:1B:11:5E:AD:29 dlink 00:1B:11:66:79:B3 dlink 00:1B:11:FB:D3:A6 dlink 00:1C:F0:00:7D:2B dlink 00:1C:F0:02:0E:E9 dlink 00:1C:F0:3A:4E:97 dlink 00:1C:F0:83:25:E6 dlink 00:1C:F0:87:22:A6 dlink 00:1C:F0:87:24:7C dlink 00:1C:F0:AD:9D:1F dlink 00:1E:58:0D:41:72 dlink 00:1E:58:14:AC:3E dlink 00:1E:58:14:F4:B4 dlink 00:1E:58:C0:9F:A9 dlink 00:21:91:6B:99:76 DIGITUS_SERVER_WIRELESS 00:E0:4C:F4:98:27 DetalheWIRE 00:19:5B:B3:84:23 default-root-gina 00:12:0E:94:12:F9 default-root 00:12:0E:93:F6:5B default-root 00:12:0E:93:FF:46 default-root 00:17:9A:83:20:52 default-root 00:19:5B:D2:B8:68 Default_11G 00:06:4F:68:A2:0E Default_11G 00:06:4F:68:A5:98 default 00:11:95:4C:49:99 default 00:13:46:DE:8D:FD default 00:13:46:F5:D3:4E default 00:15:E9:33:4C:F1 default 00:15:E9:33:4C:F4 default 00:15:E9:D2:CF:D4 default 00:17:9A:F8:7E:E3 default 00:17:9A:FD:7A:D7 default 00:18:E7:1F:83:CD default 00:19:5B:00:4D:C1 default 00:19:5B:0C:72:66 default 00:19:5B:4F:88:CD default 00:1B:11:A3:7F:3A default 00:1E:58:14:F2:4A defato-wifi 00:19:5B:BE:48:A7 Decisiva2 00:18:6E:C3:8C:CF Decisiva 00:15:E9:40:61:24 Dantas 00:1E:58:E8:DA:DF Daniel Campos 00:1C:F0:3F:BA:CA Curaau Blue 00:19:5B:B3:7A:DB CTA 00:1E:58:32:0C:6F CSantos 00:1C:F0:F5:CF:68 credtem 00:1C:F0:83:03:94

IFF

wvianna@iff.edu.br

108

SEGURANA DE REDES SEM FIO


Wardriving - Campos - ESSID BSSID (5/5)
CPD 00:19:5B:5F:B6:C7 cosanostra 00:19:E0:A1:3B:2E CONSTRUTORA 00:19:5B:09:13:10 ConnectionPoint 00:21:04:10:19:81 CNET-VIACABO 00:02:2D:AA:A6:6F CNET-MAISON2 00:02:2D:A9:CD:05 CNET-ALBERTAOS2 00:12:0E:84:7D:D4 CNET-ALBERTAOS1 00:02:2D:01:31:DC CNET-97FM 00:02:6F:3B:0C:A5 Clnica Oral Cerqueira Escocard 00:1C:F0:6F:7F:80 classmaker.com 00:1E:2A:65:1C:B2 ChicreCheme 00:1B:11:3C:D9:7B CFB-Lab1 00:40:F4:F8:B7:77 CFB-CPD 00:18:E7:44:8F:22 CCULTURA 00:17:9A:FD:8B:C7 CCIS 00:13:33:0B:0F:20 CC_Campos 00:1B:11:4F:1D:C9 CB_BH_Campos 00:1B:2F:E6:76:12 Castor_Wireless 00:19:5B:DF:CF:4E casa1 00:1B:11:A5:DD:62 casa 00:13:46:88:C4:F0 Carvalho 00:1C:F0:00:84:65 Cantoti 00:14:7C:BC:AC:4E CAM 00:13:46:F3:D6:FC cada.d 00:1B:11:43:A7:7E CabeloePele 00:1C:C5:D7:F9:C2 Bruno 00:1B:11:3A:F6:81 BP2 0A:0F:CB:FC:53:B5 BP 00:0F:CB:FC:53:B5 Beto 00:15:E9:40:5F:58 bernardo 00:1D:0F:EB:A2:5C belkin54g 00:17:3F:84:4F:98 Baluro 00:1B:11:F4:B3:08 BALBIeCOSTA 00:1A:C1:35:C2:D4 b 00:0A:B8:1C:4C:30 b 00:17:94:A5:CF:50 ATHILA 00:18:E7:49:3D:EC apserver 00:0E:2E:1F:9D:9D APHF 00:12:17:74:BC:14 APHF 00:12:17:74:BE:1D AnsataAssociada 00:15:E9:EC:C0:E4 Anna 00:19:5B:5F:E3:47 Alterdata 00:1E:58:0D:2D:0C ALEXANDRECASA 00:1C:C5:0A:13:AC ALEXANDRE 00:1E:58:13:89:5A AKF 00:21:91:6A:6D:F4 ADMINISTRATIVO 00:1E:E5:33:DB:D3 ACJ 00:1B:11:F4:F5:DE ACIC 00:17:9A:4B:B4:1B acessototal 00:02:2D:A5:B2:92 acessototal 00:14:7C:BC:AD:56 acessototal 00:4F:62:00:4C:28 acessototal 00:4F:62:00:5F:33 a 00:1E:58:C6:65:BB 3Com 00:1C:C5:09:89:14 3Com 00:1C:C5:0A:14:F6 3Com 00:1C:C5:D7:85:84 100Fio 00:19:5B:E0:02:5C 100FIO 00:1C:F0:83:28:96 001601AD54E0 00:16:01:AD:54:E1 #@!%XtremeAvm-Adm%!@# 00:1D:0F:EB:92:48 7 00:18:39:0C:E1:6E

IFF

wvianna@iff.edu.br

109

SEGURANA DE REDES SEM FIO


Metodologias de auditoria (1/5)

Auditoria contra determinada poltica

Antes Poltica em mos, dados j coletados; Conhecer os equipamentos tpicos, marcas de produtos; Autorizao. Buscar desvios Clusulas da poltica de segurana no obedecidas; Correlacionar dados coletados com a poltica de segurana.

IFF

wvianna@iff.edu.br

110

SEGURANA DE REDES SEM FIO


Metodologias de auditoria (2/5)

Nem sempre redes e dispositivos sem fio esto includos na poltica de segurana adotada Outros objetivos de uma auditoria:

Identificar APs e clientes; Verificar as configurao; Mapear abrangncia da rede; Avaliar o grau de divulgao de informaes da organizao.

IFF

wvianna@iff.edu.br

111

SEGURANA DE REDES SEM FIO


Metodologias de auditoria (3/5)

Metodologias Fingerprinting do AP

Passivo No h necessidade de estar conectado rede Identificar o fabricante OUI (Organization Unique Identifier) da interface de rede Alocado pelo IEEE til apenas em trfego unicast e broadcast Identificar informaes proprietrias divulgadas nos quadros beacon Ativo Necessidade de conexo Conectar-se ao AP remotamente (SSH, servidor WEB)

IFF

wvianna@iff.edu.br

112

SEGURANA DE REDES SEM FIO


Metodologias de auditoria (4/5)

Metodologias processamento de informaes coletadas

Processar informaes coletadas Gerar planilhas com arquivos XML e CSV gerados pelo Kismet; Identificar redes com segurana fraca; Informaes teis; SSIDs usados, marcas de interfaces, potncia do sinal e nvel de rudo, dentre outros indicadores.

IFF

wvianna@iff.edu.br

113

SEGURANA DE REDES SEM FIO


Metodologias de auditoria (5/5)

Metodologias identificando mtodos de segurana

Automaticamente Ferramentas como Kismet Manualmente Captura e filtro de quadros no interessantes beacon, probe request, probe response Anlise com analisadores de trfego como Ethereal ou Wireshark

IFF

wvianna@iff.edu.br

114

SEGURANA DE REDES SEM FIO


Ferramentas de auditoria (1/4)

Principais

Tcpdump airodump Ethereal Wireshark NetStumbler (Windows) Kismet Linux apenas, verso Windows em desenvolvimento

IFF

wvianna@iff.edu.br

115

SEGURANA DE REDES SEM FIO


Ferramentas de auditoria (2/4)

Principais ferramentas Ethereal / Wireshark

Poderoso analisador de trfego Revela mais informaes que Tcpdump Estrutura em rvore, resoluo de hostname / porta / MAC, possibilidade de visualizao de fluxos, etc. Dependente de Libpcap / Winpcap Captura trfego, abre arquivos de captura PCAP Interoperabilidade com Tcpdump, airodump, Kismet e outras Filtros de captura no mesmo formato usado por Tcpdump, filtros de exibio

IFF

wvianna@iff.edu.br

116

SEGURANA DE REDES SEM FIO


Ferramentas de auditoria (3/4)

Principais ferramentas Kismet

Diversas funes Wardriving, site survey, IDS distribudo, auditoria, deteco de APs rogue, deteco de IVs duplicados em redes com WEP Interao com GPS para mapeamento Driver prprio, mais de 20 tipos de NIC suportados Suporte ainda limitado aos principais chipsets Restrito a Unix, diversas dependncias GPSD, ImageMagick, Expat, GMP possvel a captura em todos os canais simultaneamente
wvianna@iff.edu.br 117

IFF

SEGURANA DE REDES SEM FIO


Ferramentas de auditoria (4/4)

Principais ferramentas NetStumbler

Ferramenta mais popular, restrita ao Windows Vrias funes Configurao da sua rede, deteco de interferncia, APs no-autorizados (rogue), wardriving (suporte a GPS) Auditoria ativa, detectvel por probes Limitado, se comparado ao Kismet RFMON ausente sob Windows Bom suporte a NICs em Windows Barulhento
wvianna@iff.edu.br 118

IFF

SEGURANA DE REDES SEM FIO


Segurana-padro no AP (1/2)

Configuraes relacionadas segurana

Secure Easy Setup (SES) SSID Wireless SSID Broadcast Wireless MAC Filter AP isolation

IFF

wvianna@iff.edu.br

119

SEGURANA DE REDES SEM FIO


Segurana-padro no AP (2/2)

Configuraes relacionadas segurana

Firewall, filtros de aplicao, DMZ Administrao Alterao de senha; Habilitar HTTPS; Desabilitar acesso administrativo a partir da rede sem fio; Desabilitar gerenciamento a partir da interface externa;

IFF

wvianna@iff.edu.br

120

SEGURANA DE REDES SEM FIO


Segurana em redes domsticas

AP configurado com WPA2-PSK Vantagens

Segurana suficiente para usurio domstico J existem ataques conhecidos contra WPA No necessrio servidor de autenticao Possvel mesmo sem Openwrt Chave compartilhada mesma chave para todos os usurios, segredo mantido por pouco tempo Trocar PSK nos clientes trabalhoso
wvianna@iff.edu.br 121

Desvantagens

IFF

SEGURANA DE REDES SEM FIO


Segurana em redes corporativas

IEEE 802.1x Port Based Network Access Control Servidor de autenticao externo

FreeRADIUS implementao de RADIUS (RFC 2865) EAP Extensible Authentication Protocol (RFC 3748) Necessidade de ICP (Infra-estrutura de Chaves Pblicas) Necessidade de certificados tanto no servidor RADIUS quanto nos clientes autenticao mtua
wvianna@iff.edu.br

EAP-TLS como mtodo EAP

IFF

122

NOES DE AUDITORIA E ANLISE FORENSE

CONTEDO PROGRAMTICO
- Princpios de anlise forense: conceito e motivao; - Procedimentos de anlise forense; - Cadeia de custdia de evidncias; - Ambiente e ferramentas de anlise forense; - Ambiente de anlise forense: o hardware, o sistema operacional e o software bsico; - Pacotes forenses: ferramentas dos nveis de sistemas de arquivo e de nomes de arquivos, de metadados e de blocos de dados; - Coleta de evidncias: arquivos de logs, de inicializao do sistema e de histrico de comandos; - Recuperao e anlise de evidncias; - Sistema de arquivos Linux; - Ferramentas de recuperao de evidncias: como reaver arquivos apagados e parcialmente sobrescritos; - Evidncias avanadas: anlise de executveis e evidncias avanadas; - Cronologia dos acontecimentos e reconstruo do ataque; - Anlise forense em sistemas Windows; - O sistema de arquivos do Windows; - Descrio do pacote de ferramentas e primeiras aes; - Informaes sobre o sistema: identificao de aes, de usurios e do nome do sistema (hostname); - Identificao de processos em execuo no sistema; - Identificao de portas disponveis; - Identificao de bibliotecas em uso; - Registro do Windows; - Informaes adicionais do Windows; IFF wvianna@iff.edu.br 123 - Mtodos de ocultao de dados e informaes.

PR-REQUISITOS BSICOS DESEJVEIS

1 - Sistemas operacionais Comandos bsicos GNU/Linux. Sistemas de arquivos. 2 Curso de segurana de redes.

IFF

wvianna@iff.edu.br

124

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense

Resposta incidentes de segurana


Preparao Identificao Conteno Erradicao Recuperao Acompanhamento


wvianna@iff.edu.br 125

IFF

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense


Anlise forense: o segundo passo no processo de resposta a incidentes. Recuperar e analisar dados da maneira mais imparcial e livre de distores quanto possvel, para reconstruir os dados ou o que aconteceu a um sistema no passado [1].
[1] Murder on the Internet Express; Farmer, Dan; Venema, Wietse;
IFF wvianna@iff.edu.br 126

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense


PROCEDIMENTOS:

Minimizar perda de dados; Evitar contaminao dos dados; Registrar e documentar tudo que for feito; Analisar, impreterivelmente, dados em cpias; Reportar as informaes coletadas; E principalmente, manter-se imparcial!

um erro capital teorizar antes de ter todas as evidncias. Sherlock Holmes

IFF

wvianna@iff.edu.br

127

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Motivaes


Por qu no investigar um incidente? caro demorado Nem sempre vale a pena Ocupa recursos importantes! Enfim, um processo que demanda tempo e recursos, e nem sempre vai ser til para a empresa. mais fcil reinstalar um computador do que investigar!

IFF

wvianna@iff.edu.br

128

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Motivaes


Ento, por qu investigar? Identificar sinais de ataque; Determinar a extenso do comprometimento; Reconstruir a ordem dos eventos; Entender o modus operandi do atacante. Responder: O Qu? Quando? Onde? e Como?

IFF

wvianna@iff.edu.br

129

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Tipos de Sistemas Comprometidos


Sistema desligado: Sem atividade no disco rgido; Evidncias volteis perdidas; Sem atividade do invasor; Sem necessidade de conteno do ataque; Possivelmente algumas evidncias foram modificadas!

IFF

wvianna@iff.edu.br

130

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Tipos de Sistemas Comprometidos


Sistema Ligado: Atividade no disco rgido; Atividade de rede; Evidncias volteis; Possvel atividade do invasor; Necessrio conter o ataque; As evidncias esto sendo modificadas!

IFF

wvianna@iff.edu.br

131

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Tipos de Sistemas Comprometidos


Sistema Ligado: Verificar se o sistema est comprometido No comprometer as evidncias Conter o ataque Coletar evidncias Power-off ou shutdown? Power-off: no modifica evidncias, mas pode corromper os dados Shutdown: Garante integridade dos dados, mas pode modificar evidncias
IFF wvianna@iff.edu.br 132

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Procedimentos para Anlise Forense


A reao precisa ser rpida. Esteja preparado! Tenha em mos um checklist de aes, e todas as ferramentas necessrias. Esterilize as mdias antes de coletar evidncias. Colete as evidncias mais volteis primeiro. Crie um registro para cada evidncia, e faa um relatrio da sua investigao.

IFF

wvianna@iff.edu.br

133

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Procedimentos para Anlise Forense


Ordem de coleta de evidncias: Informaes sobre o ambiente (ambiente operacional, fotos da sala e da tela do computador); Coletar cpia binria da memria RAM; Coletar informaes sobre processos rodando, conexes de rede, registros, cache, etc; Coletar informaes sobre o trfego de rede; Coletar cpias dos discos rgidos; Coletar possveis mdias removveis (fitas, disquetes, cdrom); Coletar material impresso (adesivos, folhas impressas).
IFF wvianna@iff.edu.br 134

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Procedimentos para Anlise Forense


Criar registro para cada evidncia Criar assinatura das evidncias: MD5 SHA1 Evitar comprometer evidncias Criar relatrio detalhado da investigao: comandos executados pessoas entrevistadas evidncias coletadas

IFF wvianna@iff.edu.br 135

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense Cadeia de Custdia de Evidncias


um registro detalhado de como as evidncias foram tratadas durante a anlise forense, desde a coleta at os resultados finais. Este registro deve conter informaes sobre quem teve acesso s evidncias ou s cpias utilizadas. Durante um processo judicial, este registro vai garantir que as provas no foram comprometidas. Cada evidncia coletada deve ter um registro de custdia associada a ela.
IFF wvianna@iff.edu.br 136

NOES DE AUDITORIA E ANLISE FORENSE

Princpios de Anlise Forense


Cadeia de Custdia de Evidncias Um registro de custdia deve conter pelo menos os seguintes itens: Data e hora de coleta da evidncia; De quem a evidncia foi apreendida; Informaes sobre o hardware, como fabricante, modelo, nmeros de srie, etc; Nome da pessoa que coletou a evidncia; Descrio detalhada da evidncia; Nome e assinatura das pessoas envolvidas; Identificao do caso e identificao da evidncia (tags); Assinaturas MD5/SHA1 das evidncias, se possvel; Informaes tcnicas pertinentes.
IFF wvianna@iff.edu.br 137

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense


IFF

Pr-requisitos Hardware Sistema Operacional Software Bsico Pacote de Ferramentas Forenses CD de Ferramentas
wvianna@iff.edu.br 138

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

A primeira ao do investigador coletar evidncias no local onde ocorreu a invaso. Aps isso, entra em cena a anlise de mdias. O investigador precisar analisar dezenas de gigabytes de dados, por isso deve contar com um ambiente propcio, com ferramentas que facilitem seu trabalho.
IFF wvianna@iff.edu.br 139

Pr-requisitos

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Pr-requisitos
O objetivo da anlise de mdias coletar evidncias que comprovem ou refutem a invaso. As evidncias originais devem ser preservadas, por isso a anlise deve ser feita em cpias das mdias. O analista deve evitar comprometer as evidncias, e deve garantir que todos os resultados podem ser reproduzidos. Isto envolve a criao e manipulao de dezenas de gigabytes de dados. Alm disso, o sistema invadido no confivel, portanto o investigador precisa dispor de um ambiente confivel e controlado para realizar a investigao.
IFF wvianna@iff.edu.br 140

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Hardware
Quanto mais memria RAM e mais processamento tiver, melhor! O espao livre em disco deve ser generoso. O sistema deve ter baias para conectar os discos de evidncias. De preferncia, as baias devem ser configuradas para jamais iniciar o sistema a partir dos discos contidos nelas. Um notebook imprescindvel para quando no for possvel remover o disco de evidncia. Este notebook deve conter as mesmas ferramentas da estao forense. O investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross-over e normais, placas de rede normais e wireless, disco rgido externo (USB e paralelo), bem como um equipamento para realizar cpias de disco automaticamente. 141 IFF wvianna@iff.edu.br

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Sistema Operacional
Entre os pontos que devem ser levados em considerao na hora de escolher o sistema operacional esto: Familiaridade do investigador com o S.O.; Disponibilidade de ferramentas; Capacidade do S.O. de reconhecer diversos tipos de mdias ou sistemas de arquivos diferentes; Mecanismos de segurana disponveis no S.O.;

IFF wvianna@iff.edu.br 142

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Sistema Operacional
GNU/LINUX - Caractersitcas: No necessrio adquirir licenas para uso; Existe uma gama completa de ferramentas de anlise forense de uso livre; Capacidade de acessar qualquer tipo de sistema de arquivos ou parties a partir de configurao no kernel; Capacidade de acessar diversos tipos de dispositivos diferentes (USB, Discos, etc); Firewall embutido no kernel, e possibilidade de utilizar diversas modificaes no kernel para aumentar a segurana da mquina.

IFF

wvianna@iff.edu.br

143

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Sistema Operacional
GNU/LINUX Limitaes: Se for necessrio analisar algum executvel para Windows, precisaremos de uma maneira de emular o Windows. A melhor opo utilizar o VMWare ou outro sistema de emulao, tal como o Wine. Apesar da escolha pelo Linux, existem timas ferramentas de anlise forense para Windows, tal como o software EnCase produzida pela Guidance Software e representada no Brasil pela TechBiZ Forense Digital.

IFF

wvianna@iff.edu.br

144

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Software Bsico
Nem sempre ser necessrio a utilizao de ferramentas complicadas para realizar uma anlise. O Linux dispe de timas ferramentas para auxiliar o trabalho de investigao. Estas ferramentas bsicas so importantes para a investigao, e o analista deve conhec-las muito bem. Existem verses destas ferramentas para Windows tambm, mas precisam ser instaladas parte. No Linux, elas j acompanham o sistema.

IFF wvianna@iff.edu.br 145

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


strings: extrai mensagens de texto de um arquivo. Esta uma das principais ferramentas do investigador. Com ela possvel detectar rapidamente se existe algum contedo interessante em um arquivo suspeito. Pode ser usada tanto em arquivos comuns como diretamente em um arquivo de dispositivo. Ex: # strings a /bin/bash # strings a /dev/hda1 > /data/hda1.str

Com o comando acima criamos um arquivo com todas as mensagens contidas no dispositivo /dev/hda1. Podemos utilizar este arquivo para detectar rapidamente se existe algum contedo comprometido no dispositivo. Por exemplo, podemos utilizar este arquivo para procurar por palavras suspeitas constantes em uma base de dados.
IFF wvianna@iff.edu.br 146

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


grep: Procura por padres em um arquivo. Usado em conjunto com o strings torna-se uma ferramenta importante para encontrar evidncias. Ex: # grep ia f /data/palavras_hacker.txt /data/hda1.img # grep ab hacked /data/hda1.img

No primeiro exemplo acima, utilizamos um arquivo com palavras suspeitas como padro de busca. O comando ir mostrar quais palavras constantes no arquivo /data/palavras_hacker.txt que tambm aparecem na imagem de disco /data/hda1.img. No segundo exemplo, o comando ir imprimir o offset em bytes de onde a palavra hacked foi encontrada no arquivo /data/hda1.img.
IFF wvianna@iff.edu.br 147

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


md5sum/sha1sum: Geram um hash criptogrfico dos dados passados como entrada. Estes comandos so importantes para garantir a integridade de evidncias coletadas durante a investigao, bem como verificar a autenticidade dos arquivos armazenados em disco. Ex: #md5sum /etc/passwd d8f6d74f3cf8f05792027673407b2160 /etc/passwd Podemos utilizar estes comandos para monitorar a integridade dos arquivos do sistema, ou ento para garantir a integridade de evidncias coletadas durante a investigao. Este comando importantssimo para garantir a cadeia de custdia de evidncias.
IFF wvianna@iff.edu.br 148

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


find: Procura no sistema de arquivos por arquivos que casem com os padres especificados. Deve ser utilizado com cuidado, pois modifica as datas de acesso dos arquivos pesquisados. Ex: # find /dev not type b and not type c # find / -name .[. ]* # find / -perm +02000 or perm +04000

Procura por arquivos a partir de algumas restries de busca. Pode encontrar arquivos suspeitos no diretrio /dev, arquivos escondidos ou com caracteres estranhos no nome, ou arquivos com permisses especficas.Estes arquivos podem ser suspeitos, pois um arquivo com o bit setuid (stick bit) ligado pode indicar a presena de um root shell.
IFF wvianna@iff.edu.br 149

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


netstat: Com este comando pode-se descobrir rapidamente a existncia de portas de rede abertas na mquina, ou as conexes atualmente estabelecidas. possvel tambm descobrir a existncia de rotas estticas inseridas manualmente. Ex:# netstat nap # netstat nr lsof: Importante ferramenta de coleta de evidncias. Ela utilizada para listar todos os arquivos abertos. Em um sistema operacional, qualquer recurso mantm um arquivo aberto. Conexes de rede, bibliotecas abertas, programas executando, tudo vai ser listado pelo lsof. Ex:# lsof l # lsof i # lsof l | grep LISTEN
IFF wvianna@iff.edu.br 150

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


file: Tenta identificar o tipo de um arquivo a partir de um banco de assinaturas de arquivos conhecidos. Ex:# file /bin/cp /bin/cp: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/ Linux 2.0.0, dynamically linked (uses shared libs), stripped Algumas vezes importante saber o tipo de um arquivo suspeito. No exemplo, o arquivo /bin/cp um executvel para Linux, que utiliza bibliotecas compartilhadas, e teve as informaes de debug removidas. Estas informaes so importantes para decidir o curso da investigao. As vezes, analisar um executvel em um debugger pode nos dar mais informaes sobre o invasor.
IFF wvianna@iff.edu.br 151

AUDITORIA E ANLISE FORENSE


Ambiente e Ferramentas de Anlise Forense Software Bsico
dd: Este comando utilizado para copiar dados binrios. Estes dados podem ser arquivos ou mesmo dispositivos fsicos. Ele usado principalmente para realizar cpias binrias de disco. Ex:# dd if=/dev/hda of=/data/hda.img # dd if=/dev/zero of=/dev/fd0 No primeiro exemplo ser criada uma cpia fiel de um dispositivo de disco em um arquivo. Para todos os efeitos, o contedo do primeiro disco igual ao do arquivo. Inclusive o hash MD5 dos dois deve permanecer igual. No segundo exemplo, utiliza-se o dispositivo virtual /dev/zero para sanitizar um disquete (pendrive, carto, etc) antes de us-lo para armazenar evidncias. Isto importante para garantir que as evidncias no vo ser comprometidas com dados existentes previamente no disquete.
IFF wvianna@iff.edu.br 152

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


nc: A funo desta ferramenta criar uma conexo de rede com outro computador, ou ento criar um listener em uma determinada porta. Com esta ferramenta, o investigador poder copiar arquivos e dados de um computador para outro. Ex:# nc l p 9999 > /data/hda1.img.gz # dd if=/dev/hda1 | gzip -9 c | nc p 9999 <ip_da_estacao_forense> O primeiro comando acima deve ser executado na estao forense. Ele cria um listener na porta 9999, e direciona tudo que for enviado a essa porta para o arquivo /data/hda1.img.gz. O segundo comando l o contedo da partio /dev/hda1 da mquina comprometida, compacta com o comando gzip, e envia para a estao forense pela rede. Com isso, no necessrio gravar nada no disco da mquina comprometida, preservando evidncias.
IFF wvianna@iff.edu.br 153

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Software Bsico


Wireshark/Tshark: Estas duas ferramentas funcionam como monitores de rede. Elas servem para capturar todo o trfego de rede que chega interface monitorada. Normalmente o investigador vai utilizar estas ferramentas para monitorar a atividade de rede entrando e saindo da mquina comprometida, a partir da estao forense. Esta pode ser a primeira indicao de que a mquina est comprometida. Ex:# tethereal i eth0 n x host 192.168.0.1 # tethereal i eth0 w /data/capture.log host 192.168.0.1 and port 22 # tethereal r /data/capture.log n x host 192.168.0.1 and dst net 172.68.0.0/24 O Tshark uma ferramenta para ser utilizada em terminais de texto, enquanto o Wireshark tem uma interface grfica.
IFF wvianna@iff.edu.br 154

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Pacote de Ferramentas Forense


Por qu utilizar um pacote de ferramentas forenses? ferramentas que facilitem o trabalho de analisar e extrair evidncias de imagens de disco; permitam recuperar arquivos removidos; que sejam flexveis, permitindo a anlise de sistemas de arquivos diferentes; a quantidade de dados muito grande, ento ferramentas especficas tornam o trabalho mais fcil.

IFF

wvianna@iff.edu.br

155

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Pacote de Ferramentas Forense


EnCase, para Windows. Existem dois pacotes importantes para Linux: The Coroners Toolkit, e The Sleuth Kit O Sleuth Kit foi criado com base no primeiro, e possui mais funcionalidades e flexibilidade. Outras ferramentas facilitam o trabalho do analista, tal como o Autopsy, uma interface web para os programas do Sleuth Kit. Apresentar vdeo.

IFF wvianna@iff.edu.br 156

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Pacote de Ferramentas Forense Sleuth Kit Algumas caractersitcas: Maior flexibilidade das ferramentas; Trabalha com dispositivos de disco ou imagens binrias; Reconhece diversos sistemas de arquivos; Sem custo de utilizao.
IFF wvianna@iff.edu.br 157

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense


Ferramentas do Nvel de Sistema de Arquivos: Estas ferramentas processam dados gerais sobre o sistema de arquivos, tal como o layout de disco, estruturas de alocao e boot blocks. Ferramentas do Nvel de Nomes de Arquivos: Estas ferramentas processam estruturas de nomes de arquivos e de diretrios. Ferramentas do Nvel de Metadados: Estas ferramentas processam estruturas de metadados, que armazenam detalhes sobre os arquivos. Metadados so dados sobre dados. Eles armazenam informaes sobre estruturas tais como entradas de diretrios na FAT, entradas MFT em sistemas NTFS, ou inodes em sistemas de arquivos UFS ou EXTFS. Ferramentas do Nvel de Blocos de Dados: Estas ferramentas processam blocos de dados onde o contedo de um arquivo fica armazenado, como por exemplo clusters em um sistema FAT. Outras Ferramentas: Estas ferramentas tm funcionalidades diversas, mas so importantes durante a anlise forense.

IFF

wvianna@iff.edu.br

158

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Sistema de Arquivos


fsstat: Mostra detalhes e estatsticas do sistema de arquivos, tal como layout, tamanho e labels. Ex: # fsstat -f linux-ext3 /dev/hda1
FILE SYSTEM INFORMATION -------------------------------------------File System Type: EXT2FS Volume Name: Last Mount: Mon Aug 16 08:09:27 2004 Last Write: Mon Aug 16 08:09:27 2004 Last Check: Mon Jun 2 10:17:54 2003 Unmounted properly Last mounted on: Operating System: Linux Dynamic Structure Compat Features: Journal, InCompat Features: Filetype, Recover, Read Only Compat Features: Sparse Super, Large File,
IFF wvianna@iff.edu.br 159

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Nomes de Arquivos


ffind: Procura por nomes de arquivos que apontem para uma dada estrutura de metadados. Ex: # ls -i /etc/passwd # ffind -f linux-ext3 /dev/hda1 <inode_passwd> fls: Lista nomes de arquivos alocados ou apagados em um diretrio. Ex: fls -a -d -r /dev/hda1 fls -m / -f linux-ext3 -a -p -r /dev/hda1 > data/hda1.mac
IFF wvianna@iff.edu.br 160

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Metadados


istat: Mostra estatsticas e detalhes sobre um determinado inode. Ex: # istat -f linux-ext3 /dev/hda1 49784 icat: Extrai uma unidade de dados de um disco, dado o endereo do metadado que aponta para este bloco. Permite extrair um arquivo a partir de um inode, sem precisar saber o nome do arquivo. Ex: # ls -i /etc/passwd 130919 /etc/passwd # icat /dev/hda1 130919 > /tmp/file.dat # md5sum /etc/passwd /tmp/file.dat d8f6d74f3cf8f05792027673407b2160 /etc/passwd d8f6d74f3cf8f05792027673407b2160 /tmp/file.dat
IFF wvianna@iff.edu.br 161

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Metadados


ifind: Procura a estrutura de metadados para o qual um determinado nome de arquivo aponta, ou a estrutura de metadados que aponta para um determinado bloco de dados. Permite, em conjunto com o comando ffind, achar qual nome de arquivo aponta para um bloco de dados (por exemplo, o bloco de dados que contm um texto importante que se quer recuperar). Ex: # grep ab hacked /data/hda1.img # ifind -f linux-ext3 /data/hda1.img -d $((<byte_offset/block_size)) # ffind -f linux-ext3 /data/hda1.img <inode_encontrado> # icat -f linux-ext3 /data/hda1.img <inode_encontrado> > recuperado.dat
IFF wvianna@iff.edu.br 162

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense

Ferramentas do Nvel de Metadados


ils: Lista as estruturas de metadados e seus contedos em um formato fcil de se tratar. O ils faz com inodes o mesmo que o fls fez com nomes de arquivos. Ex: # ils r f linux-ext3 /dev/hda1 > /data/hda1.ils # ils -m -f linux-ext3 -e /data/hda1.img > /data/hda1.mac

IFF

wvianna@iff.edu.br

163

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Blocos de Dados


dstat: Mostra estatsticas e detalhes sobre um bloco de dados. Ex: dstat -f linux-ext3 /dev/hda3 185594 dcat: Extrai um bloco de dados de um disco. Utiliza-se esta ferramenta quando no for possvel identificar a qual arquivo ou inode pertence um determinado bloco. Permite recuperar dados parciais de arquivos. Ex: dcat -f linux-ext3 /dev/hda3 185594 dls: Lista detalhes sobre unidades de dados, e pode extrair dados desalocados de um file system. Os dados desalocados contm o espao livre em disco e os arquivos removidos. Ex: dls -e -f linux-ext3 /dev/hda1 10000-20000 > /data/freespace.dls dls -e -f linux-ext3 /dev/hda3 > /data/hda1.dls
IFF wvianna@iff.edu.br 164

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Ferramentas do Nvel de Blocos de Dados


dcalc: Calcula se dados em uma imagem de dados desalocados (extraido com o dls) existem na imagem original, ou vice-versa. Este comando usado para encontrar na imagem original onde est um bloco de dados encontrado na imagem de dados desalocados. Ex: # grep -ab hacked /data/hda1.dls # dcalc -u $((<offset_dls>/<block_size>)) -f linux-ext3 /data/hda1.img

IFF

wvianna@iff.edu.br

165

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Outras Ferramentas


mmls: Mostra informaes sobre o layout do disco, incluindo espaos no alocados. A sada identifica o tipo das parties e seus tamanhos, que torna fcil para usar o comando dd para extrair parties. A sada ordenada pelo setor inicial, o que torna fcil encontrar espaos no layout. Ex: # mmls -t dos hda1.img hfind: Para um dado arquivo suspeito, procura em bancos de dados de hash criptogrficos conhecidos pela existncia do arquivo, para verificar sua autenticidade. Diversos bancos de dados podem ser usados como fonte: Ex: # hfind -i md5sum /data/bindir.md5 # hfind /data/bindir.md5 a26e20a9f183277af1551b8a429ae212
IFF wvianna@iff.edu.br 166

NOES DE AUDITORIA E ANLISE FORENSE

Ambiente e Ferramentas de Anlise Forense Outras Ferramentas


mactime: Pega a sada dos comandos ils ou fls e cria um timeline, ou linha de eventos, da atividade de arquivos no disco. O timeline a principal ferramenta para remontar os passos de uma invaso. Ex: mactime b /data/hda1.fls p /etc/passwd z GMT-3 sorter: Analisa e ordena os arquivos em uma imagem de disco baseado em um banco de dados de assinaturas de arquivos. Serve para identificar rapidamente se existem em disco arquivos de um determinado tipo. Ex: sorter f linux-ext3 d /data/store_dir /dev/hda1
IFF wvianna@iff.edu.br 167

NOES DE AUDITORIA E ANLISE FORENSE

CD de Ferramentas
Durante uma investigao, importante que o investigador tenha em mos todas as ferramentas necessrias para o seu trabalho. Deve-se criar um CD com ferramentas teis ao trabalho do investigador. A primeira coisa que deve existir em um CD de ferramentas forenses um interpretador de comandos confivel. Compilar estaticamente todas as ferramentas do CD, para evitar ser comprometido por binrios ou bibliotecas suspeitas.
IFF wvianna@iff.edu.br 168

NOES DE AUDITORIA E ANLISE FORENSE

CD de Ferramentas
Alm de um interpretador de comandos, o CD deve conter as seguintes ferramentas:

Todas as ferramentas bsicas vistas anteriormente. Todas as ferramentas do pacote forense escolhido. Ferramentas bsicas do sistema: ls, cp, mv, rm, chroot, cat, less, more, chmod, chown, chgrp, date, df, du, cut, sort, strip, tail, head, ln, arp, echo, env, hostname, id, ifconfig, pwd, touch, uniq, uptime, wc, who. Ferramentas de manipulao de objetos e compilao: cc, ld, nm, ldd, addr2line, ar, as, gprof, objcopy, objdump, ranlib.
IFF wvianna@iff.edu.br 169

NOES DE AUDITORIA E ANLISE FORENSE

Anlise

Analisar imagem de teste


1 Determinar as efidncias; 2 Determinar a linha de tempo das operaes;

IFF

wvianna@iff.edu.br

170