Ps-Graduao em Engenharia de Redes de Computadores

Introduo Segurana da
Informao
Ameaas Segurana da rede
Prof. Me Vandersilvio da Silva

1.1.1.1 Evoluo da Segurana de Redes

Julho.2001: worm CODE RED ataca Web Servers, 350mil hosts.
Mq infectadas atacariam juntas o endereo IP da Casa Branca.
No obtiveram sucesso porque houve tempo hbil para trocar o
endereo IP.

1.1.1.2 Evoluo da Segurana de Redes

Sofisticao das Ferramentas X Conhecimento Tcnico.

1.1.1.3 Evoluo da Segurana de Redes

1984 - Sistemas de Deteco de Intruso (primeiro: da SRI ).

Final de 1990 Sistemas de Preveno de Intruso.

1988 Firewall como filtro de pacotes [isolados] ( da DEC).

1989 Firewall statefull: pacotes do mesmo fluxo (AT&T Bell)

Primeiros firewalls dentro de roteadores, depois em equip

especficos. (Adaptative Security Appliance:ASA, Integrated
Service Router: ISR)

1.1.1.4 Ameaas internas: Spoofing e DoS

Spoofing: ataques com dados falsos.
DoS: negao de Servio.
ATUALMENTE DOIS DOS MAIORES PROBLEMAS DE SEGURANA

1.1.1.5 Criptografia
- Criptografia garante confidencialidade
Segurana da Informao: Confidencialidade, Integridade(mecanismos
de hashing) e Disponibilidade(proteo e backup)

1.1.2.1&2 Hacker e Profissionais de Segurana

Profissional de Segurana: precisa estar um passo frente dos

hackers, participando de treinamento e workshops, participando de
organizaes de segurana, assinatura de feeds em tempo real sobre
ameaas, e buscando diariamente informaes em sites de segurana.

Hacker: profissional que usa suas habilidades sofisticadas de programao

para assegurar que as redes no estejam vulnerveis a ataques.

1960s: Phone Freaking, phreaking uso de freq de udio para manipular

sistemas telefnicos.

1980s:Wardialing discagens autom de nos de telefone para encontrar

pontos de acesso a dados

1990s:Wardriving procura de Redes sem fio sem restrio de acesso

Ferramentas de explorao (Scanning): Nmap, SATAN.

Ferramentas de adm remota: Back Orifice

1.1.2.1&2 Ttulos de Hacker

Phreaker: Um indivduo que manipula a rede
celular, a fim de fazer com que ele execute uma
funo que no normalmente permitida como
para fazer chamadas de longa distncia.
Spammer: Indivduo que envia grandes
quantidades de mensagens de e-mail no
solicitadas. Spammers usam frequentemente
vrus para assumir o controle de computadores
domsticos para enviar suas mensagens em
massa.
Phisher: Indivduo que usa email ou outros
meios na tentativa de enganar os outros para
fornecer informaes confidenciais, como
nmeros de carto de crdito ou senhas.

1.1.2.3 Leis p/Segurana de Rede

David Smith criou o primeiro virus de e-mail: Melissa. Estouro de
memria dos servidores. Condenado a 20meses de priso e
multa de US$5.000.

Robert Morris criou o 1o worm de Internet com 99 linhas de cdigo.

Recebeu trs anos de liberdade condicional, 400 horas de servio
comunitrio e uma multa de US$10.000.

Um dos hackers mais famosos da Internet, Kevin Mitnick, foi preso por
hackear contas de crdito do carto no incio de 1990.

1.1.2.3 1o ataque de DOS: MafiaBoy

Mafiaboy era o apelido de Michael Calce, estudante canadense do
ensino mdio, com de 15 anos de idade.
Ele lanou ataques de negao de servio em fev/2000 contra Yahoo!,
Amazon.com, Dell Inc., E * TRADE, eBay, e CNN.
Sentena de 8 meses de "custdia aberta", um ano de liberdade
condicional, de uso restrito da Internet, e uma pequena multa.
Em 2005, o Sr. Calce escreveu como colunista em temas de segurana
de computadores para o Le Journal de Montral.
Em 2008, ele publicou Mafiaboy: "Como eu crackei a Internet e por
que ainda est quebrada."

1.1.3.1 Organizaes de Seg. de Redes

Profissionais de Segurana trabalham colaborativamente.

1.1.3.1 Organizaes de Seg. de Redes

InfoSysSec: hospeda um portal de notcias de
segurana, (alertas, exploits e vulnerabilidades).
Mitre Corporation: mantm uma lista de
vulnerabiliddes e exposies comuns (Common
Vulnerabilities and Exposures - CVE)
Forum of Incident Response and Security Teams
(FIRST): rene vrias equipes de resposta a incidentes.
Center for Internet Security (CIS): desenvolve
benchmarks de configurao de segurana atravs de
um consenso global para reduzir o risco de
interrupes de negcios e e-commerce.

1.1.3.2 SANS [www.sans.org]

SysAdmin,Audit, Network, Security (SANS) Institute
desenvolve documentos de investigao sobre vrios aspectos de
segurana da informao.
profissionais de segurana em diversas org. globais, de empresas a
universidades, trabalhando em conjunto para ajudar a comunidade de
segurana informaes.

1.1.3.3 CERT [www.cert.org]

Computer Emergency Response Team (CERT): trabalha com a
comunidade da Internet na deteco e resoluo de incidentes de
segurana informtica.

O Morris Worm motivou a criao do CERT

se concentra em 5 reas: garantia de software, sistemas de segurana,

segurana organizacional, resposta coordenada, e de
educao&treinamento.

1.1.3.3 ( Morris Worm )

Robert Morris foi julgado e
1 vrus de computador
condenado. Aps apelos, ele
distribudo atravs da Internet.
foi condenado a trs anos de
Escrito por um estudante da
liberdade condicional, 400
Univers.de Cornell, Robert
horas de servio comunitrio
Morris, lanado em 02/11/88 do
e uma multa de US $ 10.000.
MIT.
Morris disse que no era para
causar danos, mas para medir o
tamanho da Internet.
Explorava vulnerabilidades
conhecidas do Unix sendmail, e
senhas fracas.
Cerca de 6.000 mquinas grandes
Unix foram infectados pelo worm
Morris.

1.1.3.4 (ISC)2 [www.isc2.org]

International Information Systems Security Certification Consortium
A misso da (ISC) 2 tornar o mundo um lugar mais seguro ciberntico,
elevando a segurana da informao para o domnio pblico, e apoiar e
desenvolver profissionais de segurana de rede ao redor do mundo.
>75.000 profissionais da indstria certificados em todo o mundo.
universalmente reconhecida por suas certificaes, incluindo o
Certified Information Systems Security Professional (CISSP).

1.1.3.5 Really Simple Syndication (RSS)

Alm dos sites das organizaes de segurana, uma das ferramentas
mais teis para a segurana da rede profissional RSS.
RSS uma famlia de formatos baseados em XML usada para publicar
informaes atualizadas com freqncia, como entradas de blog,
notcias, udio e vdeo. RSS usa um formato padronizado. Um feed RSS
inclui texto completo ou resumido, alm de metadados, como
publicao de datas e autorias.
Exemplo, o pgina do US-CERT um resumo regularmente atualizado
dos mais importantes incidentes de segurana reportados ao US-CERT.
Um texto feed RSS est disponvel em http://www.uscert.gov/current/index.rdf.
Este feed informa 24hora/dia informaes sobre alertas de segurana,
fraudes por e-mail, vulnerabilidades de backup, malware se
espalhando atravs de sites de redes sociais, e outras ameaas
potenciais.

1.1.4.1 Domnios da Segurana de Rede

estrutura organizada para facilitar a aprendizagem sobre segurana de
rede..
A ISO/IEC 27002 especifica 12 domnios de Segurana de Rede

1.1.4.2 Poltica de Segurana

Um dos domnios mais importantes a poltica de segurana. Uma
poltica de segurana uma declarao formal das regras a serem
respeitadas pelas pessoas que tm acesso aos ativos de tecnologia e
informao de uma organizao.

1.2 Virus, Worms e Cavalos de Tria

- Um vrus um software malicioso que est anexado a
outro programa para executar uma funo indesejada
na estao de trabalho do usurio.
- Um worm executa um cdigo arbitrrio e instala cpias
de si mesmo na memria do computador infectado, e
infecta outros hosts.
- Um cavalo de Tria diferente apenas na medida em
que todo o aplicativo foi escrito para parecer outra
coisa, quando na verdade ele uma ferramenta de
ataque.

1.2.1.1 Virus
S pode se espalhar de um computador para outro por:
- Envio atravs de uma rede como um arquivo ou como
uma carga de e-mail.
- uma mdia removvel.
Vrus precisa da INTERVENO DO USURIO para
espalhar ...

1.2.2.1 WORMs
Worms geralmente deixam as redes lentas.
Worms NO NECESSITAM DA PARTICIPAO DO
USURIO e podeM se espalhar muito rpido na rede.
Jan/2001: worm SQL
Slammer abalou a
Internet.
+ de 250 mil mq em
30min.
bug de estouro de
buffer no Microsoft SQL
Server.
patch lanado em
meados de 2002.

1.2.2.2 Anatomia de um WORM

Enabling vulnerability
Um worm se instala usando um
vetor de explorao em um
sistema vulnervel.

Propagation mechanism
Depois de ganhar acesso a
dispositivos, ele se replica e
seleciona novas sistemas.

Payload
Aps infectar um sistema o
atacante tem acesso ao host muitas vezes como um usurio
privilegiado.

1.2.2.3 Cinco fases de ataque de virus/worms

Probe phase: alvos vulnerveis so iden cados por meio
de varreduras de ping. Hackers obtem senhas.
Penetrate phase: cdigo malicioso transf p/ o alvo.
Persist phase: garantir que o cdigo atacante est em
execuo e disponvel para o atacante, mesmo se o
sistema for reinicializado.
Propagate phase: estender o ataque a outros alvos,
procurando por mquinas vizinhas vulnerveis.
Paralyze phase: o dano real feito para o sistema. Os
arquivos podem ser apagados, os sistemas podem falhar,
as informaes podem ser roubadas, e ataques DDoS
podem ser lanados.

1.2.3.1 Cavalos de Tria :

de acesso remoto - permite o acesso rem. no autoriz.
de transmisso de dados - fornece dados ao atacante
destrutivos - corrompe ou apaga arquivos
Proxy executa funes do computador do usurio.
FTP abre a porta 21
Desab da segurana deslig antivrus ou firewalls
De Negao de Servio
retarda ou interrompe
a atividade da rede

1.2.4.1 Mitigao de virus/worms/Trojan

Principal problema: Estouro de buffer (1/3 dos ataques
identif pelo CERT)
Tcnica de mitigao defensiva : ANTI-VIRUS
Anti-virus so baseados em Host: no impedem que os
vrus entrem na rede.
Atualizaes de segurana
so fundamentais!!!

1.2.4.3 Mitigao de Worms (1)

A resposta a uma infeco por worm pode ser
dividida em 4 fases:
Conteno

Inoculao

Quarentena

Tratamento

1.2.4.3 Mitigao de Worms(2)

Fase de conteno (Containment phase):
-Limitar a propagao de uma infeco por worm para as reas
da rede que j so afetados.
-Compartimentar e segmentar a rede para diminuir ou parar o
worm para evitar atualmente hosts infectados de segmentao e
infectar outros sistemas.
-Usar as duas ACLs de entrada e sada em roteadores e firewalls
em pontos de controle dentro da rede.
Fase de inoculao(inoculation phase):
-Corre paralelamente ou aps a fase de conteno.
-Todos os sistemas infectados so corrigidos com o patch do
fornecedor apropriado para a vulnerabilidade.
-O processo de inoculao priva ainda mais o verme de todos os
alvos disponveis.

1.2.4.3 Mitigao de Worms(3)

Fase de Quarentena(quarantine phase):
-Rastrear e identificar mquinas infectadas dentro das reas
contidas e desligar, bloquear ou remov-los. Isto isola estes
sistemas de forma adequada para a fase de tratamento.

Fase de Tratamento(treatment phase):

- Sistemas ativamente infectados so desinfectados do worm.
- Encerrar o processo do worm, remover os arquivos modificados
ou configuraes do sistema que o worm introduziu, e corrigir a
vulnerabilidade do worm usada para explorar o sistema.
- Em casos mais graves, reinstalar completamente o sistema para
assegurar que o worm e os seus produtos foram removidos.

1.3 Metodologias de Ataque

Categorias de Ataque:
De Reconhecimento
De Acesso
De Negao de Servio

1.3.1.2 Ataque de Reconhecimento

Em muitos casos precede um ataque de Acesso ou DoS
Consultas a informaes da Internet
Escaneamento de Portas ( port Scanning)
Sniffers(farejadores:
veem os dados: placa de
rede em modo promscuo)

Varreduras com ping

(ping sweeps)

1.3.2.1 Ataques de Acesso

3 Razes: Obter Acesso, Aumentar os privilgios
de Acesso, Recuperar Dados

1.3.2.2 Ataques de Acesso

Ataques de Senha (Password attaks)
Explorao de Confiana (Trust exploitation)
Redirecionamento de porta (Port redirection)
Ataque homem-no-meio (Man-in-the-middle)
Estouro de buffer (Buffer overflow)

So detectados revendo os logs, verificando uso

de largura de banda e cargas de processos.

1.3.3.1 Ataques de Negao de Servio

Aplicativo falha por situao inesperada ou enorme
quantidade de dados. A rede pode ficar lenta ou entrar em
colapso.

1.3.3.2 Ataques de Negao de Servio

Pacotes envenanados ou grande quantidade de pacotes
O ataque pode ser distribudo (DDoS) : enfecta-se hosts com SW
zumbis. Os zumbis disparam ataques simultneos, controlados
remotamente.

1.3.3.3 Ataques de Negao de Servio

Ping of death ping da Morte : pacote maior que 65.535 bytes
Ataque Smurf (Sovietic Men Under the Red Father?) = Muitos pings

1.3.3.3 Ataques de Negao de Servio

TCP SYN Flood : inundao de conexes TCP semi-abertas

1.3.4.2 Mitigao de Ataques de Rede

Para mitigar ataques de RECONHECIMENTO:
- Autenticao forte
- One-Time-Password (OTP)
- De 2 fatores: algo que tem (carto) + algo que
conhece(PIN). Automated Teller Machines (ATMs)
usam

- Criptografia
- Switch dificulta sniffer
- IPS e Firewalls

1.3.4.3 Mitigao de Ataques de Rede

Para mitigar ataques de ACESSO:
-

Desab contas aps perodo sem acesso

OTP
Senhas fortes
Redes projetada usando o princpio de
confiana mnima
- Criptografia

1.3.4.3 Mitigao de Explor. Confiana

Rede interna do Firewall no confia em rede
Externa ou DMZ

1.3.4.3 Mitigao de Men-in-the-middle

Man-in-the-middle podem ser efetivamente
atenuados apenas atravs do uso de criptografia.

1.3.4.3 Mitigao de DoS e DDoS

Recursos anti-DoS em roteadores e firewalls:
- limites para a quantidade de conexes TCP
semi-abertas que um sistema permite a qualquer
momento.

1.3.4.3 Mitigao de IP Spoofing

A ameaa de falsificao de IP pode ser
reduzida, mas no eliminada, com:
- Configurao de controle de acesso
- Criptografia
- Filtragem da RFC 3704 (nega trfego de
endereos falsos)
- Exigncia de autenticao adicional que
no usa o endereo IP

1.3.4.5 Dez Melhores Prticas

1. Mantenha os patches atualizados, instalando-los semanalmente
ou diariamente, se possvel, para evitar estouro de buffer e ataques
de escalao de privilgios.
2. Desligue as portas e os servios desnecessrios.
3. Use senhas fortes e mude-as frequentemente.
4. Controlar o acesso fsico aos sistemas.
5. Evite entradas de pginas web desnecessrias. Alguns sites
permitem que os usurios digitem nomes de usurios e senhas. Os
programadores devem limitar caracteres de entrada e no aceitar
caracteres invlidos como |, <> como entrada.

1.3.4.5 Dez Melhores Prticas (cont.)

6. Faa backups e teste os arquivos de backup regularmente.
7. Instrua os funcionrios sobre os riscos da engenharia social, e
desenvolva estratgias para validar a identidade por telefone, via email ou pessoalmente.
8. Criptografe proteja com senhas os dados.
9. Implemente segurana com hardware e software, como firewalls,
IPSs, dispositivos de rede virtual privada (VPN), software antivrus e
filtragem de contedo.
10. Desenvolva uma poltica de segurana por escrito para a
empresa.

ANEXOS

Anexo 1 Conhea seu Inimigo

"Se voc se conhece, mas no
o inimigo, para cada vitria
ganha sofrer tambm uma
derrota."
Sun Tzu - A Arte da Guerra
Antes de aprender como se
defender contra ataques, voc
precisa saber como um
potencial invasor opera.

Anexo 1 - Hackeando um Rede

O objetivo de qualquer hacker comprometer o alvo
pretendido ou aplicao.
Hackers comeam com pouca ou nenhuma informao
sobre o alvo pretendido.
A sua abordagem sempre cuidadosa e metdica,
nunca apressado e nunca imprudente.
O processo de sete etapas descritas no prximo slide
uma boa representao do mtodo que os hackers
usam - e um ponto de partida para uma anlise de
como derrot-lo.

Anexo 1 7 passos p/rackear uma rede

Passo 1 - Realizar anlise de reconhecimento.
Passo 2 - Detalhar a informao.
Passo 3 - Manipular usurios para obter acesso.
Passo 4 - Escalar privilgios.
Passo 5 - Reunir senhas e segredos adicionais.
Passo 6 - Instalar back doors.
Passo 7 - Aproveitar o sistema comprometido.

A1Passo1.Anlise de reconhecimento
Adquirir informaes em pgs da Web, listas
telefnicas, folhetos da empresa, filiais, etc
Obter detalhes: comando nslookup para conciliar os
nomes de domnio contra endereos IP dos servidores e
dispositivos da empresa; traceroute para ajudar a
construir a topologia.
Programas utilitrios: consultas WHOIS (www.who.is/);
varredura de portas para encontrar portas abertas e
sistemas operacionais instalados em hosts; Nmap:
Network Mapper um utilitrio de cdigo aberto para
explorao de rede ou auditoria de segurana.

A1 Como se proteger do Passo1

Manter todos os dados sensveis offline(planos de
negcios, frmulas e documentos de propriedade).
Minimizar a quantidade de informao em seu site
pblico.
Examinar as inseguranas de seu prprio site.
Executar uma varredura de ping em sua rede.
Familiarize-se com um ou mais dos cinco Registros
Regionais da Internet para determinar blocos de rede.
Familiarize yourself with one or more of the five
Regional Internet Registries such as ARIN for North
America to determine network blocks.

A1Passo2.Detalhes de Informao
Quais aplicativos e verses de servidor web, FTP, e
correio?
Ouvir as portas TCP e UDP e enviar dados aleatrios
para cada uma.
Informaes de referncia cruzada em bancos de dados
de vulnerabilidades para procurar potenciais exploits.
Explorar as portas TCP usadas, por exemplo:
Windows NT, 2000, XP e compartilhamento de arquivos
atravs do protocolo SMB, que usa a porta TCP 445.
No Windows NT, SMB roda em cima do NetBT usando
as portas 137, 138 (UDP), e 139 (TCP).

A1Passo2.Ferramentas de Software
Ferramentas de hacker:Netcat( l e escreve dados
atravs de conexes de rede TCP/IP); Microsoft
EPDump e Call (RPC) Dump Remote Procedure
(fornecem informaes sobre os servios Microsoft RPC
em um servidor: Ms EPDump mostra o que est sendo
executado e as portas em espera atribudas
dinamicamente) ; Dump RPC (rpcdump.exe - consulta
endpoints RPC); Getmac: (obtem rapid o end MAC
MsWin2000).
Kits de desenvolvimento de software (SDKs): fornecem
aos hackers as ferramentas bsicas de que necessitam
para aprender mais sobre sistemas.

A1-Passo3. Manipulao de usurios

Mesmo com segurana sofisticada a empresa
ainda vulnervel:seu elo mais fraco so as
pessoas!
Obtenso de senhas por hackers:

Engenharia social
Ataques de quebra (cracking) de senha

A1-Passo3. Engenharia Social

manipular as pessoas dentro da
rede para fornecer as
informaes necessrias para
acessar a rede.
- No necessrio usar
computadores, engenharia social
pode ser feita por telefone
Leitura recomendada:

The Art of Deception:

Controlling the Human
Element of Security
Mitnik, KD and Simon,
WL; Wiley; New Ed
edition

A1-Passo3. Sinais de alerta de eng. Social

Recusa em permitir para ligar de volta
Pedido fora do comum
Reivindicao de autoridade
Salientar urgncia
Ameaar consequncias negativas se descumprir
Mostra desconforto quando questionado
Elogios ou adulaes
flerte

A1-Passo3. Quebra de Senha

listas de palavras, fora bruta, Post-It (papel amarelo)
preso no lado do monitor, ou no topo da gaveta
Quebra de senha ataca qualquer aplicativo ou servio
que aceita a autenticao do usurio, por exemplo:
-NetBIOS sobre TCP (TCP 139)
-Host direto (TCP 445)
-FTP (TCP 21)
-Telnet (TCP 23)
-SNMP (UDP 161)
-PPTP (TCP 1723)
-Servios de terminal (TCP 3389)

A1-Passo4. Escalar Privilgios

Depois de garantir a senha de uma conta de usurio e
privilgios ao nvel de usurio para um host, hackers
tentam aumentar seus privilgios.
O hacker ir analisar todas as informaes que ele ou
ela pode ver no host:
-Arquivos contendo nomes de usurio e senhas
-Chaves de registro contendo senhas de aplicativos ou
usurio
-Toda a documentao disponvel (por exemplo, e-mail)
-Se o host no pode ser visto pelo hacker, o hacker
pode lanar um cavalo de Tria como W32/QAZ para
fornec-la.

A1-Passo5.Reunir segredos adicionais

Alvos dos Hackers:
-O gerente de segurana de banco de dados de contas
locais
-O diretrio ativo de um controlador de domnio
Hackers podem usar ferramentas legtimas, incluindo
pwdump e aplicaes lsadump.
Hackers ganham acesso administrativo a todos os
computadores por nomes de usurio de referncia
cruzada e combinaes de senha.

A1-Passo6. Instalar back doors

Back Doors: proporcionar um caminho de
entrada para o sistema quando a porta de
frente est trancada.
Back Doors podem utilizar trfico reverso:
Exemplo: Code Red, que usou a porta TCP 80 para
instruir servidores web sem correo para executar
uma conexo TFTP a partir do servidor.
Redirecionadores de Porta: podem ajudar a contornar
os filtros de portas, roteadores e firewalls e podem at
mesmo ser criptografados atravs de um tnel SSL para
iludir os dispositivos de deteco de intruso.

A1-Passo7. Dispor do Sistema

Back doors e redirecionadores de porta permitem que
hackers ataquem outros sistemas na rede.
Trfico reverso permite que hackers contornem os
mecanismos de segurana.
Trojans permitem que hackers executem comandos
sem serem detectados.
A explorao da rede pode ser automatizada.
O hacker fica escondido atrs de uma conta de
administrador vlida.
Todo o processo de sete etapas repete-se e o hacker
continua a penetrar na rede.

A1-Melhores prticas de proteo(1de2)

Manter os patches atualizados.
Desligar as portas e os servios.
Usar senhas fortes e mude-as frequentemente.
Controlar o acesso fsico aos sistemas.
Evitar entradas de pginas web desnecessrias.
Alguns sites permitem que os usurios digitem
nomes de usurios e senhas.

A1-Melhores prticas de proteo(2de2)

Limitar caracteres de entrada e no aceitar
caracteres invlidos (|; <>) em usurios e
senhas.
Fazer e testar backups do sistema regularmente.
Educar os usurios sobre engenharia social.
Criptografar dados sensveis.
Usar hardware e software de segurana
apropriados.
Desenvolver uma poltica de segurana por
escrito para a empresa.