Ameaas & Ataques

Vulnerabilidade
Fraqueza inerente de um elemento do sistema Brecha: ponto fraco ou falha que pode ser explorado

Ameaa
Qualquer coisa que possa afetar ou atingir o funcionamento, operao, disponibilidade, integridade da rede ou sistema

Ataque
Tcnica especfica usada para explorar uma vulnerabilidade

Contra-medidas
Tcnicas ou mtodos usados para se defender contra ataques, ou para fechar ou compensar vulnerabilidades

2001 / 1

Segurana de Redes/Mrcio dvila

14

Ameaas & Ataques

Vulnerabilidades
Principais origens
Deficincia de projeto: brechas no hardware/software Deficincia de implementao: instalao/configurao incorreta, por inexperincia, falta de treinamento ou desleixo Deficincia de gerenciamento: procedimentos inadequados, verificaes e monitoramento insuficientes

Exemplos
Instalao fsica: m proteo fsica de equipamentos e mdia Hardware e Software: situaes no previstas, limites, bugs no projeto, deixando brechas que podem ser exploradas Mdia: roubo, perda, danificao, desgaste de discos, fitas etc. Transmisso: interceptao de sinal, monitoramento, grampo Humana: desleixo, preguia, estupidez, ganncia, revolta etc.
2001 / 1 Segurana de Redes/Mrcio dvila 15

Ameaas & Ataques

Ameaas
Brasil: dados da 6 Pesquisa Nacional sobre Segurana da Informao, 2000

2001 / 1

Segurana de Redes/Mrcio dvila

16

Ameaas & Ataques

Ataques

2001 / 1

Segurana de Redes/Mrcio dvila

17

Ameaas & Ataques

Ataques
Ataques sobre o fluxo de informao
Interrupo: ataca a disponibilidade Interceptao: ataca a confidencialidade Modificao: ataca a integridade Fabricao: ataca a autenticidade

Passivo
Interceptao, monitoramento, anlise de trfego (origem, destino, tamanho, freqncia)

Ativo
Adulterao, fraude, reproduo (imitao), bloqueio

2001 / 1

Segurana de Redes/Mrcio dvila

18

Ameaas & Ataques

TCP/IP e Ataques
Muitos ataques so baseados em caractersticas de TCP/IP TCP/IP: arquitetura de protocolos padro da Internet, para interconexo de redes
IP (Internet Protocol): protocolo de camada de rede sem conexo, baseado no endereo internet n.n.n.n (32-bit) TCP (Transfer Control Protocol): protocolo orientado a conexo (fim-a-fim lgica entre dois nodos), com controle de fluxo, deteco de erro e seqenciamento de dados UDP (User Datagram Protocol): Aplicaes protocolo na camada de transporte, com datagramas sem conexo, TCP UDP adequado para transmisso simplificada de pores de dados

IP

2001 / 1

Segurana de Redes/Mrcio dvila

19

Ameaas & Ataques

Exemplos de ameaas e ataques
Vrus
Programa ou fragmento de cdigo parasita, que no funciona de forma autnoma; requer um hospedeiro (programa autntico) ao qual se anexa para funcionar Ativado pela execuo de programa infectado Se propaga pela infeco de outros programas ou envio de programa infectado por e-mail (auto-propagao), ou ainda pela cpia de programa infectado

Verme
Tipicamente um programa independente (autnomo) feito para se propagar ou ativar nos sistemas infectados e procurar outros sistemas nas redes acessveis Hoje existem intrusos mistos entre vrus e verme
2001 / 1 Segurana de Redes/Mrcio dvila 20

Ameaas & Ataques

Exemplos
Internet worm (Robert Morris, 1988)

2001 / 1

Segurana de Redes/Mrcio dvila

21

Ameaas & Ataques

Exemplos
Cavalo de Tria (Trojan Horse)
Programa ou fragmento de cdigo malfico que se esconde dentro de um programa, ou se disfara de programa legtimo Cavalo de Tria Login verdadeiro

2001 / 1

Segurana de Redes/Mrcio dvila

22

Ameaas & Ataques

Exemplos
Back Door (Porta dos Fundos) ou Trap Door (Armadilha, Alapo)
Forma no documentada de ganhar acesso a um sistema, criada no sistema por quem o projetou Pode ser tambm um programa alterado ou includo no sistema para permitir acesso privilegiado a algum

Bomba Lgica
Programa ou seo de um programa projetado com intuito malicioso, que ativado por determinada condio lgica Caso mais comum: funcionrio programador malintencionado

2001 / 1

Segurana de Redes/Mrcio dvila

23

Ameaas e Ataques
Exemplos
Port Scanning (Varredura de Portas)
Tcnica comum a hackers para reconhecimento Programa que ouve a nmeros de porta bem conhecidos para detectar informaes e servios em execuo no sistema Exemplos de portas comuns padro da Internet: 20 21 23 25 80 110
2001 / 1

FTP dados (transferncia de arquivos) FTP controle Telnet (terminal) SMTP (envio de e-mail) HTTP (WWW) POP3 (recepo de e-mail)
Segurana de Redes/Mrcio dvila 24

Ameaas e Ataques
Exemplos
Spoofs (Falsificao ou Disfarce de identidade)
IP Address Spoofing Todo dispositivo em rede TCP/IP tem um endereo IP nico, que sua identificao (ex: 147.34.28.15) IP Spoof: usar mquina configurada com IP aceito pelos sistemas de validao (roteador, firewall) Sequence Number Spoofing Conexes de rede TCP/IP usam ns de seqncia, includos em transmisses e trocados por transao Se o algoritmo de gerao de nmeros previsvel, um hacker pode monitorar, gravar a troca de nmeros de seqncia e prever os prximos para se inserir na conexo
2001 / 1 Segurana de Redes/Mrcio dvila 25

Ameaas & Ataques

Exemplos
DNS Spoof
MIM - Man In the Middle (Homem No Meio)
Tcnica de se interpor no meio da comunicao Ex.: registrar domnio parecido. Quando se comete erro de digitao, atacante se interpe e pode repassar a comunicao c/ domnio correto, mas captura dados

Redirecionamento: inserir links para destinos falsos

2001 / 1 Segurana de Redes/Mrcio dvila 26

Ameaas & Ataques

Exemplos
Envenenamento de DNS (DNS Poisoning)

2001 / 1

Segurana de Redes/Mrcio dvila

27

Ameaas e Ataques
Exemplos
Spoofs (Falsificao ou Disfarce de identidade)
Replay (Reproduo) Interceptar e capturar uma transmisso legtima entre dois sistemas e retransmitir esta mais tarde Pode-se evitar com timestamp (controle de tempo)

Estouro de Pilha (Stack Overflow)

Consiste em preencher um buffer alocado na pilha com informao que excede o tamanho previsto, de forma que o endereo de retorno da funo seja modificado A modificao normalmente faz com que uma shell root seja acionada no retorno da funo original
2001 / 1 Segurana de Redes/Mrcio dvila 28

Ameaas & Ataques

Exemplos
Quebra de Senha (Password Cracking)
Tentar vrias possibilidades de senha para ver se uma coincide com a de algum usurio/recurso Geralmente usa-se o mesmo algoritmo que codifica (protege) as senhas de um sistema para codificar cada tentativa e comparar o resultado com a lista de senhas do sistema Comum o uso de dicionrio de palavras/expresses comuns Existem muitos programas quebra-senha disponveis, para a maioria dos sistemas operacionais e de rede

Engenharia Social
Mtodos no-tcnicos para obter acesso a um sistema, em geral um processo de convencer algum a revelar informao Exemplo tpico: ligar para algum pertencente ou com acesso a uma corporao, fingindo ser do suporte tcnico desta e inventar uma histria p/ solicitar a senha de acesso da vtima
2001 / 1 Segurana de Redes/Mrcio dvila 29

Ameaas & Ataques

Exemplos
Sniffing (Monitoramento, Grampo)
Monitoramento de pacotes transitando na rede (passivo) Muitas vezes so usadas ferramentas de fabricantes ou comerciais, criadas com propsitos legtimos (gerenciamento e manuteno de rede) Contedo = informao: endereos IP, senhas etc. (Ex.: telnet e rlogin no criptografam as senhas digitadas pelo usurio) Estatsticas = anlise de trfego: Ex.: servidores mais usados

Web Site Defacement

Ataque muito comum na Internet, para inserir mensagem de protesto, aviso, ridicularizao etc. na home-page de um site Normalmente hackers exploram alguma configurao frgil ou vulnerabilidade conhecida de um servidor web, do sistema operacional ou dos protocolos e componentes envolvidos
2001 / 1 Segurana de Redes/Mrcio dvila 30

Ameaas & Ataques

DoS - Denial of Service (Interrupo de Servio)
Ao que interrompe um servio ou impede totalmente seu uso por usurios/entidades legtimos Objetivo principal tirar do ar (indisponibilizar) um servio, apenas para causar o transtorno/prejuzo da interrupo ou para eliminar uma proteo que assim permita atingir outras formas de acesso no autorizado Tipos de ataques DoS
Consumo de banda de rede: atacante tem banda maior que a da rede alvo ou vrios atacantes simultneos para sobrecarga Consumo de recursos de sistema: criar situaes de abuso ou sobrecarga que ultrapassem o limite do recurso (buffer, HD...) Atingir falhas que levam interrupo Adulterao de rotas/DNS: ao invs de desativar um servio, impede o acesso ao servio legtimo (usa DNS Poisoning)
2001 / 1 Segurana de Redes/Mrcio dvila 31

Ameaas & Ataques

Exemplos
Interrupo de Servio (DoS - Denial of Service)
SYN Flooding (Inundao de SYN) Ataca o handshake de 3-vias do estabelecimento de conexo TCP: cliente envia bit SYN (synchronize sequence number), servidor reconhece e responde com SYN-ACK, cliente reconhece a resposta enviando ACK e inicia a transferncia de dados Ataque: enviar SYNs e no responder aos SYN-ACK, deixando em aberto os estabelecimentos de conexo at ocupar todos os buffers de conexo no servidor Outros clientes no conseguem estabelecer conexes legtimas e o ataque pode derrubar o sistema operacional se a situao consumir toda a memria livre do servidor

2001 / 1

Segurana de Redes/Mrcio dvila

32

Ameaas & Ataques

Exemplos
SYN Flooding (cont.)

2001 / 1

Segurana de Redes/Mrcio dvila

33

10

Ameaas & Ataques

Exemplos
Interrupo de Servio (DoS - Denial of Service)
Ping da Morte (Ping of Death) De aplicao simples, baseado em vulnerabilidade Ping: comando TCP/IP que envia um pacote IP p/ um endereo, para testar se existe e est vivo Vulnerabilidade: sistemas que no tratam adequadamente pacotes ICMP (pacote de controle a nvel de IP) maiores do que o normal Ataque: enviar seqncia de ping com campo ICMP de tamanho mximo (maior que o comum) Smurf Atacante envia um ECHO_REQUEST ICMP geral fazendo spoof do endereo origem como o endereo IP da mquina alvo = solicita uma resposta (eco) ICMP a todas as mquinas de uma rede, fingindo ser a mq. alvo Todas as mquinas da rede respondem para a mquina alvo real, sobrecarregando a rede e o sistema alvo
2001 / 1 Segurana de Redes/Mrcio dvila 34

Ameaas & Ataques

Exemplos
Smurf (cont.)

2001 / 1

Segurana de Redes/Mrcio dvila

35

11

Ameaas & Ataques

Exemplos
SPAM / Junk Mail
Prtica do envio de e-mail no solicitado, em larga escala Normalmente so mensagens de propaganda ou solicitao de marketing de empresa tentando vender ou divulgar algo (que no queremos / no precisamos) Grandes quantidades de SPAM podem ser usados para causar sobrecarga de servidores de e-mail (DoS) Falsos e-mails de descadastramento de SPAM (remove@...) podem ser usados para confirmar e-mails vlidos/em uso

Mensagem-Bomba (Mail Bomb)

Enviar e-mail enorme p/ sobrecarregar servidor e/ou o usurio

War Dialing
Mtodo fora-bruta para encontrar um telefone ligado a um modem (acesso discado a um sistema ou rede) Normalmente automatizado, tentando uma faixa de um prefixo de telefone associado a uma grande empresa
2001 / 1 Segurana de Redes/Mrcio dvila 36

12