Vous êtes sur la page 1sur 197

Fundamentos de Segurana da Informao

25/03/2012

Prof. Lohn

O que Segurana da Informao?

25/03/2012

Prof. Lohn

Garantir que as informaes (em qualquer formato: mdias eletrnicas, papel e at mesmo em conversaes pessoais ou por telefone) estejam protegidas contra o acesso por pessoas no autorizadas (confidencialidade), estejam sempre disponveis quando necessrias, e que sejam confiveis (integridade - no tenham sido corrompidas ou adulteradas por atos de pessoas mal intencionadas).
Luiz Otvio B. Lento 25/03/2012 Prof. Lohn 3

Segurana
Destruio

Proteo contra

Vazamento

da Informao

Intencional Modificao Acidental e mau uso dos recursos


25/03/2012 Prof. Lohn 4

Porm, para que a informao possa estar segura so necessrios:

25/03/2012

Prof. Lohn

Soluo Global
Firewall Autenticao unificada Anti-vrus Criptografia Etc..

PROTEO TCNICA

PROTEO HUMANA ORGANIZACIONAL

CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE


PROTEO FSICA INFRA-ESTRUTURA

Conscientizao Treinamentos Polticas Contratos Etc..

Climatizao Cabeamento Definio de permetros de segurana Segurana dos equipamentos Etc..

25/03/2012

Prof. Lohn

Precisamos de segurana? Por qu?

25/03/2012

Prof. Lohn

10 de agosto

24 de outubro

Segurana sinnimo de maior qualidade de servio e maior retorno de investimentos (ROI)

25/03/2012

Prof. Lohn

10

Percepes do ROI de Segurana

Fonte: Marcos Smola Gesto da segurana da 25/03/2012 informao

Prof. Lohn

11

Exemplos do porque deve-se ter segurana !!

25/03/2012

Prof. Lohn

12

Um exemplo da preocupao mundial com a segurana das informaes, foi a NSA contratando alguns hackers, distribuindo (sem pelo mundo, e das

mandando-os

atacar

conhecimento

autoridades do pas) diversos sistemas cruciais para os EUA.

25/03/2012

Prof. Lohn

13

Como resultado, todos os sistemas foram penetrados (alguns com conhecimento, a maioria sem conhecimento), sendo que somente um dos ataques foi rastreado at a Coria do Sul, porm, o hacker estava atacando da Alemanha.

25/03/2012

Prof. Lohn

14

EUA: Companhia area cancelou 40 vos e atrasou outros 32 AUSTRLIA: Trens atrasados afetaram 300 mil pessoas SUCIA: Paralisados 5 mil PCs e equipamentos de Raios-X em Hospital

25/03/2012

Prof. Lohn

15

Cerca de 80 % dos vrus na Amrica do Sul foram no Brasil PF prendeu mais de 100 pessoas no Brasil por fraudes eletrnicas Cerca de 83 % dos e-mails no mundo so Spam

25/03/2012

Prof. Lohn

16

Grupos so criados em todo o mundo para estudarem novas formas de ataque. O Brasil um dos lderes ranking mundial de hackers e crimes virtuais.

25/03/2012

Prof. Lohn

17

Viso panormica de Ameaas que pem em risco o negcio

Fonte: Marcos Smola Gesto da segurana da informao

25/03/2012

Prof. Lohn

18

O que se pode fazer?


Implantar uma soluo de segurana!!!!

25/03/2012

Prof. Lohn

19

SEGURANA - UMA BALANA ENTRE CUSTO e BENEFCIO

25/03/2012

Prof. Lohn

20

Segurana no somente colocar dispositivos de HW, SW, por exemplo. uma mistura de tecnologia e estratgia.

25/03/2012

Prof. Lohn

21

Como implantar uma soluo de segurana?? Quais so as fases deste processo?

25/03/2012

Prof. Lohn

22

Segurana Operacional etapas de uma soluo de segurana da informao

25/03/2012

Prof. Lohn

23

Exerccio 1 O que est errado ou no to adequado????

25/03/2012

Prof. Lohn

24

25/03/2012

Prof. Lohn

25

Conceitos de segurana

25/03/2012

Prof. Lohn

26

Definies Bsicas 1 - Segurana da Informao uma rea do conhecimento dedicada a proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana como meio a segurana da informao visa garantir a confidencialidade, integridade e disponibilidade da informao, no repdio e autenticidade. A segurana como fim - a segurana da informao alcanada por meio de prticas e polticas voltadas a uma adequada padronizao operacional e gerencial dos ativos, e processos que manipulam e executem a informao. 25/03/2012 Prof. Lohn 27

2 - Informao conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processo comunicativos (troca de mensagens) ou transacionais (ex: transferncia de valores monetrios). legalidade caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais ou legislao vigente. 3 Ativo todo elemento que compe os processos que manipulam e processam a informao, a contar a prpria informao, o meio em ela armazenada, os equipamentos em que ela manuseada, transportada e descartada.

25/03/2012

Prof. Lohn

28

Incidente Evento (fato) decorrente da ao de uma ameaa que explora uma ou mais vulnerabilidades, levando a perda de princpios da segurana da informao: confidencialidade, integridade e disponibilidade. Um incidente gera impactos aos processos de negcio da empresa, sendo ele o elemento a ser evitado em uma cadeia de gesto de processos e pessoas.

25/03/2012

Prof. Lohn

29

Toda a empresa sofre ameaas que tentam explorar as vulnerabilidades a fim de acessar as informaes manipuladas pelos ativos que do suporte a execuo dos servios necessrios aos processos de negcio da empresa.

25/03/2012

Prof. Lohn

30

Viso condensada dos desafios de segurana

Fonte: Marcos Smola Gesto da segurana da informao


25/03/2012 Prof. Lohn 31

Faces da Segurana
Segurana Fsica - A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas ao longo da propriedade fsica do negcio e das facilidades de processamento da informao.

Controle de acesso (Biometria) Controles Condies ambientais (enchentes, raios) Imprevistos (incndios)

25/03/2012

Prof. Lohn

32

Segurana Lgica consiste na habilidade de aplicar controles lgicos, isto , barreiras lgicas que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

25/03/2012

Prof. Lohn

33

Cada barreira estabelece um permetro de segurana, cada uma destas contribuindo para o aumento da proteo total fornecida. As organizaes devem usar os permetros de segurana para proteger as reas que contm as facilidades de processamento de informao.
25/03/2012 Prof. Lohn 34

Permetro de Segurana
Um permetro de segurana qualquer coisa que permita implantar uma barreira, isto , uma parede, um portal com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual, ou tambm a solicitao de identificao e

autenticao de um usurio junto a um sistema.


25/03/2012 Prof. Lohn 35

Permetro

Fonte: Marcos Smola Gesto da segurana da informao

Permetros: o alvo a informao

25/03/2012

Prof. Lohn

36

A localizao e a resistncia de cada barreira depende dos resultados da anlise de risco , que fornecer subsdios para determinar quais controles sero aplicados na proteo dos ativos selecionados.. Define o sistema computacional que ser protegido Distinguir usurios normais e os atacantes

25/03/2012

Prof. Lohn

37

Fonte: Marcos Smola Gesto da segurana da informao

25/03/2012

Prof. Lohn Representao de permetros fsicos e lgicos

38

Barreiras de Segurana
As barreiras visam reduzir os riscos, sendo que cada uma exerce um conjunto de funes e devem ser dimensionadas de forma adequada para proporcionar a mais perfeita interao e integrao, como se fossem uma nica pea.

25/03/2012

Prof. Lohn

39

Fonte: Marcos Smola Gesto da segurana da informao

Barreiras de Segurana

Atacante
(Ameaas)
1 2 3 4 5 6

Sistema Alvo
(Negcio)

Crescimento do impacto

25/03/2012

Prof. Lohn

40

1 desencorajar: objetiva desmotivar ou perder o interesse e o estmulo pela tentativa de quebra de segurana, por efeito de mecanismos fsicos, tecnolgicos ou humanos (ex: presena de uma cmera de vdeo). 2 dificultar: complementa a barreira anterior, adotando controles que iro dificultar o acesso indevido (ex: roletas, detectores de metal). 3 discriminar: o importante se cercar de recursos que permitam identificar e gerir acessos, definindo perfis e autorizando permisses. Os sistemas so largamente empregados para monitorar e estabelecer limites de acesso a sistemas de telefonia, permetros fsicos, etc.
25/03/2012 Prof. Lohn 41

4 detectar: complementa as barreiras anteriores, onde possui solues de segurana que sinalizem, alertem e instrumentem os gestores de segurana na deteco de situaes de risco (ex: sistemas de monitoramento e auditoria Nessus, Nagios). 5 deter: impedir que as ameaas atinjam os ativos que do suporte aos servios de TI (ex: aes administrativas, punitivas e bloqueio de acesso fsicos e lgicos). 6 diagnosticar: representa a continuidade do processo de gesto de segurana. o elo de ligao com a primeira barreira, pois um diagnstico correto possibilita detectar os problemas de segurana e assim realizar as alteraes necessrias.

25/03/2012

Prof. Lohn

42

Propriedades de Segurana

25/03/2012

Prof. Lohn

43

Confidencialidade a segurana de um sistema computacional no deve admitir que informaes sejam descobertas por qualquer pessoa no autorizada. privacidade A das confidencialidade informaes garante sensveis a em

ambientes computacionais.;

25/03/2012

Prof. Lohn

44

Integridade manter a integridade dos dados de um sistema significa que estes no tero as suas informaes corrompidas, sejam de forma acidental ou intencional via pessoas no autorizadas; e

25/03/2012

Prof. Lohn

45

Disponibilidade consiste na capacidade de manter disponvel para os usurios do sistema os

dispositivos de software e hardware. O oposto da disponibilidade o DoS (Denial of Service).

25/03/2012

Prof. Lohn

46

Existem

consideraes

tambm

quanto

as

propriedades de: Autenticidade - consiste numa forma de verificar a origem do dado (quem enviou ou quem introduziu o dado no sistema); e

25/03/2012

Prof. Lohn

47

No Repdio - garante em protocolos e transaes as protees contra comportamentos omissos ou maliciosos realizadas. onde participantes neguem aes

25/03/2012

Prof. Lohn

48

Perguntas Importantes Autenticidade: afirmando ser? Integridade: A mensagem esta idntica quela enviada pelo emissor? Confidencialidade: Quem pode ler esta informao? Disponibilidade: A informao est disponvel para os usurios legtimos?
25/03/2012 Prof. Lohn 49

Voc

realmente

quem

esta

Mecanismos de Segurana

25/03/2012

Prof. Lohn

50

Para assegurar que os sistemas implantem as propriedades de segurana e sejam ditos seguros, existe a necessidade de adoo de mecanismos de segurana Os mecanismos de segurana so os responsveis efetivos pela garantia das propriedades e polticas de segurana

25/03/2012

Prof. Lohn

51

Principais Mecanismos de Segurana: 1. Criptografia - A criptografia o processo de transformao aplicvel aos dados de modo a ocultar o seu contedo, ou seja quando existe necessidade de secretismo dos dados. 2. Autenticao (tambm considerada como propriedade de segurana) 3. Autorizao e Controle do Acesso

25/03/2012

Prof. Lohn

52

4. Auditoria

consiste

em

estabelecer

executar

procedimentos para a coleta de dados gerados pela atividade de um sistema computacional (uma rede, sistema de informao ou qualquer dispositivo de hardware ou software). Estes dados podem ser utilizados na anlise de segurana do sistema computacional em questo, visando detectar as falhas ocorridas para que possam ser corrigidas e responder aos incidentes de segurana ocorridos.
25/03/2012 Prof. Lohn 53

Controle de Acesso

25/03/2012

Prof. Lohn

54

Limita as aes ou operaes que um sujeito de um sistema computacional pode executar, restringindo o que ele pode fazer diretamente, como tambm os programas que podem ser executados em seu nome. Estabelecer a associao entre cada usurio e privilgios Indicar quem (ou o qu) pode ter acesso a algum objeto. a - Objeto tangvel: impressora. b - Objeto abstrato: diretrio, arquivo ou servio de rede

25/03/2012

Prof. Lohn

55

A figura apresenta o esquema bsico do controle de acesso exercido atravs de mecanismos em um sistema computacional.
Poltica Regras de Acesso

Administrador do Sistema

Controle de Acesso Monitor de Referncia

Objetos

Sujeito

Registro de auditoria 25/03/2012 Prof. Lohn 56

Identificao/Autenticao
Identificao processo pelo qual o usurio (processo, componente, etc) diz ao sistema quem (ex: nome do usurio, biometria, crachs, tokens de segurana). Autenticao - uma prova de identidade, isto , o sistema deve possuir mecanismos para confirmar positivamente as identificaes. Mtodos usados para identificar um usurio: - Alguma coisa que voc sabe: conhecimento (ex: senha). - Alguma coisa que voc tem: posse (ex: carto do banco). - Alguma coisa que voc : caracterstica (ex: impresso digital). Mtodo mais utilizado: Login + password

25/03/2012

Prof. Lohn

57

Autenticao x Autorizao Por que a autenticao uma condio prvia para a autorizao?
No existe como estabelecer os direitos de uma entidade dentro de um sistema sem antes GARANTIR a sua identidade.
Primeiro Autenticao Depois Autorizao

25/03/2012

Prof. Lohn

58

Pode-se dizer que, a segurana da informao obtida a partir da implementao de um conjunto adequado de processos (ex: polticas, prticas, procedimentos, estruturas organizacionais e funes de software), que garantem que os objetivos especficos de segurana de uma organizao sejam obtidos.

25/03/2012

Prof. Lohn

59

Violaes

25/03/2012

Prof. Lohn

60

As

Violaes

de

segurana

em

sistemas

computacionais correspondem a burlar de alguma forma a segurana de um sistema computacional.

25/03/2012

Prof. Lohn

61

Tipos de Violao
Tipo de Violao 1 Revelao No Autorizada 2 Modificao No Autorizada 3 Negao de Servio Propriedade de Segurana Violada Confidencialidade Integridade Disponibilidade

25/03/2012

Prof. Lohn

62

As violaes de segurana so decorrncias de vulnerabilidades, ameaas e ataques em sistemas computacionais.

25/03/2012

Prof. Lohn

63

Ameaas, Vulnerabilidades e Riscos

25/03/2012

Prof. Lohn

64

Vulnerabilidade - o ponto onde o sistema susceptvel ao ataque, isto , fraquezas ou imperfeies em procedimentos, servios ou

sistemas, oriundas de falhas de concepo, implementao ou de configurao;

25/03/2012

Prof. Lohn

65

Tipos de Vulnerabilidades Fsicas - acessos indevidos a compartimentos que guardam computadores com informaes sensveis do seu sistema; Naturais - computares so vulnerveis a desastres naturais (fogo, enchentes, etc);

25/03/2012

Prof. Lohn

66

Hardware e Software - certos tipos de hardware falham e podem comprometer a segurana de um sistema computacional por inteiro. Falhas de

desenvolvimento de sistemas, deixando portas de entrada abertas, podem afetar a segurana do sistema como um todo;
25/03/2012 Prof. Lohn 67

Emanao - equipamentos eletrnicos podem emitir radiao eltrica e eletromagntica, interceptando os sinais provenientes computadores; Comunicaes - se o computador est fisicamente conectado a uma rede, ou conectado a uma rede telefnica, existe grande probabilidade dele sofrer um ataque; e de enlaces existentes em redes de

25/03/2012

Prof. Lohn

68

Humana - as pessoas que administram ou usam o seu sistema, consistem numa grande vulnerabilidade. A segurana do seu sistema est quase sempre nas mos do seu administrador.

25/03/2012

Prof. Lohn

69

Ameaas

25/03/2012

Prof. Lohn

70

tudo aquilo que tem potencial para causar danos aos ativos de informao (ex: invaso, indisponibilidade de servios, etc); Divididas em 2 categorias: Ativas so desencadeadas por ataques que interagem diretamente com o ambiente (ex: conexes a portas TCP). Passivas no h interao com a mquina atacada. O seu objetivo coleta de informaes (coleta de pacotes de rede).
25/03/2012 Prof. Lohn 71

Tipos de Ameaas Naturais e fsicas estas ameaas colocam em perigo estrutura fsica e parte dos equipamentos. (incndio, enchente, falhas de energia, entre outros). Dentro da poltica de segurana pode existir um plano para desastres (replicao da planta fisicamente posicionada remotamente).

25/03/2012

Prof. Lohn

72

No intencionais so as ameaas provenientes por ignorncia de operacionalidade do sistema (ex: um administrador de sistema no bem treinado pode executar uma operao que afete a disponibilidade de um recurso de rede). Intencionais so as ameaas provenientes de atos programados por pessoas (intrusos) ou produtos utilizados. Estes intrusos podem ser classificados em: agentes inimigos, terroristas, crackers, criminosos e corporaes criminosas.

25/03/2012

Prof. Lohn

73

Ameaas a Segurana
A B M Modificao Modificao altera a comunicao entre duas partes, violando a integridade.

Fabricao produz mensagens para um destino se passando por algum componente como se elas tivessem sido originalmente produzidas por ele.

B F Fabricao

25/03/2012

Prof. Lohn

74

Interceptao atacante se posiciona entre 2 dispositivos. Pode ser realizado para obter cpias de informaes ou modifc-las.

B I Interceptao

B Interrupo

Interrupo o invasor se posiciona entre as partes que esto se comunicando, fazendo com que o trfego gerado na origem no chegue ao destino.

25/03/2012

Prof. Lohn

75

Ataques quando uma ameaa efetivamente concretizada; e Contramedidas - so as tcnicas para proteger o seu sistema.

25/03/2012

Prof. Lohn

76

Riscos
a relao entre a probabilidade de um acontecimento, isto , a probabilidade de uma ameaa ocorrer e das suas conseqncias (o impacto para o negcio). O risco cresce quando so encontradas vulnerabilidades nos softwares, configuraes dos sistemas operacionais, servios de rede, etc. O objetivo sempre gerenciar o risco, minimizando-o ao mximo para evitar grandes danos ao negcio da Organizao.
25/03/2012 Prof. Lohn 77

Formas de Proteo

25/03/2012

Prof. Lohn

78

Segurana em hosts privilegia a colocao de controles dentro do host a ser protegido (vantagem a possibilidade de se atingir nveis de segurana elevados e personalizados; desvantagem - ser trabalhosa, principalmente se a quantidade de hosts for grande). Segurana em redes a proteo no individual, mas em um conjunto de ativos de rede. Segurana via obscuridade parte do princpio que um ativo s pode ser atacado se algum souber da sua existncia. Segurana na comunicao proteger os links por onde as informaes trafegam (garante confidencialidade, integridade e disponibilidade).
25/03/2012 Prof. Lohn 79

Estratgias de Segurana (de proteo)

25/03/2012

Prof. Lohn

80

Confiana uma das estratgias mais utilizadas (ex: quando uma pessoa passa o seu carto de crdito em um posto de gasolina, ela est de certa forma confiando os dados do carto ao estabelecimento). No caso de empresas, muitas vezes no existem controles de segurana, pois a estratgia confiar nas pessoas. Porm, a confiana no deve ser realizada de forma irresponsvel, pois toda medida de segurana fruto de uma relao custo/benefcio.

25/03/2012

Prof. Lohn

81

Privilgio Mnimo Inicialmente deve-se conhecer o que privilgio: qualquer funo ou direito que um usurio ou programa tenha acesso. Essa estratgia se baseia na restrio das permisses de acesso, permitindo o melhor controle dos privilgios (mais contas com privilgios, maior a possibilidade de ocorrer uma violao). Os elementos de um sistema computacional devem ter apenas os privilgios e direitos de acesso necessrios a execuo de suas funes.

25/03/2012

Prof. Lohn

82

Defesa em profundidade Essa estratgia faz uso de mltiplos mecanismos para aumentar o ndice de segurana (entrada em uma empresa porto externo com guarita, porto interno com cmera, etc). Caso um atacante passe por um mecanismo, existe a possibilidade desse parar no prximo mecanismo. Divide os recursos em vrios controles que se complementam (as brechas de segurana so cobertas por outro controle) e servem de redundncia entre si, ao invs de um nico controle.

25/03/2012

Prof. Lohn

83

Diversidade a defesa em profundidade somente eficaz se os controles aplicados forem diferentes. No adianta, por exemplo, colocar 6 controles iguais para proteger um Banco de Dados. Sendo assim, a defesa em profundidade deve ser com diversidade de controles, seguindo sempre um padro de complementao.
25/03/2012 Prof. Lohn 84

Ponto de estrangulamento (choke point) Essa estratgia estabelece e controla um ponto de acesso entre a rede interna e a rede externa (ex: quanto menos entradas em uma rede mais fcil o processo de monitoramento e torn-la segura ). Um ponto de asfixia fora os atacantes a usarem um canal estreito o qual pode ser amplamente monitorado e controlado
25/03/2012 Prof. Lohn 85

Elo Fraco (weakest link) A segurana de um sistema igual segurana de seu dispositivo mais frgil (elo fraco de uma corrente ex: usurio). Existe a necessidade em determinar e eliminar ou tornar mais seguro o ponto mais frgil do sistema. Proteger um ambiente uma tarefa assimtrica: quem protege deve ter ateno a todos os pontos, quem ataca precisa achar apenas o ponto falho para obter sucesso.

25/03/2012

Prof. Lohn

86

Falha Segura (fail safe) Essa estratgia parte do princpio que o sistema pode ou vai falhar. Ele dever falhar de tal modo que se negue o acesso ao atacante, isto , em caso de falhas todos os controles devem bloquear o acesso (ex: a catraca de um prdio na falta de energia prefervel no deixar que ningum tenha acesso). A falha tambm poder resultar em negao de acesso a usurios legtimos.

25/03/2012

Prof. Lohn

87

Participao Universal busca a uniformidade na aplicao das medidas de segurana, envolvendo no somente aspectos tcnicos, mas tambm treinamentos e

conscientizao de usurios. Uma rede linux, por exemplo, deve possuir um padro bsico de configurao do seu sistema operacional.

25/03/2012

Prof. Lohn

88

Aspectos conclusivos

25/03/2012

Prof. Lohn

89

1. Apesar se aplicar todas as estratgias de segurana, o risco sempre ir existir. 2. A questo trazer o risco a um nvel aceitvel. 3. A segurana deve ser tratada com uma atividade contnua, pois nunca existir um sistema totalmente seguro. 4. A segurana est ligada a relao custo/benefcio, no se esquecendo sempre de que ela deve ser transparente ao usurio. 5. Sendo a segurana uma jornada sem fim, alguns pontos so levados como parmetros de comparao: Um pequeno esforo pode eliminar 80% das suas vulnerabilidades; Um esforo moderado pode eliminar 90%; Um grande esforo pode eliminar 95%; e Nada pode eliminar os 5% restantes.
25/03/2012 Prof. Lohn 90

Ataques o que so? Como realiz-lo e evitlo?


Se voc conhece o inimigo e conhece a si mesmo ... no precisa temer o resultado de cem batalhas. Se voc se conhece mas no conhece o inimigo ... para cada vitria sofrer uma derrota. Se voc no conhece nem o inimigo e nem a si mesmo, perder todas as batalhas. Fonte: A arte da Guerra de Sun Tzu

25/03/2012

Prof. Lohn

91

Um ataque pode ser definido como a efetivao de uma ameaa sobre uma vulnerabilidade. Um ataque pode ser dividido em 3 etapas: Footprint organizao das idias com o objetivo de criar o melhor e mais completo perfil do alvo do ataque. Normalmente utiliza-se de tcnicas de engenharia social na obteno das informaes;

25/03/2012

Prof. Lohn

92

Fingerprint parte do footprint que tem como objetivo identificar o sistema operacional a ser atacado e demais sistemas. Normalmente utiliza-se uma ferramenta de scanner (Nmap, Portscan, ...) na obteno dessas informaes; Enumerao consiste na obteno das informaes do ambiente do alvo, como contas dos usurios, recursos compartilhados e mal protegidos e principais servios disponveis (vulnerabilidades). O sucesso dessa etapa facilitada conforme a ttica utilizada, que envolve desde a forma como so escolhidos os alvos at as ferramentas 25/03/2012 Prof. Lohn 93 utilizadas.

Sequenciando um ataque 1 - Qualquer ataque comea com o levantamento das informaes sobre o alvo (footprint). Pode iniciar com um telefonema, usando a velha e funcional engenharia social, para que o invasor colete informaes de forma ilcita. 2- usada alguma ferramenta de scanner, objetivando sempre o fingerprint (descobrir o sistema operacional) e demais servios disponveis na mquina-alvo. O Nmap e o Portscan so algumas ferramentas que podem ser utilizadas. 3 Levantada todas as informaes, inicia-se a procura pelas vulnerabilidades que um ou mais servios possa possuir. A ferramenta Nessus (+ de 600 plugins) busca identificar uma vulnerabilidade especfica na mquina-alvo.
25/03/2012 Prof. Lohn 94

Fonte: Explorao de Vulnerabilidades em Redes TCP/IP Sandro Melo

Anatonima de um ataque

Engenharia Social

Levantamento das Informaes

Varredura das portas FingerPrint

Invaso com sucesso

Enumerar as falhas de configuraes, padres e exploits para os servios levantados

Citar tipos de servios disponveis e verses Varredura de Vulnerabilidades Footprint

Instalao de backdoors, trojans, ...

Dano a dados, pixaes, etc

25/03/2012

Prof. Lohn

95

25/03/2012

Prof. Lohn

Fonte: Explorao de Vulnerabilidades em Redes TCP/IP 96 Sandro Melo

Rootkit: um conjunto de programas que substituem comandos importantes do sistema e podem omitir processos, conexes, arquivos e logs um coleo de software projetados para no deixar pistas de um invasor e fornecer portas dos fundos para futuras invases no sistema. Normalmente tambm agem como limpadores de logs

25/03/2012

Prof. Lohn

97

Exploit: um mtodo para tirar vantagem de uma vulnerabilidade atravs de um procedimento manual, script ou programa executvel.

25/03/2012

Prof. Lohn

98

Scanning de Vulnerabilidades: realiza diversos tipos de testes na rede procura de falhas de segurana, seja em protocolos, servios, aplicativos ou sistemas operacionais (auditoria)

25/03/2012

Prof. Lohn

99

Tcnicas de Invaso X Pen Test X Anlise de Vulnerabilidades


Pent Test teste de segurana que busca ganhar acesso ao sistema (de forma pontual) ou processo que combina vrios tipos de teste de segurana como: fingerprint, footprint, port scanner, varreduras de vulnerabilidades., etc. Logo, o pen test pode ser definido como o processo de identificar, enumerar e buscar explorar vulnerabilidades utilizando um conjunto de variadas tcnicas dentro de uma metodologia objetiva simulando de forma controlada a tcnica operacional de um invasor. Teste de segurana de Anlise de Vulnerabilidades o procedimento de identificar potenciais vulnerabilidades, normalmente executadas a partir de scanners, correlacionando potenciais vulnerabilidades com registros de segurana BID (www.securityfocus.com.br), CAN/CEV (www.mitre.org), etc. PEN TEST faz uso do teste de segurana

25/03/2012

Prof. Lohn

100

Como realizar um Pen Test


Black Box a execuo realizada sem nenhuma informao sobre a estrutura da organizao, salvo informaes bsica como o IP(s) e/ou mquina-alvo. White Box a execuo realizada com algum conhecimento da estrutura da organizao, como a topologia com os servidores, IDS, firewalls, roteadores e sistemas operacionais realizados. O pen test pode ser externo (de fora para dentro da empresa) ou interno (dentro da LAN). O pen test pode ser intrusivo ou no. Vale a pena citar que a melhor proposta ter o pen test com plena liberdade na sua execuo (intrusivo).
25/03/2012 Prof. Lohn 101

Metodologia para a realizao de um Pen Test OSSTMM Open-Source Security Testing

Methodology Manual

25/03/2012

Prof. Lohn

102

Problemas de Segurana Relacionados com Redes de Computadores

Reconhecimento do Ambiente

Acesso No Autorizado

Manipulao dos Dados

Negao de Servio

Descobrindo o Alvo Comandos de Rede Varredura de Pings Varredura de Portas Espionagem Roubo de Informaes
25/03/2012

Obtendo acesso inicial Senhas Obtendo Acesso Privlegiado ou confivel Ganhando acesso secundrio Ataque a servios que permitam AR Ataque a programas vulnerveis
Prof. Lohn

Spoofing Respostas e Roubos de Sesses

103

Ferramentas Interessantes
NMAP NETSAT TCPDUMP TRACERT TELNET WIRESHARK RETINA NESSUS
25/03/2012 Prof. Lohn 104

TCP IP Ethernet
25/03/2012 Prof. Lohn

Conjunto mais utilizado no mundo

Sem enfoque para Segurana


105

Vrios ataques foram criados explorando as deficincias existentes na arquitetura TCP/IP O grande problema desta arquitetura diz respeito a autenticao
Muitos servios e protocolos baseiam-se no endereo IP para a autenticao

25/03/2012

Prof. Lohn

106

Sistemas operacionais implementam o TCP/IP de formas diferentes


Algumas construes so mais seguras que outras

TCP/IP verso 4 est ativo desde 1982

25/03/2012

Prof. Lohn

107

Mas por que o TCP/IP pode ser atacado de diferentes formas?


Projeto inicial no previa segurana Objetivo principal: prover conectividade entre as redes e tolerncia a falhas na infraestrutura de comunicao

25/03/2012

Prof. Lohn

108

rea de Monitoramento

Plano de Contingncia

Plano de Resposta aos Incidentes

Forense Computacional

Legislao

TODA EMPRESA DEVERIA TER CONTROLES E PROFISSIONAIS NESTAS REAS


25/03/2012 Prof. Lohn 109

O lado negro da fora !!!! Quem so????

25/03/2012

Prof. Lohn

110

Hacker no so fteis desconfiguradores de pginas Conhecimento de programao e de sistemas operacionais (ex: Linux); Conhece, na sua maioria, as falhas de segurana dos sistemas e procura achar outras; Desenvolve as suas prprias tcnicas e programas de invaso e despreza as receitas de bolo; Compartilham conhecimento e no corrompem dados intencionalmente.
25/03/2012 Prof. Lohn 111

Cracker: Executa aes maliciosas atravs da violao da integridade de mquinas remotas; Invade sistemas, rouba dados e arquivos, nmeros de carto de crdito, faz espionagem industrial e provoca destruio de dados; Estes podem ser divididos em: Phreaker e Carders.
25/03/2012 Prof. Lohn 112

Script Kiddies so pessoas que no necessitam de muita habilidade, mas tiveram a sorte de achar um sistema remoto que no aplicou patch de correo a tempo. Isto prova a no capacitao dos administradores de segurana das empresas. O seu perfil e metodologia, tambm conhecidos como Defacers, esto relacionados a um invasor que faz intruso em sistemas computacionais de forma fcil, vinculada a uma falha conhecida.
25/03/2012 Prof. Lohn 113

Motivaes dos Atacantes


Espionagem Vingana Diverso Investigao legal Notoriedade

25/03/2012

Prof. Lohn

114

Perfil de Atacantes

Adolescente Curioso

Espionagem Industrial

Pblico Interno

Poltica/Terrorismo

Criminoso
25/03/2012 Prof. Lohn 115

Como pode-se classificar o grau do ataque de um hacker: O invasor ganha acesso e nada mais (acesso sendo definido como entrada simples: entrada que no autorizada em uma rede que requer, no mnimo, um login e senha).

25/03/2012

Prof. Lohn

116

O invasor ganha acesso e destri, corrompe ou de outro modo altera os dados. O invasor ganha acesso e toma o controle de uma parte compartimentada do sistema ou todo ele, negando acesso at aos usurios privilegiados.

25/03/2012

Prof. Lohn

117

O invasor no ganha acesso mas, em vez disso, forja mensagens de seu sistema. As pessoas fazem isso para enviar correio no solicitado ou fazer inundao (Spam).

25/03/2012

Prof. Lohn

118

O invasor no ganha acesso, mas em vez disso implementa procedimentos maliciosos que fazem com que a rede falhe, reinicialize, trave ou de outro modo manifeste uma condio inoperante, seja permanente ou temporariamente.

25/03/2012

Prof. Lohn

119

Alguns tipos de ataques

25/03/2012

Prof. Lohn

120

Tipos de Ataques
Dumpster Diving ou Trashing Engenharia Social Ataque Fsico Packet Snnifing Port Scanning Spoofing (IP, DNS, ARP) Negao de Servio SYN Flooding
25/03/2012 Prof. Lohn 121

Smurf Negao de Servio Distribudo Land Fragmentao de Pacotes IP Seqestro de Conexes IP Source Routing Buffer Over Flow

Ataques do Tipo Fsico

25/03/2012

Prof. Lohn

122

Ataque Fsico
Permite acesso direto ao sistema Possibilita o roubo de equipamentos, programas, perifricos e ativos digitais Com acesso fsico aos equipamentos, o atacante pode executar uma srie de aes maliciosas ou destrutivas:
Copiar documentos confidenciais Implantar cavalos de tria

Ler emails de terceiros Modificar arquivos importantes


25/03/2012 Prof. Lohn

Aumentar os privilgios de usurios do sistema


123

O controle de acesso fsico pode ser organizado em diferentes nveis. Exemplo:


Acesso ao prdio Acesso ao departamento Acesso s salas de servidores

Utilizao de cmeras de vdeo, sistemas de biometria para autenticao de usurios, uso de crachs auxiliam para a segurana fsica

25/03/2012

Prof. Lohn

124

Exemplo de ataque fsico: usurio se afasta de sua estao de trabalho sem bloque-la e um malfeitor realizar atividades no autorizadas, personificando o usurio A segurana fsica tambm esta relacionada com os desastres naturais: terremotos, incndios, enchentes afetam a disponibilidade das informaes

25/03/2012

Prof. Lohn

125

ATAQUE FSICO
ACESSO DIRETO AO SISTEMA MAIORES DANOS PODE SER MISTURADO COM ENGENHARIA SOCIAL POSSIBILIDADE DO KEY LOGGER
25/03/2012 Prof. Lohn 126

Escuta Telefnica (Wiretapping) e Emanaes Eletromagnticas Passiva - ameaa a confidencialidade da informao. Utiliza normalmente tecnologia de grampo com fio ou via interceptao rdio, onde as informaes coletadas so analisadas via software ou outra tecnologia. Tem como objetivo somente a coleta, no alterando o contedo das informaes.
25/03/2012 Prof. Lohn 127

Ativa - ameaa a autenticidade da informao transmitida. Esta metodologia envolve a quebra da comunicao, modificando de forma deliberada a informao. O intruso pode alterar a origem da mensagem ou ento o destino da mensagem, substituindo o contedo da mesma

25/03/2012

Prof. Lohn

128

Ataques do Tipo Pessoal

25/03/2012

Prof. Lohn

129

Engenharia Social a forma de ataque que consiste em obter informaes importantes que possibilitem ataques utilizando a comunicao oral ou escrita como sua principal arma. Este ataque est diretamente ligado a capacidade do elemento em coletar s informaes de alvos prestabelecidos (padres comportamento de pessoas, preferncias sexuais, insatisfao com a atividade exercida, etc).
25/03/2012 Prof. Lohn 130

Engenharia Social
A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia Ela tem como objetivo enganar e pessoas assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou informaes sensveis que possam comprometer a segurana da organizao

25/03/2012

Prof. Lohn

131

ENGENHARIA SOCIAL FRAQUEZAS HUMANAS MANIPULAO E PSICOLOGIA CONFIANA


25/03/2012 Prof. Lohn 132

Exemplos de Ataques por Engenharia Social: Telefonemas E-mails falsos (ex:, requisio de informaes bancrias, envio de super promoes) Disfarce de entregador de pizzas para conhecer o ambiente da organizao Distrair a secretria para ler ou/e ter acesso documentos importantes

25/03/2012

Prof. Lohn

133

Mascaramento (Masquerading) Quando uma pessoa usa a identidade de outra para ter acesso a um computador, podendo ser feito no prprio local ou de modo remoto. Algumas formas podem ser citadas: Falsificao de assinatura na recepo de um prdio, para ganhar acesso a reas restritas; Falsificao de identidades; Falsificao de identidades biomtricas (ex: uso de uma gravao com a voz de algum autorizado para adentrar em reas fortemente controladas).
25/03/2012 Prof. Lohn 134

Dumpster Diving ou Trashing


Atividade na qual o lixo verificado em busca de informaes sobre a organizao ou a rede da vtima Informaes procuradas: nome de contas, senhas, informaes pessoais e confidenciais, cdigos-fonte,

formulrios internos, inventrios de hardware

25/03/2012

Prof. Lohn

135

Esta tcnica uma boa, pois as informaes so coletadas diretamente do lixo. A poltica de segurana deve levar em conta o problema do Trashing. - Determinar a utilizao obrigatria de um fragmentador de papis

25/03/2012

Prof. Lohn

136

Com a finalidade de minimizar este tipo de problema, deve-se: Separar o que sensvel ou no; Triturar ou, fragmentar o lixo sensvel antes deste ir para a lixeira; Caso seja possvel queimar o lixo triturado.

25/03/2012

Prof. Lohn

137

Ataques a Comunicaes e Dados

25/03/2012

Prof. Lohn

138

Informaes Livres
Finger, SNMP, banners de servios CDP Verificao do IOS atravs do mtodo TCP/IP Stack Fingerprinting

GOOGLE
25/03/2012 Prof. Lohn 139

INFORMAES LIVRES NOS ESTADOS UNIDOS AS INFORMAES SOBRE VOC NO SO SUAS. PERTENCEM A EMPRESA QUE AS COLHEU. INTERNET: PRESENA DE MEGA BANCOS DE DADOS
Prof. Lohn

25/03/2012

140

Packet Sniffing
Tambm conhecido como passive eavesdropping A ao de capturar informaes destinadas a outras mquinas chamada de sniffing Utilizado principalmente para a captura de senhas e informaes sensveis Possui um propsito legtimo: analisar o trfego da rede

25/03/2012

Prof. Lohn

141

Ataque de interceptao Ataque passivo (no manipula os dados) Como se proteger: utilizar programas que possuem suporte a criptografia. Exemplo: SSH ao invs de Telnet No Linux necessrio privilgio de root para usar a interface de rede no modo promscuo

25/03/2012

Prof. Lohn

142

O uso de switches na segmentao da rede resolve o problema dos sniffers? NO


O envio de muitos quadros rede (Flooding) usando endereos MAC ainda no utilizados (falsos). O switch ir armazenar os endereos em sua memria. Ela possui um limite Com a memria cheia, o switch passa a atuar como hub

25/03/2012

Prof. Lohn

143

Alguns autores comentam que VLAN no coloca segurana Posso alterar o TAG de VLAN O melhor mesmo separar as redes fisicamente (atitude radical :-) )

25/03/2012

Prof. Lohn

144

Packet Sniffing Network Snooping Passive Eavesdropping


Sinnimos
25/03/2012 Prof. Lohn 145

Port Scanning
Ferramentas utilizadas para a obteno de informaes sobre o alvo Pode-se conhecer quais servios TCP e UDP esto ativos em determinada mquina No considerado um ataque, porm algo inconveniente O Port Scanning muitas vezes utilizado para selecionar mquinas que sero alvos de ataque
25/03/2012 Prof. Lohn 146

Port Scanning x Ataque


Muitos sistemas paralisam ou ficam instveis quando sofrem determinados tipos de scanning Nesse ponto de vista, um Port Scanning considerado um ataque

FRAQUEZA DA PILHA TCP/IP


25/03/2012 Prof. Lohn 147

NMAP a ferramenta mais conhecida


Utilizado para realizar a auditoria de firewalls Pode identificar tambm o sistema operacional do alvo (mtodo stack fingerprinting) Pode identificar o usurio que est executando cada servio relativo a uma determinada porta Pode realizar scanning paralelo de computadores Identifica portas filtradas pelos firewalls

25/03/2012

Prof. Lohn

148

Scanning Usados pelo NMAP

25/03/2012

Prof. Lohn

149

1 - TCP connect()
TCP connect(): a forma mais bsica de scanning A chamada de sistema connect() executada para abrir conexes nas portas do alvo. Se a porta estiver aberta, a chamada funcionar com sucesso Caso contrrio, a porta no est aberta e o servio no existe no sistema
No necessrio nenhum privilgio especial para executar esta tcnica. Porm, ela facilmente detectada.
25/03/2012 Prof. Lohn 150

Scanning Usados pelo NMAP - TCP SYN (half open) Este mtodo no abre uma conexo TCP completa
SYN

O atacante envia um pacote SYN ao alvo.

SYN-ACK

Se o alvo retorna um pacote SYN-ACK, a porta est aberta.

RST

Se o alvo retorna um pacote RST para fechar o pedido de conexo, a porta est fechada.
Prof. Lohn 151

25/03/2012

Scanning Usados pelo NMAP - TCP SYN (half open) -

Precisa do privilgio de superusurio no sistema para utilizar este mtodo A vantagem desta abordagem que poucos iro detectar esse scanning de portas

25/03/2012

Prof. Lohn

152

Scanning Usados pelo NMAP - UDP Esse mtodo envia um pacote UDP (com 0 bytes) para cada porta do alvo.
UDP
ICMP Port Unreachable

O atacante envia um pacote UDP ao alvo.

Se o alvo retorna uma mensagem ICMP Port Unreachable, a porta esta fechada

X
25/03/2012

Se o atacante no recebe mensagem de retorno, a porta provavelmente esta aberta


Prof. Lohn 153

Scanning Usados pelo NMAP - ICMP Esse mtodo envia pacotes ICMP echo request para os hosts Porm, como algumas redes bloqueiam pacotes ICMP, tal mtodo muito limitado O NMAP envia tambm um pacote TCP ACK para a porta 80. Se ele obtiver uma pacote RST de volta, o alvo esta funcionando
25/03/2012 Prof. Lohn 154

Scanning Usados pelo NMAP - FIN (modo stealth) Portas fechadas enviam um pacote RST como resposta a pacotes FIN Portas abertas ignoram esses pacotes
FIN
O atacante envia um pacote FIN ao alvo.

RST

Se o atacante recebe uma resposta, ento a porta esta fechada.


Prof. Lohn 155

25/03/2012

Scanning Usados pelo NMAP - XMAS Tree (modo stealth) Semelhante ao anterior. Os flags FIN, URG PSH so utilizados no pacote
FIN com URG e PSH

O atacante envia um pacote FIN ao alvo.

RST

Se o atacante recebe uma resposta, ento a porta esta fechada.


Prof. Lohn 156

25/03/2012

Scanning e IDS: Como Driblar?


Random Port Scan: no realiza a varredura seqencialmente Slow Scan: envia pacotes esparsos para o alvo (o IDS no consegue fazer uma correlao entre eles) Decoy: utiliza uma srie de endereos falsos, de forma que para o IDS o scanning se origina de diversos endereos. Um mtodo utilizado pelo IDS para identificar o Decoy verificar o campo TTL dos pacotes Coordinated Scans: diversas origens, cada um em uma determinada porta

25/03/2012

Prof. Lohn

157

Scanning e IDS: Como Driblar?


No DECOY, o NMAP varia o TTL para que o alvo no perceba que os pacotes se originam no mesmo computador

25/03/2012

Prof. Lohn

158

nmap sV 192.168.0.3 nmap 192.168.0.3-250 nmap O 192.168.0.3 nmap sS 192.168.0.3 nmap sU 192.168.0.3

Serve para fazer Scanning e averiguar a verso dos servios Para fazer Scanning em um conjunto de mquinas Utilizado para identificar o sistema operacional da vtima Half Open Scanning Scan UDP Scanning de determinadas portas

nmap -sS -p 0-65535 192.168.0.4 nmap sP 192.168.0.3 nmap 192.168.*.1-5 nmap sT 192.168.1.1

Ping Scan, utilizado para encontrar hosts na rede Utilizado para identificar faixa de endereo IP TCP Connect () Scanning

FIN, NULL e XMAS Scan (-sF, -sN, -sX) idia que portas fechadas respondem com RST e abertas botam fora o pacote. FIN Scan vai com FIN, NULL Scan vai sem nada e XMAS Scan vai com FIN,URG,PSH
25/03/2012 Prof. Lohn 159

PING SCAN -sP


E voc saberia dizer o que o TCP PING? Envia-se um SYN ou um ACK para a porta 80. Se receber o SYN+ACK ou RST o host esta no ar. Se ele no responde nada o NMAP pode considerar a porta filtrada.

25/03/2012

Prof. Lohn

160

No DECOY (-D), o NMAP no esconde o seu endereo IP de origem, mas tambm envia outras varreduras com endereos IP falsos, de forma que seu endereo IP se confunde no meio dos demais. A opo f permite a fragmentao e pode ser usada em conjunto com outras tcnicas. A opo ttl permite selecionar qual o TTL desejado no processo.

25/03/2012

Prof. Lohn

161

25/03/2012

Prof. Lohn

162

O NMAP FAZ SCANNING, POR PADRO, DE 1661 PORTAS AQUELAS MAIS UTILIZADAS
25/03/2012 Prof. Lohn 163

IP Spoofing
O Ataque de Spoofing utiliza conceitos de confiana e autenticao entre mquinas No exatamente uma forma de ataque, mas uma tcnica que utilizada na grande maioria dos ataques para esconder a identidade do atacante

Manipulao direta do cabealho do pacote IP


25/03/2012 Prof. Lohn 164

TODOS QUE TRABALHAM COM FIREWALL DEVEM SABER

Regras Anti-Spoofing: Apenas devem sair de sua rede local pacotes que possuam endereos IP de origem de sua organizao No devem entrar na sua rede local pacotes com endereos IP de origem de sua organizao (foram falsificados)
25/03/2012 Prof. Lohn 165

DNS Spoofing Um pedido por resoluo pode ser satisfeito de duas formas:
Authoritative: quando a resposta do servidor que faz a gesto do domnio requisitado Non-Authoritative: quando a resposta proveniente de um servidor que tenha em cache a equivalncia pretendida

25/03/2012

Prof. Lohn

166

Consiste em alteraes de nomes, fazendo com que mquinas no confiveis (do atacante) passem por mquinas confiveis Atacante obtm o controle do servidor DNS e realiza alteraes nas tabelas utilizadas

25/03/2012

Prof. Lohn

167

O atacante tira proveito de servios que realizam autenticao baseada em nome (ex: Browser Web) Utilizamos o servio de DNS com muita freqncia um dos servios mais transparentes da Internet

25/03/2012

Prof. Lohn

168

ARP Spoofing
Objetivo: pegar os quadros que se destinam a outro computador Atacante escolhe um alvo e utiliza algum mtodo para tir-lo do ar (as vezes no necessrio) Atacante atribui a sua mquina o endereo IP do alvo (rede local) Como evitar: utilizao de tabelas ARP estticas
25/03/2012 Prof. Lohn 169

Scanning de Vulnerabilidades Nessus Auditoria O que so:


Falsos Positivos Falsos Negativos

25/03/2012

Prof. Lohn

170

Ataque por Negao de Servio - DoS


Objetivo: causar indisponibilidade dos servios oferecidos Fazem com que os recursos sejam explorados de maneira agressiva Os ataques DoS no invadem um site ou organizao. Ele se preocupa em interromper o servio para usurio legtimos
25/03/2012 Prof. Lohn 171

Existem 4 tipos diferentes de ataques DoS: Consumo de largura de banda Inanio de recursos Ataques de roteamento e DNS Ataque DoS genrico

25/03/2012

Prof. Lohn

172

DoS Consumo de Largura de banda


O ataque consome toda a largura de banda da rede alvo. Duas situaes:
O atacante consegue inundar o link de rede da vtima quando possuir mais largura de banda disponvel do que o alvo O atacante utiliza mltiplas instalaes para conseguir inundar a conexo de rede da vtima, quando esta possuir largura maior

25/03/2012

Prof. Lohn

173

DoS Inanio de Recursos


Consumir recursos do sistema Memria CPU Disco (sistema de arquivos) Ex: fork() infinito

25/03/2012

Prof. Lohn

174

DoS Roteamento e DNS


Alterar a tabela de roteamento da rede alvo atravs do uso de protocolos de roteamento com autenticao fraca (RIP). Trfego da vtima roteado para redes imprprias ou para o buraco negro (rota nula)

25/03/2012

Prof. Lohn

175

SYN Flooding
O SYN Flooding utiliza uma brecha existente no estabelecimento de conexo no protocolo TCP Para cada conexo estabelecida, o host aloca (separa) uma quantidade de recursos Os sistemas tem um limite de conexes

25/03/2012

Prof. Lohn

176

Synflood Attack

25/03/2012

Prof. Lohn

177

A envia para B um segmento com o SYN ligado. A forja o endereo IP de origem

B enviar um pacote SYN/ACK para este endereo forjado

Caso o endereo exista, no solicitou a conexo

ele ir

retornar um segmento RST, pois

Conexo fica em estado de espera: SYN_RECV (fila aumenta)

25/03/2012

Prof. Lohn

178

Como evitar o SYN Flooding ?


Realizando comparaes entre a taxa de requisio de novas conexes e o nmero de conexes em aberto Quando chegar a um mximo de conexes no completadas, no aceita novos SYN (Falha Segura) Altos ndices de conexes abertas (sem completar o Handshake) podem indicar o ataque
25/03/2012 Prof. Lohn 179

Atravs da verificao do nmero de seqncia dos segmentos (mesmo atacante) Baixar o tempo mximo para completar o 3-WAYHANDSHAKE

25/03/2012

Prof. Lohn

180

DDoS Ataque de Negao de Servio Distribudo


Multiplica a capacidade de estourar um link Quatro nveis hierrquicos: Atacante: coordena o ataque Master (handler): recebe os parmetros para o ataque e comando os agentes Agente (zombie): Mquina que efetivamente concretiza o ataque Vtima: Alvo do ataque
25/03/2012 Prof. Lohn 181

Distributed Denial of Service Attack

25/03/2012

Prof. Lohn

182

Cliente: aplicao que reside no master e que efetivamente controla os ataques Daemon: processo que roda no agente (zombie)

183

Trs fases do processo DDoS: 1. Intruso em massa para montar a rede de ataque 2. Instalao do software de DDoS nos agentes e masters 3. Disparar o ataque

Muitas ferramentas DDoS implementam uma comunicao cifrada entre o atacante e os masters e atualizao automtica de agentes

25/03/2012

Prof. Lohn

184

Os agentes podem realizar:


IP Spoofing

TCP SYN Flooding ICMP echo request flood ICMP directed broadcast (smurf) E muito mais

25/03/2012

Prof. Lohn

185

Desafios para a Deteco de Problemas de Segurana


Os mtodos de ataque e as ferramentas esto constantemente sendo atualizados Numerosas vulnerabilidades so descobertas e anunciadas todos os dias Os intrusos buscam desenvolver mtodos para subverter a deteco A construo prpria de sensores e ferramentas difcil As empresas no possuem uma equipe se segurana e treinada

25/03/2012

Prof. Lohn

186

Malware (Vrus, Worms, Trojans ) e Spywares

25/03/2012

Prof. Lohn

187

Malware - designao para todo e qualquer cdigo ou programa, desenvolvido com a inteno de causar danos a computadores ou usurios. Os malwares, dependendo dos respectivos comportamentos e formas de propagao, podem ser classificados por tipos: vrus, vermes (worms), cavalos-detria (trojans) e spywares. Freqentemente esses agentes trabalham em conjunto (p.ex.: um trojan propagando um worm), sendo esta associao de 'malwares' identificada por um nico nome pelos desenvolvedores de programas anti-vrus.

25/03/2012

Prof. Lohn

188

Vrus - no so programas independentes, sendo executados somente quando o programa executado. Eles necessariamente necessitam conter instrues para parasitar e criar cpias de si mesmo de forma autnoma e sem autorizao especfica (e normalmente sem conhecimento) do usurio, sendo considerados autoreplicantes. Assim, programas como Trojans Horses e Worms no so vrus. Trojans Horses no se replicam e Worms no parasitam outras entidades para se replicarem, so entidades autnomas.

25/03/2012

Prof. Lohn

189

Worm - um programa independente. Ele se reproduz normalmente, de mquina para mquina via uma rede de computadores. Semelhante ao vrus, ele tambm danifica, espalhando-se de rapidamente de um site para outro. O worm age de forma independente e no modifica outros programas. O worm no destri dados, ele realiza um conjunto de danos que minimiza os recursos na rede.

25/03/2012

Prof. Lohn

190

Cavalo-de-Tria (trojan) - um programa que se apresenta como uma aplicao til, que induz o usurio incauto a execut-lo. A partir da, o agente tanto poder danificar a mquina, por meio de execuo de um vrus associado, como abrir portas que permitam o controle remoto da mquina afetada, ou mesmo instalar programas (spywares) que, sem conhecimento do usurio, roubam dados e os transmitem para terceiros. Os cavalos-de-tria, diferentemente dos vrus, no infectam outros arquivos e, diferentemente dos vermes, no se auto-replicam.

25/03/2012

Prof. Lohn

191

Spyware - um programa que, sem conhecimento do usurio, coleta seus dados privados armazenados em disco, para uso de terceiros. Dependendo do tipo de "spyware", esses dados podero ser lidos localmente ou transmitidos via Internet. Os "spywares" usualmente vm embutidos em programas gratuitos, disponveis na Web, em especial em arquivos baixados de redes peer-to-peer, podendo tambm ser instalados por 'cavalos-de-tria' ou por pessoa malintencionada que tenha acesso local ou remoto a uma mquina desprotegida.

25/03/2012

Prof. Lohn

192

Keylogger - uma modalidade de "spyware", que registra os toques de teclado e os salva em um arquivo, por vezes criptografado, perdido entre os milhares de arquivos existentes nas centenas de pastas do computador. O "keylogger" permite que dados confidenciais do usurio da mquina cheguem ao conhecimento de terceiros, tanto por acesso local como via Internet.

25/03/2012

Prof. Lohn

193

Adware - (advertising-supported software) o nome genrico pelo qual programas que exibem anncios so conhecidos. Seus desenvolvedores normalmente os oferecem na Internet como "freeware" e incluem linhas de cdigo adicionais para exibir propaganda. uma forma de tornar economicamente exeqvel o desenvolvimento de produtos teis, sem custos diretos para seus usurios finais. Embora, em princpio, no se caracterize como programa mal-intencionado, executa aes no solicitadas pelo usurio.
25/03/2012 Prof. Lohn 194

Sendo assim, no existe sistema totalmente seguro!!!!!

25/03/2012

Prof. Lohn

195

Segurana um trabalho rduo e contnuo. Um gerente de segurana est sempre atento ao que est acontecendo e ao que pode acontecer. O total cumprimento da norma faz-se necessrio um grande esforo da organizao.

25/03/2012

Prof. Lohn

196

O papel de servir como um guia muito bem cumprido. Hoje o Governo (no como um todo) e grandes Empresas vem buscando padres como este para guiar as suas solues de segurana.

25/03/2012

Prof. Lohn

197