Auditoria em ambiente de

redes e Internet

Prof: Antônio João de Arruda Cebalho

1
 Motivações de um Cracker
• Contato com a cena cracker
• Vivência com a época dos BBS
• Interesse pela área de segurança de
software

2
 Introdução

Engenharia Atividade
Reversa Cracker

3
 Engenharia Reversa
O que é?
• Descompilação de um sistema (ou de
partes) para determinar seu
funcionamento e copiá-lo ou aperfeiçoá-lo
• Software e Hardware
• Não surgiu com a computação

4
 Motivações e paralelo
com outras ciências
• Econômicas, Militares, Necessidade
Pessoal
• Curiosidade Humana: Compreensão e
Domínio.
• Compreensão
– Observação e Entendimento
• Domínio
– Possibilidade de modificá-lo
5
 Cracking Crews
• Crackers: quebra de proteções
• Suppliers: obtenção softwares
• Traders/Couriers: distribuição

6
 O software cracking como
propulsor de outras comunidades:
Hackers de Sistemas
• Meados dos 90, popularização da Internet
• Declínio dos BBS
• Migração dos grupos crackers para a Internet
• Novo ninho para suas atividades ilegais (ou não) e seus
grupos
• Invasão de máquinas:
– Hospedar arquivos
– Websites
– Serviços

• A Engenharia Reversa tem papel fundamental nesta

atividade. Ex: buffer overflows
7
 O software cracking como
propulsor de outras comunidades:
Criadores de Vírus
• Relação com Engenharia Reversa
• Diversos experimentos desde os anos 80
• Relação com Criptografia
• E-Zines (electronic magazines).

8
 A quebra de proteções anti-cópias
(Software cracking)
• Aspecto mais famoso da Engenharia
Reversa
• Modificação ilegal de um software p/
remover proteção anti-cópias
• Exemplos: no-CD crack, e hardware-lock
• Como funciona: modificar o trecho de
código responsável por determinar se o
software é original
9
 A eterna promessa de proteção
anti-cópias
• Periodicamente surgem novas tecnologias
– Encriptadores de código
– Chave pública-privada
– Assinaturas de Hardware
– Mistura de Ambos

TODAS FRACASSARAM

10
 A eterna promessa de proteção
anti-cópias (2)
• Por que toda proteção é quebrável?
– Toda proteção é baseada em rotinas de software
– O software é completamente descompilável
– Logo, toda proteção é quebrável dado o devido
tempo e esforço

• Promessas mais recentes:

– Tecnologias de proteção embutidas em
processadores
– Quebráveis através de emuladores

A guerra não acaba tão cedo...

11
 Tools of the trade:
Tecnologia a favor do conhecimento
• Hexadecimal dumper/editor (mosta/imprime o conteúdo binário)
• Disassembler (leitor de código binário)
• Debugger (mostra as instruções/ execução passo a passo)
• Descompilador (reconstruidor do código em uma linguagens de
alto nível )
• System Hookers (monitorador de chamadas a determinadas
funcionalidades do SO)
• Packers (“empacotar” e encriptar outro software de forma que ele
seja decriptado em memória apenas durante a execução)
• Unpackers(decriptam o software completamente em memória)

12
13
 Sniffers e os Instant Messengers:
Quebrando protocolos
• Sniffers: capturar e analisar pacotes de
rede
– Uso malicioso
– Engenharia Reversa
• Protocolos que foram mapeados e
clonados: MSN Messenger, AOL
Messenger, Yahoo Messenger, alguns
P2P
• Clones: aMSN, GAIM, Miranda, etc.
14
 Outras aplicações e áreas para a
Engenharia Reversa
• A batalha Contra os Virus de Computador:
Técnica para examinar worms e virus
• Uso Governamental / Militar
• Auditoria de Segurança

15
 O Digital Millennium Copyright Act
e a quebra do DVD
• DMCA:
– Proibe produção e disseminação de tecnologias
que possam driblar medidas tomadas para proteger
copyright
– Aumenta penas para copyright na internet
– Afeta a troca de informações sobre ER
– Onde fica a liberdade de conhecimento e troca de
informação?
• DeCSS (Descriptador de DVD): Quebra do
DVD
16
PONTOS DE CONTROLE EM AMBIENTES DE REDE E INTERNET

FONTE

AMBIENTES TRATAMENTO

CONHECIMENTO

TRANSMISSÃO DISPONIBILIZAÇÃO IMPRESSÃO

EXPURGO
17
OS PERÍMETROS DA TI
Acesso Discado

Notebooks

Internet
Aplicações

Extranet
Gateways
Servidores
Console de
Rede Pública
Segurança
e Privada

CPD

Rede / Intranet

Instalações

18
PERÍMETROS E PROJETOS DE SEGURANÇA
Análise e Certificação de Segurança
Política de Segurança
Classificação de Informações
Implementação de Rede Segura
Segurança em Internet Banking
Site Seguro
Segurança em Redes, Estações e Notebooks
Segurança em Automação Bancária
Soluções para Policy Enforcement
Segurança em Acesso Remoto
Teste de Invasão
Plano de Contingência
Administração de Redes
Implementação de Firewall e Roteador
...

19
 POSSIBILIDADES DE PLANOS DE
SEGURANÇA
Financeiro Governo Telecomunicações Indústria e Comércio Petróleo e Gás
SOLUÇÕES PARA SEGMENTO

Segurança em Internet Intranet do Governo Segurança em Segurança para

Segurança em Billing
Banking Segura E-Commerce Ambiente de Pesquisa

Segurança em Automação Segurança em Call Segurança para Cadeia Segurança para Rede
Sites Seguros do Governo
Bancária Center de Valor de Plataforma

Plano de Contingência Segurança em Serviços Segurança para Segurança em Segurança em

para Bancos ao cidadão via Web BackBone Automação Comercial ambiente e aplicações
ERP
Arrecadação Eletrônica Segurança para Segurança para operação
Segurança em Web EDI
Segura Voz sobre IP remota de Plataforma

Segurança em Internet Segurança em Intranet Segurança em Extranet Segurança em WebSite

Segurança em Redes Segurança em E-mail Segurança em Windows NT Segurança em ERP

Acesso Remoto Seguro Acesso Seguro à Internet Segurança em BD Client/Server Segurança Física
SM

Segurança em Mainframe Segurança em TNG Segurança em EDI Implementação de Roteador

Implementação de VPN Implementação de Firewall Análise e Certificação de Segurança Soluções Policy Enforcement

Segurança Single Sign-On Plano de Contingência Política de Segurança Secure Windows 2000

Security Auditing Safe Tax

20
PERGUNTAS RESPONDIDAS PELOS LOGS
Microsoft Windows NT Security • Qual a taxa média de recebimento de Kbytes da Internet durante
o mês?
Microsoft Windows NT Application • Quais usuários mais utilizaram cada um dos serviços?
Microsoft Windows NT System • Qual foi a percentagem de utilização de cada um dos serviços ?
Microsoft ProxyServer • Qual o usuário que mais fez download em um determinado
período?
Microsoft IIS - W3C Format • Qual foi o usuário que mais mandou email?
Microsoft IIS - NCSA Format • Qual período do dia é mais utilizado para acesso a servidores
Microsoft IIS - Microsoft Format FTP?
• Quem mais utilizou a Internet em um determinado período?
CheckPoint Firewall-1 • Como foi o tempo de conexão de um determinado usuário ao
Microsoft Exchange Server longo do mês?
Roteador Cisco 2500 • Qual foi a URL de http mais acessada por um determinado
usuário?
Roteador Cisco 7500 • Quem recebeu e enviou mais emails durante o mês?
Roteador IBM • Quem mais utilizou a Internet em um determinado período?
Servidor AIX • Quais os 10 maiores usuários de Internet?
Perguntas conclusivas:
Modulo HeatSeeker • A banda de comunicação está sendo mau utilizada?
• Existe carência de capacitação para o correto uso dos recursos?
• A Política de Segurança está sendo cumprida?
... • O mau uso dos recursos está provocando queda de
Lista aberta para receber novos produtividade?
logs
• O mau uso dos recursos está potencializando a queda de
performance da rede? 21
 AUDITORIA DE SISTEMAS
OPERACIONAIS
• Registra as atividades do sistema, incluindo o acesso
aos objetos.
• Vem por default desabilitada.
• Nível de auditoria é configurável por máquina ou por
controladores de domínio.
• Os registros são gravados no Visualizador de Eventos,
na fila de Segurança.
• Envolve um gasto em performance.
22
 SISTEMAS OPERACIONAIS
SEGURANÇA DE REDE

• Procurar verificar como o SO utilizado armazena

as suas senhas;
• Procurar verificar como o SO utilizado permite
implementar o compartilhamento de arquivos -
SMB e NetBIOS;
• Procurar verificar como o SO utilizado faz a
validação pela rede;
• Procurar verificar como o SO utilizado permite
Acesso anônimo;
• Fazer o HARDNING do SO;

23
Windows XP Professional

24
 REQUERIMENTOS DE NEGÓCIO
• Aumentar a Confiabilidade
– Windows XP Professional inclui um programa de assinatura de
drivers
– System Restore

• Segurança Aperfeiçoada
– Suporte ao protocolo Wireless 802.1X
– Internet Connection Firewall (Windows Firewall)

• Menor Custo de Suporte

• Maior Suporte para Usuários Móveis

– Rede wireless no Windows XP Professional inclui deteção
automática e reconfiguração de conexão automática
– Remote Desktop para acesso aos computadores de fora do
escritório
– IntelliMirror e redirecionamento do Meus Documentos
25
 LIÇÕES APRENDIDAS DO PASSADO

• Identificar Dependências

• Utilizar um Ambiente de Testes

• Gerenciar os Ativos Cuidadosamente

• Definir Planos Regionais

26
 PROJETANTO O DESKTOP
• Configuração Padrão facilita upgrade e suporte

• Distribuição de Software Efetiva

– Windows Installer
– Zero Administration Windows application package

• Políticas de Grupo
– Políticas de conta e armazenamento
– Logon e configurações de segurança
– Políticas aplicadas no nível de domínio

27
 SEGURANÇA

• Kerberos

• Encrypting File System (EFS)

• Segurança para Usuário Remoto

– Smart cards
– Connection Manager
– Logon script Seguro

28
 SEGURANÇA E TECNOLOGIA
P ontos Técnicos:

O Registrodowindows é aonde estãotodas as i nform ações doseusistem a.

HKE Y _LOCAL_MACHINE\S oftware\Microsoft\Inter net Expl orer\Main, a chave “S tart P age”.
Acesse-o executando ocom ando “ r egedi t “.

•
•
•

29
 SEGURANÇA E TECNOLOGIA
P ontos Técnicos:

S aiba quais conexões estãosendofeitas em seus sistem a.

E xecutar comando“ netstat ”, el e m ostra quais as conexões ativas.
Deste m odo você sabe quem esta oupor onde passas suas conexões.

•
•
•

30
Segurança e Tecnologia

31
SEGURANÇA E TECNOLOGIA

32
 SEGURANÇA E TECNOLOGIA
Pontos Técnicos:

Esteja também atento a arquivos tempo rário s e cookies , eles pod em conter arquivos que podem deixar seu sistema lento e conter arquivos com senh as gravadas em crip tografia fácil de ser vista.

33
 SEGURANÇA E TECNOLOGIA
Pontos Técnicos:

Local: W indows 9x: C:\Windows\tem p e C:\Windows\cookies

Windows 2x: C:\D ocuments and Settings\Configur ações Locais\temp, C:\Documents and Settings\Configurações Locais\cookies;

•
•

34
SEGURANÇA E TECNOLOGIA

35
SEGURANÇA E TECNOLOGIA

36
 SEGURANÇA E TECNOLOGIA
P ontos Técnicos:

E x.: “#$ph4down&#”
S enhas deste ti po são di fíceis, m esm o descobertas com pr ogram as específicos, noexemplo acima é vistoapenas com oph4down.
Tendo cuidados como este, seusistema li nux já vem de “fabr ica” bastante seguro, dispensandoprogramas específicos.

•
•
•

37
 SMB
• Shared Message Block.
• Protocolo utilizado pelo compartilhamento de
recursos na Rede Microsoft.
• Utiliza NetBIOS como API de comunicação.
• Independente do protocolo de transporte
(funciona sobre TCP/IP, IPX/SPX e NetBEUI).
• Utilizado por todos os SOs da Microsoft e por
outras plataformas (Digital Pathworks, SAMBA).

38
 A SEGURANÇA INFORMÁTICA
• Mecanismos de Controlo de Acesso e Segurança
– Os diversos sistemas operativos diferenciam-se muito entre si:
• Os sistemas MS-Windows antigos (95, NT e 98) possuem
mecanismos muito simples e uma pilha IP considerada
vulnerável
• Os sistemas MS-Windows recentes (2000 e XP) possuem
mecanismos mais elaborados e uma pilha IP mais robusta
• Os sistemas Linux e xxxBSD possuem mecanismos
sofisticados de controlo de acesso e segurança, assim
como uma pilha IP robusta
• Os sistemas UNIX comerciais (Solaris, HP-UX, etc)
igualmente...
– Os mecanismos de controle de acesso e segurança:
• De nada servem caso o utilizador não os utilize
adequadamente
• Podem até ser potencialmente danosos caso sejam mal
configurados
39
 A Segurança Informática
• Controlo de Acesso e Segurança em MS-
Windows
C:\>netstat -an
MS-Windows ME

Ligações activas
Proto Endereço local Endereço externo Estado
TCP 0.0.0.0:135 0.0.0.0:0Divisão em zonasLISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 192.168.0.5:139 0.0.0.0:0 LISTENING
UDP 192.168.0.5:1900 *:*
UDP 192.168.0.5:137 *:*
UDP 192.168.0.5:138 *:*
Nível de segurança da zona

Personalização

40
 A Segurança Informática
• Controlo de Acesso e Segurança em Linux
Linux Mandrake
linux> netstat -an
Active Internet connections (servers) Divisão em zonas
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:7101 0.0.0.0:* LISTEN

Serviços TCP

Tarefas

41
 DICAS TÉCNICAS – PONTOS IMPORTANTES
MONITORANDO E OTIMIZANDO A PERFORMANCE – WINDOWS XP

• Habilitação de Eventos de Auditoria:

– Por padrão, vários eventos estão desabilitados
– Acesso a pastas e arquivos
– Uso de impressoras
– Falha ou sucesso no logon
– Estes eventos precisam ser habilitados usando as diretivas
locais de segurança ou diretivas de segurança do domínio
– Além de habilitar a diretiva, tem que habilitar a auditoria, nas
propriedades do objeto (por exemplo, pasta, arquivo ou
impressora)

42
43
44
 DICAS TÉCNICAS – PONTOS IMPORTANTES
GERENCIANDO A SEGURANÇA NO WINDOWS XP

• Diretivas locais de segurança:

– Diretivas de contas
– Diretivas locais
– Diretivas de Chave Pública
– Diretivas de Restrição de Software
– Diretivas de Segurança IP
• Comando secedit /analyze
• Comando secedit /configure
• Comando secedit /refreshpolicy (era no Windows 2000):
– No Windows XP é o comando gpupdate

45
 DICAS TÉCNICAS – PONTOS IMPORTANTES
GERENCIANDO A SEGURANÇA NO WINDOWS XP

• Criptografia de pastas e arquivos

• Cuidados para não “perder o acesso aos arquivos criptografados”
• Backup do Certificado do Agente de Recuperação
• Problema quando é formatado o Windows XP
• Como recuperar arquivos de um usuário demitido
• Comando cipher

46
 AUDITORIA DE ROTEADORES E
SWITCHS
• Realizar o Hardning do SO do equipamento.
• Modificar senhas default de fábrica.
• Implementar/ativar recursos de log.
• Desabilitar portas auxiliares ou que não estão em uso.
• Criar senha criptografada para acesso via porta
console.
• Desabilitar acessos remotos em clear text (telnet, http,
etc….)
47
 HARDWARE DE SEGURANÇA
FIREWALL
- Muitas opções de configuração.
- Todo tráfego entre a rede interna e a externa devem
passar por ele
- Somente tráfego autorizado passa pelo Firewall
- Administração do controle de acesso centralizado
- Tipo de controle de um Firewall
- controle de serviço (tipos de serviços autorizados)
- controle de sentido (fluxo dos serviços)
- controle de usuário (controle no nível de acesso do
usuário)
- controle de comportamento (como o serviço deve
ser usado)

48
 Hardware de segurança
Firewall – Filtragem de pacotes

host_B

Internet
Packet Filter
Router
server_A

ação local host port remote host port

allow server_A 25 * 25
block host_A 80 * * 49
 Hardware de segurança
Firewall - Estação Bastião (interconexão de redes)

host _B

Firewall
Outra
rede
Bastion host

Todas as conexões, entre as rede, passam pelo

Bastion host que analisa a possibilidade da
conexão
50
 51

Hardware de segurança
Firewall – Gateways de aplicação

T E L N E T
F T P
S M T P
inside host H T T P outside host

Gateway de aplicação – recebe e transmite uma conexão

51
 SISTEMAS DE DETECÇÃO DE INTRUSÕES (IDS)
Signature detection
- procura de padrões específicos
-desvantagem - ter de conhecer de antemão o padrão

Behaviour detection
- cada rede tem determinada característica (estatística)
- procura alterações nestas característica (pico de uso
fora de hora)
-desvantagem - método não muito eficaz

Protocol anomaly detection

- análise do pacote com seu padrão
- exemplo: os ataques do Code Red alteram o formato
do pacote durante os pedidos HTTP, o IDS detecta
esta alteração
52
 REDE PRIVADA VIRTUAL (VPN)

- Provem segurança através de redes inseguras (ex.

Internet)
- Nível de segurança aceitável
- Bom para administração remota
- Redução de custo de links
- Pode ser implementada através de links dedicados ou
não
- Ponto negativo: desempenho e/ou atraso
- Aplicações indicada:
- acesso remota via Internet
- interconexão de redes via Internet
- interconexão dentro de uma rede (restringir acessos)
53
Rede privada virtual (VPN)
Acesso remoto via Internet

54
 55

REDE PRIVADA VIRTUAL (VPN)

INTERCONEXÃO DE REDES VIA INTERNET

55
 Bibliografia
• The Hacker Crackdown: Law and Disorder on the Electronic Frontier. (Bruce Sterling, 1994)
• Reversing: Secrets of Reverse Engineering. (Eldad Eilam – Wiley, 2005)
• Hackers: Heroes of the Computer Revolution. Steven Levy – Anchor Press, 1984
• Steal This Computer Book 2: What They Won't Tell You about the Internet. Wallace Wang – No
Starch Press, 2000
• http://en.wikipedia.org/wiki/Reverse_engineering
• http://wiki.reverse-engineering.net/index.php/Cracking
• http://wiki.reverse-engineering.net/index.php/Software_cracking
• http://en.wikipedia.org/wiki/IBM_PC_compatible
• http://en.wikipedia.org/wiki/Clean_room_design
• http://en.wikipedia.org/wiki/Timeline_of_hacker_history
• http://psychcentral.com/psypsych/Warez
• http://www.program-transformation.org/Transform/ReverseEngineering
• http://news.com.com/Microsofts+file-share+rule+makes+waves/2100-1001_3-904017.html
• http://www.inf.ufsc.br/barata/
• http://www.ojuice.net/2825/article.htm
• http://www.net-security.org/article.php?id=37
• http://www.phrack.org/
• http://www.google.com

56