25/03/2012
Prof. Lohn
25/03/2012
Prof. Lohn
Garantir que as informaes (em qualquer formato: mdias eletrnicas, papel e at mesmo em conversaes pessoais ou por telefone) estejam protegidas contra o acesso por pessoas no autorizadas (confidencialidade), estejam sempre disponveis quando necessrias, e que sejam confiveis (integridade - no tenham sido corrompidas ou adulteradas por atos de pessoas mal intencionadas).
Luiz Otvio B. Lento 25/03/2012 Prof. Lohn 3
Segurana
Destruio
Proteo contra
Vazamento
da Informao
25/03/2012
Prof. Lohn
Soluo Global
Firewall Autenticao unificada Anti-vrus Criptografia Etc..
PROTEO TCNICA
25/03/2012
Prof. Lohn
25/03/2012
Prof. Lohn
10 de agosto
24 de outubro
25/03/2012
Prof. Lohn
10
Prof. Lohn
11
25/03/2012
Prof. Lohn
12
Um exemplo da preocupao mundial com a segurana das informaes, foi a NSA contratando alguns hackers, distribuindo (sem pelo mundo, e das
mandando-os
atacar
conhecimento
25/03/2012
Prof. Lohn
13
Como resultado, todos os sistemas foram penetrados (alguns com conhecimento, a maioria sem conhecimento), sendo que somente um dos ataques foi rastreado at a Coria do Sul, porm, o hacker estava atacando da Alemanha.
25/03/2012
Prof. Lohn
14
EUA: Companhia area cancelou 40 vos e atrasou outros 32 AUSTRLIA: Trens atrasados afetaram 300 mil pessoas SUCIA: Paralisados 5 mil PCs e equipamentos de Raios-X em Hospital
25/03/2012
Prof. Lohn
15
Cerca de 80 % dos vrus na Amrica do Sul foram no Brasil PF prendeu mais de 100 pessoas no Brasil por fraudes eletrnicas Cerca de 83 % dos e-mails no mundo so Spam
25/03/2012
Prof. Lohn
16
Grupos so criados em todo o mundo para estudarem novas formas de ataque. O Brasil um dos lderes ranking mundial de hackers e crimes virtuais.
25/03/2012
Prof. Lohn
17
25/03/2012
Prof. Lohn
18
25/03/2012
Prof. Lohn
19
25/03/2012
Prof. Lohn
20
Segurana no somente colocar dispositivos de HW, SW, por exemplo. uma mistura de tecnologia e estratgia.
25/03/2012
Prof. Lohn
21
25/03/2012
Prof. Lohn
22
25/03/2012
Prof. Lohn
23
25/03/2012
Prof. Lohn
24
25/03/2012
Prof. Lohn
25
Conceitos de segurana
25/03/2012
Prof. Lohn
26
Definies Bsicas 1 - Segurana da Informao uma rea do conhecimento dedicada a proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana como meio a segurana da informao visa garantir a confidencialidade, integridade e disponibilidade da informao, no repdio e autenticidade. A segurana como fim - a segurana da informao alcanada por meio de prticas e polticas voltadas a uma adequada padronizao operacional e gerencial dos ativos, e processos que manipulam e executem a informao. 25/03/2012 Prof. Lohn 27
2 - Informao conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processo comunicativos (troca de mensagens) ou transacionais (ex: transferncia de valores monetrios). legalidade caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais ou legislao vigente. 3 Ativo todo elemento que compe os processos que manipulam e processam a informao, a contar a prpria informao, o meio em ela armazenada, os equipamentos em que ela manuseada, transportada e descartada.
25/03/2012
Prof. Lohn
28
Incidente Evento (fato) decorrente da ao de uma ameaa que explora uma ou mais vulnerabilidades, levando a perda de princpios da segurana da informao: confidencialidade, integridade e disponibilidade. Um incidente gera impactos aos processos de negcio da empresa, sendo ele o elemento a ser evitado em uma cadeia de gesto de processos e pessoas.
25/03/2012
Prof. Lohn
29
Toda a empresa sofre ameaas que tentam explorar as vulnerabilidades a fim de acessar as informaes manipuladas pelos ativos que do suporte a execuo dos servios necessrios aos processos de negcio da empresa.
25/03/2012
Prof. Lohn
30
Faces da Segurana
Segurana Fsica - A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas ao longo da propriedade fsica do negcio e das facilidades de processamento da informao.
Controle de acesso (Biometria) Controles Condies ambientais (enchentes, raios) Imprevistos (incndios)
25/03/2012
Prof. Lohn
32
Segurana Lgica consiste na habilidade de aplicar controles lgicos, isto , barreiras lgicas que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
25/03/2012
Prof. Lohn
33
Cada barreira estabelece um permetro de segurana, cada uma destas contribuindo para o aumento da proteo total fornecida. As organizaes devem usar os permetros de segurana para proteger as reas que contm as facilidades de processamento de informao.
25/03/2012 Prof. Lohn 34
Permetro de Segurana
Um permetro de segurana qualquer coisa que permita implantar uma barreira, isto , uma parede, um portal com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual, ou tambm a solicitao de identificao e
Permetro
25/03/2012
Prof. Lohn
36
A localizao e a resistncia de cada barreira depende dos resultados da anlise de risco , que fornecer subsdios para determinar quais controles sero aplicados na proteo dos ativos selecionados.. Define o sistema computacional que ser protegido Distinguir usurios normais e os atacantes
25/03/2012
Prof. Lohn
37
25/03/2012
38
Barreiras de Segurana
As barreiras visam reduzir os riscos, sendo que cada uma exerce um conjunto de funes e devem ser dimensionadas de forma adequada para proporcionar a mais perfeita interao e integrao, como se fossem uma nica pea.
25/03/2012
Prof. Lohn
39
Barreiras de Segurana
Atacante
(Ameaas)
1 2 3 4 5 6
Sistema Alvo
(Negcio)
Crescimento do impacto
25/03/2012
Prof. Lohn
40
1 desencorajar: objetiva desmotivar ou perder o interesse e o estmulo pela tentativa de quebra de segurana, por efeito de mecanismos fsicos, tecnolgicos ou humanos (ex: presena de uma cmera de vdeo). 2 dificultar: complementa a barreira anterior, adotando controles que iro dificultar o acesso indevido (ex: roletas, detectores de metal). 3 discriminar: o importante se cercar de recursos que permitam identificar e gerir acessos, definindo perfis e autorizando permisses. Os sistemas so largamente empregados para monitorar e estabelecer limites de acesso a sistemas de telefonia, permetros fsicos, etc.
25/03/2012 Prof. Lohn 41
4 detectar: complementa as barreiras anteriores, onde possui solues de segurana que sinalizem, alertem e instrumentem os gestores de segurana na deteco de situaes de risco (ex: sistemas de monitoramento e auditoria Nessus, Nagios). 5 deter: impedir que as ameaas atinjam os ativos que do suporte aos servios de TI (ex: aes administrativas, punitivas e bloqueio de acesso fsicos e lgicos). 6 diagnosticar: representa a continuidade do processo de gesto de segurana. o elo de ligao com a primeira barreira, pois um diagnstico correto possibilita detectar os problemas de segurana e assim realizar as alteraes necessrias.
25/03/2012
Prof. Lohn
42
Propriedades de Segurana
25/03/2012
Prof. Lohn
43
Confidencialidade a segurana de um sistema computacional no deve admitir que informaes sejam descobertas por qualquer pessoa no autorizada. privacidade A das confidencialidade informaes garante sensveis a em
ambientes computacionais.;
25/03/2012
Prof. Lohn
44
Integridade manter a integridade dos dados de um sistema significa que estes no tero as suas informaes corrompidas, sejam de forma acidental ou intencional via pessoas no autorizadas; e
25/03/2012
Prof. Lohn
45
25/03/2012
Prof. Lohn
46
Existem
consideraes
tambm
quanto
as
propriedades de: Autenticidade - consiste numa forma de verificar a origem do dado (quem enviou ou quem introduziu o dado no sistema); e
25/03/2012
Prof. Lohn
47
No Repdio - garante em protocolos e transaes as protees contra comportamentos omissos ou maliciosos realizadas. onde participantes neguem aes
25/03/2012
Prof. Lohn
48
Perguntas Importantes Autenticidade: afirmando ser? Integridade: A mensagem esta idntica quela enviada pelo emissor? Confidencialidade: Quem pode ler esta informao? Disponibilidade: A informao est disponvel para os usurios legtimos?
25/03/2012 Prof. Lohn 49
Voc
realmente
quem
esta
Mecanismos de Segurana
25/03/2012
Prof. Lohn
50
Para assegurar que os sistemas implantem as propriedades de segurana e sejam ditos seguros, existe a necessidade de adoo de mecanismos de segurana Os mecanismos de segurana so os responsveis efetivos pela garantia das propriedades e polticas de segurana
25/03/2012
Prof. Lohn
51
Principais Mecanismos de Segurana: 1. Criptografia - A criptografia o processo de transformao aplicvel aos dados de modo a ocultar o seu contedo, ou seja quando existe necessidade de secretismo dos dados. 2. Autenticao (tambm considerada como propriedade de segurana) 3. Autorizao e Controle do Acesso
25/03/2012
Prof. Lohn
52
4. Auditoria
consiste
em
estabelecer
executar
procedimentos para a coleta de dados gerados pela atividade de um sistema computacional (uma rede, sistema de informao ou qualquer dispositivo de hardware ou software). Estes dados podem ser utilizados na anlise de segurana do sistema computacional em questo, visando detectar as falhas ocorridas para que possam ser corrigidas e responder aos incidentes de segurana ocorridos.
25/03/2012 Prof. Lohn 53
Controle de Acesso
25/03/2012
Prof. Lohn
54
Limita as aes ou operaes que um sujeito de um sistema computacional pode executar, restringindo o que ele pode fazer diretamente, como tambm os programas que podem ser executados em seu nome. Estabelecer a associao entre cada usurio e privilgios Indicar quem (ou o qu) pode ter acesso a algum objeto. a - Objeto tangvel: impressora. b - Objeto abstrato: diretrio, arquivo ou servio de rede
25/03/2012
Prof. Lohn
55
A figura apresenta o esquema bsico do controle de acesso exercido atravs de mecanismos em um sistema computacional.
Poltica Regras de Acesso
Administrador do Sistema
Objetos
Sujeito
Identificao/Autenticao
Identificao processo pelo qual o usurio (processo, componente, etc) diz ao sistema quem (ex: nome do usurio, biometria, crachs, tokens de segurana). Autenticao - uma prova de identidade, isto , o sistema deve possuir mecanismos para confirmar positivamente as identificaes. Mtodos usados para identificar um usurio: - Alguma coisa que voc sabe: conhecimento (ex: senha). - Alguma coisa que voc tem: posse (ex: carto do banco). - Alguma coisa que voc : caracterstica (ex: impresso digital). Mtodo mais utilizado: Login + password
25/03/2012
Prof. Lohn
57
Autenticao x Autorizao Por que a autenticao uma condio prvia para a autorizao?
No existe como estabelecer os direitos de uma entidade dentro de um sistema sem antes GARANTIR a sua identidade.
Primeiro Autenticao Depois Autorizao
25/03/2012
Prof. Lohn
58
Pode-se dizer que, a segurana da informao obtida a partir da implementao de um conjunto adequado de processos (ex: polticas, prticas, procedimentos, estruturas organizacionais e funes de software), que garantem que os objetivos especficos de segurana de uma organizao sejam obtidos.
25/03/2012
Prof. Lohn
59
Violaes
25/03/2012
Prof. Lohn
60
As
Violaes
de
segurana
em
sistemas
25/03/2012
Prof. Lohn
61
Tipos de Violao
Tipo de Violao 1 Revelao No Autorizada 2 Modificao No Autorizada 3 Negao de Servio Propriedade de Segurana Violada Confidencialidade Integridade Disponibilidade
25/03/2012
Prof. Lohn
62
25/03/2012
Prof. Lohn
63
25/03/2012
Prof. Lohn
64
Vulnerabilidade - o ponto onde o sistema susceptvel ao ataque, isto , fraquezas ou imperfeies em procedimentos, servios ou
25/03/2012
Prof. Lohn
65
Tipos de Vulnerabilidades Fsicas - acessos indevidos a compartimentos que guardam computadores com informaes sensveis do seu sistema; Naturais - computares so vulnerveis a desastres naturais (fogo, enchentes, etc);
25/03/2012
Prof. Lohn
66
Hardware e Software - certos tipos de hardware falham e podem comprometer a segurana de um sistema computacional por inteiro. Falhas de
desenvolvimento de sistemas, deixando portas de entrada abertas, podem afetar a segurana do sistema como um todo;
25/03/2012 Prof. Lohn 67
Emanao - equipamentos eletrnicos podem emitir radiao eltrica e eletromagntica, interceptando os sinais provenientes computadores; Comunicaes - se o computador est fisicamente conectado a uma rede, ou conectado a uma rede telefnica, existe grande probabilidade dele sofrer um ataque; e de enlaces existentes em redes de
25/03/2012
Prof. Lohn
68
Humana - as pessoas que administram ou usam o seu sistema, consistem numa grande vulnerabilidade. A segurana do seu sistema est quase sempre nas mos do seu administrador.
25/03/2012
Prof. Lohn
69
Ameaas
25/03/2012
Prof. Lohn
70
tudo aquilo que tem potencial para causar danos aos ativos de informao (ex: invaso, indisponibilidade de servios, etc); Divididas em 2 categorias: Ativas so desencadeadas por ataques que interagem diretamente com o ambiente (ex: conexes a portas TCP). Passivas no h interao com a mquina atacada. O seu objetivo coleta de informaes (coleta de pacotes de rede).
25/03/2012 Prof. Lohn 71
Tipos de Ameaas Naturais e fsicas estas ameaas colocam em perigo estrutura fsica e parte dos equipamentos. (incndio, enchente, falhas de energia, entre outros). Dentro da poltica de segurana pode existir um plano para desastres (replicao da planta fisicamente posicionada remotamente).
25/03/2012
Prof. Lohn
72
No intencionais so as ameaas provenientes por ignorncia de operacionalidade do sistema (ex: um administrador de sistema no bem treinado pode executar uma operao que afete a disponibilidade de um recurso de rede). Intencionais so as ameaas provenientes de atos programados por pessoas (intrusos) ou produtos utilizados. Estes intrusos podem ser classificados em: agentes inimigos, terroristas, crackers, criminosos e corporaes criminosas.
25/03/2012
Prof. Lohn
73
Ameaas a Segurana
A B M Modificao Modificao altera a comunicao entre duas partes, violando a integridade.
Fabricao produz mensagens para um destino se passando por algum componente como se elas tivessem sido originalmente produzidas por ele.
B F Fabricao
25/03/2012
Prof. Lohn
74
Interceptao atacante se posiciona entre 2 dispositivos. Pode ser realizado para obter cpias de informaes ou modifc-las.
B I Interceptao
B Interrupo
Interrupo o invasor se posiciona entre as partes que esto se comunicando, fazendo com que o trfego gerado na origem no chegue ao destino.
25/03/2012
Prof. Lohn
75
Ataques quando uma ameaa efetivamente concretizada; e Contramedidas - so as tcnicas para proteger o seu sistema.
25/03/2012
Prof. Lohn
76
Riscos
a relao entre a probabilidade de um acontecimento, isto , a probabilidade de uma ameaa ocorrer e das suas conseqncias (o impacto para o negcio). O risco cresce quando so encontradas vulnerabilidades nos softwares, configuraes dos sistemas operacionais, servios de rede, etc. O objetivo sempre gerenciar o risco, minimizando-o ao mximo para evitar grandes danos ao negcio da Organizao.
25/03/2012 Prof. Lohn 77
Formas de Proteo
25/03/2012
Prof. Lohn
78
Segurana em hosts privilegia a colocao de controles dentro do host a ser protegido (vantagem a possibilidade de se atingir nveis de segurana elevados e personalizados; desvantagem - ser trabalhosa, principalmente se a quantidade de hosts for grande). Segurana em redes a proteo no individual, mas em um conjunto de ativos de rede. Segurana via obscuridade parte do princpio que um ativo s pode ser atacado se algum souber da sua existncia. Segurana na comunicao proteger os links por onde as informaes trafegam (garante confidencialidade, integridade e disponibilidade).
25/03/2012 Prof. Lohn 79
25/03/2012
Prof. Lohn
80
Confiana uma das estratgias mais utilizadas (ex: quando uma pessoa passa o seu carto de crdito em um posto de gasolina, ela est de certa forma confiando os dados do carto ao estabelecimento). No caso de empresas, muitas vezes no existem controles de segurana, pois a estratgia confiar nas pessoas. Porm, a confiana no deve ser realizada de forma irresponsvel, pois toda medida de segurana fruto de uma relao custo/benefcio.
25/03/2012
Prof. Lohn
81
Privilgio Mnimo Inicialmente deve-se conhecer o que privilgio: qualquer funo ou direito que um usurio ou programa tenha acesso. Essa estratgia se baseia na restrio das permisses de acesso, permitindo o melhor controle dos privilgios (mais contas com privilgios, maior a possibilidade de ocorrer uma violao). Os elementos de um sistema computacional devem ter apenas os privilgios e direitos de acesso necessrios a execuo de suas funes.
25/03/2012
Prof. Lohn
82
Defesa em profundidade Essa estratgia faz uso de mltiplos mecanismos para aumentar o ndice de segurana (entrada em uma empresa porto externo com guarita, porto interno com cmera, etc). Caso um atacante passe por um mecanismo, existe a possibilidade desse parar no prximo mecanismo. Divide os recursos em vrios controles que se complementam (as brechas de segurana so cobertas por outro controle) e servem de redundncia entre si, ao invs de um nico controle.
25/03/2012
Prof. Lohn
83
Diversidade a defesa em profundidade somente eficaz se os controles aplicados forem diferentes. No adianta, por exemplo, colocar 6 controles iguais para proteger um Banco de Dados. Sendo assim, a defesa em profundidade deve ser com diversidade de controles, seguindo sempre um padro de complementao.
25/03/2012 Prof. Lohn 84
Ponto de estrangulamento (choke point) Essa estratgia estabelece e controla um ponto de acesso entre a rede interna e a rede externa (ex: quanto menos entradas em uma rede mais fcil o processo de monitoramento e torn-la segura ). Um ponto de asfixia fora os atacantes a usarem um canal estreito o qual pode ser amplamente monitorado e controlado
25/03/2012 Prof. Lohn 85
Elo Fraco (weakest link) A segurana de um sistema igual segurana de seu dispositivo mais frgil (elo fraco de uma corrente ex: usurio). Existe a necessidade em determinar e eliminar ou tornar mais seguro o ponto mais frgil do sistema. Proteger um ambiente uma tarefa assimtrica: quem protege deve ter ateno a todos os pontos, quem ataca precisa achar apenas o ponto falho para obter sucesso.
25/03/2012
Prof. Lohn
86
Falha Segura (fail safe) Essa estratgia parte do princpio que o sistema pode ou vai falhar. Ele dever falhar de tal modo que se negue o acesso ao atacante, isto , em caso de falhas todos os controles devem bloquear o acesso (ex: a catraca de um prdio na falta de energia prefervel no deixar que ningum tenha acesso). A falha tambm poder resultar em negao de acesso a usurios legtimos.
25/03/2012
Prof. Lohn
87
Participao Universal busca a uniformidade na aplicao das medidas de segurana, envolvendo no somente aspectos tcnicos, mas tambm treinamentos e
conscientizao de usurios. Uma rede linux, por exemplo, deve possuir um padro bsico de configurao do seu sistema operacional.
25/03/2012
Prof. Lohn
88
Aspectos conclusivos
25/03/2012
Prof. Lohn
89
1. Apesar se aplicar todas as estratgias de segurana, o risco sempre ir existir. 2. A questo trazer o risco a um nvel aceitvel. 3. A segurana deve ser tratada com uma atividade contnua, pois nunca existir um sistema totalmente seguro. 4. A segurana est ligada a relao custo/benefcio, no se esquecendo sempre de que ela deve ser transparente ao usurio. 5. Sendo a segurana uma jornada sem fim, alguns pontos so levados como parmetros de comparao: Um pequeno esforo pode eliminar 80% das suas vulnerabilidades; Um esforo moderado pode eliminar 90%; Um grande esforo pode eliminar 95%; e Nada pode eliminar os 5% restantes.
25/03/2012 Prof. Lohn 90
25/03/2012
Prof. Lohn
91
Um ataque pode ser definido como a efetivao de uma ameaa sobre uma vulnerabilidade. Um ataque pode ser dividido em 3 etapas: Footprint organizao das idias com o objetivo de criar o melhor e mais completo perfil do alvo do ataque. Normalmente utiliza-se de tcnicas de engenharia social na obteno das informaes;
25/03/2012
Prof. Lohn
92
Fingerprint parte do footprint que tem como objetivo identificar o sistema operacional a ser atacado e demais sistemas. Normalmente utiliza-se uma ferramenta de scanner (Nmap, Portscan, ...) na obteno dessas informaes; Enumerao consiste na obteno das informaes do ambiente do alvo, como contas dos usurios, recursos compartilhados e mal protegidos e principais servios disponveis (vulnerabilidades). O sucesso dessa etapa facilitada conforme a ttica utilizada, que envolve desde a forma como so escolhidos os alvos at as ferramentas 25/03/2012 Prof. Lohn 93 utilizadas.
Sequenciando um ataque 1 - Qualquer ataque comea com o levantamento das informaes sobre o alvo (footprint). Pode iniciar com um telefonema, usando a velha e funcional engenharia social, para que o invasor colete informaes de forma ilcita. 2- usada alguma ferramenta de scanner, objetivando sempre o fingerprint (descobrir o sistema operacional) e demais servios disponveis na mquina-alvo. O Nmap e o Portscan so algumas ferramentas que podem ser utilizadas. 3 Levantada todas as informaes, inicia-se a procura pelas vulnerabilidades que um ou mais servios possa possuir. A ferramenta Nessus (+ de 600 plugins) busca identificar uma vulnerabilidade especfica na mquina-alvo.
25/03/2012 Prof. Lohn 94
Anatonima de um ataque
Engenharia Social
25/03/2012
Prof. Lohn
95
25/03/2012
Prof. Lohn
Rootkit: um conjunto de programas que substituem comandos importantes do sistema e podem omitir processos, conexes, arquivos e logs um coleo de software projetados para no deixar pistas de um invasor e fornecer portas dos fundos para futuras invases no sistema. Normalmente tambm agem como limpadores de logs
25/03/2012
Prof. Lohn
97
Exploit: um mtodo para tirar vantagem de uma vulnerabilidade atravs de um procedimento manual, script ou programa executvel.
25/03/2012
Prof. Lohn
98
Scanning de Vulnerabilidades: realiza diversos tipos de testes na rede procura de falhas de segurana, seja em protocolos, servios, aplicativos ou sistemas operacionais (auditoria)
25/03/2012
Prof. Lohn
99
25/03/2012
Prof. Lohn
100
Methodology Manual
25/03/2012
Prof. Lohn
102
Reconhecimento do Ambiente
Acesso No Autorizado
Negao de Servio
Descobrindo o Alvo Comandos de Rede Varredura de Pings Varredura de Portas Espionagem Roubo de Informaes
25/03/2012
Obtendo acesso inicial Senhas Obtendo Acesso Privlegiado ou confivel Ganhando acesso secundrio Ataque a servios que permitam AR Ataque a programas vulnerveis
Prof. Lohn
103
Ferramentas Interessantes
NMAP NETSAT TCPDUMP TRACERT TELNET WIRESHARK RETINA NESSUS
25/03/2012 Prof. Lohn 104
TCP IP Ethernet
25/03/2012 Prof. Lohn
Vrios ataques foram criados explorando as deficincias existentes na arquitetura TCP/IP O grande problema desta arquitetura diz respeito a autenticao
Muitos servios e protocolos baseiam-se no endereo IP para a autenticao
25/03/2012
Prof. Lohn
106
25/03/2012
Prof. Lohn
107
25/03/2012
Prof. Lohn
108
rea de Monitoramento
Plano de Contingncia
Forense Computacional
Legislao
25/03/2012
Prof. Lohn
110
Hacker no so fteis desconfiguradores de pginas Conhecimento de programao e de sistemas operacionais (ex: Linux); Conhece, na sua maioria, as falhas de segurana dos sistemas e procura achar outras; Desenvolve as suas prprias tcnicas e programas de invaso e despreza as receitas de bolo; Compartilham conhecimento e no corrompem dados intencionalmente.
25/03/2012 Prof. Lohn 111
Cracker: Executa aes maliciosas atravs da violao da integridade de mquinas remotas; Invade sistemas, rouba dados e arquivos, nmeros de carto de crdito, faz espionagem industrial e provoca destruio de dados; Estes podem ser divididos em: Phreaker e Carders.
25/03/2012 Prof. Lohn 112
Script Kiddies so pessoas que no necessitam de muita habilidade, mas tiveram a sorte de achar um sistema remoto que no aplicou patch de correo a tempo. Isto prova a no capacitao dos administradores de segurana das empresas. O seu perfil e metodologia, tambm conhecidos como Defacers, esto relacionados a um invasor que faz intruso em sistemas computacionais de forma fcil, vinculada a uma falha conhecida.
25/03/2012 Prof. Lohn 113
25/03/2012
Prof. Lohn
114
Perfil de Atacantes
Adolescente Curioso
Espionagem Industrial
Pblico Interno
Poltica/Terrorismo
Criminoso
25/03/2012 Prof. Lohn 115
Como pode-se classificar o grau do ataque de um hacker: O invasor ganha acesso e nada mais (acesso sendo definido como entrada simples: entrada que no autorizada em uma rede que requer, no mnimo, um login e senha).
25/03/2012
Prof. Lohn
116
O invasor ganha acesso e destri, corrompe ou de outro modo altera os dados. O invasor ganha acesso e toma o controle de uma parte compartimentada do sistema ou todo ele, negando acesso at aos usurios privilegiados.
25/03/2012
Prof. Lohn
117
O invasor no ganha acesso mas, em vez disso, forja mensagens de seu sistema. As pessoas fazem isso para enviar correio no solicitado ou fazer inundao (Spam).
25/03/2012
Prof. Lohn
118
O invasor no ganha acesso, mas em vez disso implementa procedimentos maliciosos que fazem com que a rede falhe, reinicialize, trave ou de outro modo manifeste uma condio inoperante, seja permanente ou temporariamente.
25/03/2012
Prof. Lohn
119
25/03/2012
Prof. Lohn
120
Tipos de Ataques
Dumpster Diving ou Trashing Engenharia Social Ataque Fsico Packet Snnifing Port Scanning Spoofing (IP, DNS, ARP) Negao de Servio SYN Flooding
25/03/2012 Prof. Lohn 121
Smurf Negao de Servio Distribudo Land Fragmentao de Pacotes IP Seqestro de Conexes IP Source Routing Buffer Over Flow
25/03/2012
Prof. Lohn
122
Ataque Fsico
Permite acesso direto ao sistema Possibilita o roubo de equipamentos, programas, perifricos e ativos digitais Com acesso fsico aos equipamentos, o atacante pode executar uma srie de aes maliciosas ou destrutivas:
Copiar documentos confidenciais Implantar cavalos de tria
Utilizao de cmeras de vdeo, sistemas de biometria para autenticao de usurios, uso de crachs auxiliam para a segurana fsica
25/03/2012
Prof. Lohn
124
Exemplo de ataque fsico: usurio se afasta de sua estao de trabalho sem bloque-la e um malfeitor realizar atividades no autorizadas, personificando o usurio A segurana fsica tambm esta relacionada com os desastres naturais: terremotos, incndios, enchentes afetam a disponibilidade das informaes
25/03/2012
Prof. Lohn
125
ATAQUE FSICO
ACESSO DIRETO AO SISTEMA MAIORES DANOS PODE SER MISTURADO COM ENGENHARIA SOCIAL POSSIBILIDADE DO KEY LOGGER
25/03/2012 Prof. Lohn 126
Escuta Telefnica (Wiretapping) e Emanaes Eletromagnticas Passiva - ameaa a confidencialidade da informao. Utiliza normalmente tecnologia de grampo com fio ou via interceptao rdio, onde as informaes coletadas so analisadas via software ou outra tecnologia. Tem como objetivo somente a coleta, no alterando o contedo das informaes.
25/03/2012 Prof. Lohn 127
Ativa - ameaa a autenticidade da informao transmitida. Esta metodologia envolve a quebra da comunicao, modificando de forma deliberada a informao. O intruso pode alterar a origem da mensagem ou ento o destino da mensagem, substituindo o contedo da mesma
25/03/2012
Prof. Lohn
128
25/03/2012
Prof. Lohn
129
Engenharia Social a forma de ataque que consiste em obter informaes importantes que possibilitem ataques utilizando a comunicao oral ou escrita como sua principal arma. Este ataque est diretamente ligado a capacidade do elemento em coletar s informaes de alvos prestabelecidos (padres comportamento de pessoas, preferncias sexuais, insatisfao com a atividade exercida, etc).
25/03/2012 Prof. Lohn 130
Engenharia Social
A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia Ela tem como objetivo enganar e pessoas assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou informaes sensveis que possam comprometer a segurana da organizao
25/03/2012
Prof. Lohn
131
Exemplos de Ataques por Engenharia Social: Telefonemas E-mails falsos (ex:, requisio de informaes bancrias, envio de super promoes) Disfarce de entregador de pizzas para conhecer o ambiente da organizao Distrair a secretria para ler ou/e ter acesso documentos importantes
25/03/2012
Prof. Lohn
133
Mascaramento (Masquerading) Quando uma pessoa usa a identidade de outra para ter acesso a um computador, podendo ser feito no prprio local ou de modo remoto. Algumas formas podem ser citadas: Falsificao de assinatura na recepo de um prdio, para ganhar acesso a reas restritas; Falsificao de identidades; Falsificao de identidades biomtricas (ex: uso de uma gravao com a voz de algum autorizado para adentrar em reas fortemente controladas).
25/03/2012 Prof. Lohn 134
25/03/2012
Prof. Lohn
135
Esta tcnica uma boa, pois as informaes so coletadas diretamente do lixo. A poltica de segurana deve levar em conta o problema do Trashing. - Determinar a utilizao obrigatria de um fragmentador de papis
25/03/2012
Prof. Lohn
136
Com a finalidade de minimizar este tipo de problema, deve-se: Separar o que sensvel ou no; Triturar ou, fragmentar o lixo sensvel antes deste ir para a lixeira; Caso seja possvel queimar o lixo triturado.
25/03/2012
Prof. Lohn
137
25/03/2012
Prof. Lohn
138
Informaes Livres
Finger, SNMP, banners de servios CDP Verificao do IOS atravs do mtodo TCP/IP Stack Fingerprinting
GOOGLE
25/03/2012 Prof. Lohn 139
INFORMAES LIVRES NOS ESTADOS UNIDOS AS INFORMAES SOBRE VOC NO SO SUAS. PERTENCEM A EMPRESA QUE AS COLHEU. INTERNET: PRESENA DE MEGA BANCOS DE DADOS
Prof. Lohn
25/03/2012
140
Packet Sniffing
Tambm conhecido como passive eavesdropping A ao de capturar informaes destinadas a outras mquinas chamada de sniffing Utilizado principalmente para a captura de senhas e informaes sensveis Possui um propsito legtimo: analisar o trfego da rede
25/03/2012
Prof. Lohn
141
Ataque de interceptao Ataque passivo (no manipula os dados) Como se proteger: utilizar programas que possuem suporte a criptografia. Exemplo: SSH ao invs de Telnet No Linux necessrio privilgio de root para usar a interface de rede no modo promscuo
25/03/2012
Prof. Lohn
142
25/03/2012
Prof. Lohn
143
Alguns autores comentam que VLAN no coloca segurana Posso alterar o TAG de VLAN O melhor mesmo separar as redes fisicamente (atitude radical :-) )
25/03/2012
Prof. Lohn
144
Port Scanning
Ferramentas utilizadas para a obteno de informaes sobre o alvo Pode-se conhecer quais servios TCP e UDP esto ativos em determinada mquina No considerado um ataque, porm algo inconveniente O Port Scanning muitas vezes utilizado para selecionar mquinas que sero alvos de ataque
25/03/2012 Prof. Lohn 146
25/03/2012
Prof. Lohn
148
25/03/2012
Prof. Lohn
149
1 - TCP connect()
TCP connect(): a forma mais bsica de scanning A chamada de sistema connect() executada para abrir conexes nas portas do alvo. Se a porta estiver aberta, a chamada funcionar com sucesso Caso contrrio, a porta no est aberta e o servio no existe no sistema
No necessrio nenhum privilgio especial para executar esta tcnica. Porm, ela facilmente detectada.
25/03/2012 Prof. Lohn 150
Scanning Usados pelo NMAP - TCP SYN (half open) Este mtodo no abre uma conexo TCP completa
SYN
SYN-ACK
RST
Se o alvo retorna um pacote RST para fechar o pedido de conexo, a porta est fechada.
Prof. Lohn 151
25/03/2012
Precisa do privilgio de superusurio no sistema para utilizar este mtodo A vantagem desta abordagem que poucos iro detectar esse scanning de portas
25/03/2012
Prof. Lohn
152
Scanning Usados pelo NMAP - UDP Esse mtodo envia um pacote UDP (com 0 bytes) para cada porta do alvo.
UDP
ICMP Port Unreachable
Se o alvo retorna uma mensagem ICMP Port Unreachable, a porta esta fechada
X
25/03/2012
Scanning Usados pelo NMAP - ICMP Esse mtodo envia pacotes ICMP echo request para os hosts Porm, como algumas redes bloqueiam pacotes ICMP, tal mtodo muito limitado O NMAP envia tambm um pacote TCP ACK para a porta 80. Se ele obtiver uma pacote RST de volta, o alvo esta funcionando
25/03/2012 Prof. Lohn 154
Scanning Usados pelo NMAP - FIN (modo stealth) Portas fechadas enviam um pacote RST como resposta a pacotes FIN Portas abertas ignoram esses pacotes
FIN
O atacante envia um pacote FIN ao alvo.
RST
25/03/2012
Scanning Usados pelo NMAP - XMAS Tree (modo stealth) Semelhante ao anterior. Os flags FIN, URG PSH so utilizados no pacote
FIN com URG e PSH
RST
25/03/2012
25/03/2012
Prof. Lohn
157
25/03/2012
Prof. Lohn
158
nmap sV 192.168.0.3 nmap 192.168.0.3-250 nmap O 192.168.0.3 nmap sS 192.168.0.3 nmap sU 192.168.0.3
Serve para fazer Scanning e averiguar a verso dos servios Para fazer Scanning em um conjunto de mquinas Utilizado para identificar o sistema operacional da vtima Half Open Scanning Scan UDP Scanning de determinadas portas
nmap -sS -p 0-65535 192.168.0.4 nmap sP 192.168.0.3 nmap 192.168.*.1-5 nmap sT 192.168.1.1
Ping Scan, utilizado para encontrar hosts na rede Utilizado para identificar faixa de endereo IP TCP Connect () Scanning
FIN, NULL e XMAS Scan (-sF, -sN, -sX) idia que portas fechadas respondem com RST e abertas botam fora o pacote. FIN Scan vai com FIN, NULL Scan vai sem nada e XMAS Scan vai com FIN,URG,PSH
25/03/2012 Prof. Lohn 159
25/03/2012
Prof. Lohn
160
No DECOY (-D), o NMAP no esconde o seu endereo IP de origem, mas tambm envia outras varreduras com endereos IP falsos, de forma que seu endereo IP se confunde no meio dos demais. A opo f permite a fragmentao e pode ser usada em conjunto com outras tcnicas. A opo ttl permite selecionar qual o TTL desejado no processo.
25/03/2012
Prof. Lohn
161
25/03/2012
Prof. Lohn
162
O NMAP FAZ SCANNING, POR PADRO, DE 1661 PORTAS AQUELAS MAIS UTILIZADAS
25/03/2012 Prof. Lohn 163
IP Spoofing
O Ataque de Spoofing utiliza conceitos de confiana e autenticao entre mquinas No exatamente uma forma de ataque, mas uma tcnica que utilizada na grande maioria dos ataques para esconder a identidade do atacante
Regras Anti-Spoofing: Apenas devem sair de sua rede local pacotes que possuam endereos IP de origem de sua organizao No devem entrar na sua rede local pacotes com endereos IP de origem de sua organizao (foram falsificados)
25/03/2012 Prof. Lohn 165
DNS Spoofing Um pedido por resoluo pode ser satisfeito de duas formas:
Authoritative: quando a resposta do servidor que faz a gesto do domnio requisitado Non-Authoritative: quando a resposta proveniente de um servidor que tenha em cache a equivalncia pretendida
25/03/2012
Prof. Lohn
166
Consiste em alteraes de nomes, fazendo com que mquinas no confiveis (do atacante) passem por mquinas confiveis Atacante obtm o controle do servidor DNS e realiza alteraes nas tabelas utilizadas
25/03/2012
Prof. Lohn
167
O atacante tira proveito de servios que realizam autenticao baseada em nome (ex: Browser Web) Utilizamos o servio de DNS com muita freqncia um dos servios mais transparentes da Internet
25/03/2012
Prof. Lohn
168
ARP Spoofing
Objetivo: pegar os quadros que se destinam a outro computador Atacante escolhe um alvo e utiliza algum mtodo para tir-lo do ar (as vezes no necessrio) Atacante atribui a sua mquina o endereo IP do alvo (rede local) Como evitar: utilizao de tabelas ARP estticas
25/03/2012 Prof. Lohn 169
25/03/2012
Prof. Lohn
170
Existem 4 tipos diferentes de ataques DoS: Consumo de largura de banda Inanio de recursos Ataques de roteamento e DNS Ataque DoS genrico
25/03/2012
Prof. Lohn
172
25/03/2012
Prof. Lohn
173
25/03/2012
Prof. Lohn
174
25/03/2012
Prof. Lohn
175
SYN Flooding
O SYN Flooding utiliza uma brecha existente no estabelecimento de conexo no protocolo TCP Para cada conexo estabelecida, o host aloca (separa) uma quantidade de recursos Os sistemas tem um limite de conexes
25/03/2012
Prof. Lohn
176
Synflood Attack
25/03/2012
Prof. Lohn
177
ele ir
25/03/2012
Prof. Lohn
178
Atravs da verificao do nmero de seqncia dos segmentos (mesmo atacante) Baixar o tempo mximo para completar o 3-WAYHANDSHAKE
25/03/2012
Prof. Lohn
180
25/03/2012
Prof. Lohn
182
Cliente: aplicao que reside no master e que efetivamente controla os ataques Daemon: processo que roda no agente (zombie)
183
Trs fases do processo DDoS: 1. Intruso em massa para montar a rede de ataque 2. Instalao do software de DDoS nos agentes e masters 3. Disparar o ataque
Muitas ferramentas DDoS implementam uma comunicao cifrada entre o atacante e os masters e atualizao automtica de agentes
25/03/2012
Prof. Lohn
184
TCP SYN Flooding ICMP echo request flood ICMP directed broadcast (smurf) E muito mais
25/03/2012
Prof. Lohn
185
25/03/2012
Prof. Lohn
186
25/03/2012
Prof. Lohn
187
Malware - designao para todo e qualquer cdigo ou programa, desenvolvido com a inteno de causar danos a computadores ou usurios. Os malwares, dependendo dos respectivos comportamentos e formas de propagao, podem ser classificados por tipos: vrus, vermes (worms), cavalos-detria (trojans) e spywares. Freqentemente esses agentes trabalham em conjunto (p.ex.: um trojan propagando um worm), sendo esta associao de 'malwares' identificada por um nico nome pelos desenvolvedores de programas anti-vrus.
25/03/2012
Prof. Lohn
188
Vrus - no so programas independentes, sendo executados somente quando o programa executado. Eles necessariamente necessitam conter instrues para parasitar e criar cpias de si mesmo de forma autnoma e sem autorizao especfica (e normalmente sem conhecimento) do usurio, sendo considerados autoreplicantes. Assim, programas como Trojans Horses e Worms no so vrus. Trojans Horses no se replicam e Worms no parasitam outras entidades para se replicarem, so entidades autnomas.
25/03/2012
Prof. Lohn
189
Worm - um programa independente. Ele se reproduz normalmente, de mquina para mquina via uma rede de computadores. Semelhante ao vrus, ele tambm danifica, espalhando-se de rapidamente de um site para outro. O worm age de forma independente e no modifica outros programas. O worm no destri dados, ele realiza um conjunto de danos que minimiza os recursos na rede.
25/03/2012
Prof. Lohn
190
Cavalo-de-Tria (trojan) - um programa que se apresenta como uma aplicao til, que induz o usurio incauto a execut-lo. A partir da, o agente tanto poder danificar a mquina, por meio de execuo de um vrus associado, como abrir portas que permitam o controle remoto da mquina afetada, ou mesmo instalar programas (spywares) que, sem conhecimento do usurio, roubam dados e os transmitem para terceiros. Os cavalos-de-tria, diferentemente dos vrus, no infectam outros arquivos e, diferentemente dos vermes, no se auto-replicam.
25/03/2012
Prof. Lohn
191
Spyware - um programa que, sem conhecimento do usurio, coleta seus dados privados armazenados em disco, para uso de terceiros. Dependendo do tipo de "spyware", esses dados podero ser lidos localmente ou transmitidos via Internet. Os "spywares" usualmente vm embutidos em programas gratuitos, disponveis na Web, em especial em arquivos baixados de redes peer-to-peer, podendo tambm ser instalados por 'cavalos-de-tria' ou por pessoa malintencionada que tenha acesso local ou remoto a uma mquina desprotegida.
25/03/2012
Prof. Lohn
192
Keylogger - uma modalidade de "spyware", que registra os toques de teclado e os salva em um arquivo, por vezes criptografado, perdido entre os milhares de arquivos existentes nas centenas de pastas do computador. O "keylogger" permite que dados confidenciais do usurio da mquina cheguem ao conhecimento de terceiros, tanto por acesso local como via Internet.
25/03/2012
Prof. Lohn
193
Adware - (advertising-supported software) o nome genrico pelo qual programas que exibem anncios so conhecidos. Seus desenvolvedores normalmente os oferecem na Internet como "freeware" e incluem linhas de cdigo adicionais para exibir propaganda. uma forma de tornar economicamente exeqvel o desenvolvimento de produtos teis, sem custos diretos para seus usurios finais. Embora, em princpio, no se caracterize como programa mal-intencionado, executa aes no solicitadas pelo usurio.
25/03/2012 Prof. Lohn 194
25/03/2012
Prof. Lohn
195
Segurana um trabalho rduo e contnuo. Um gerente de segurana est sempre atento ao que est acontecendo e ao que pode acontecer. O total cumprimento da norma faz-se necessrio um grande esforo da organizao.
25/03/2012
Prof. Lohn
196
O papel de servir como um guia muito bem cumprido. Hoje o Governo (no como um todo) e grandes Empresas vem buscando padres como este para guiar as suas solues de segurana.
25/03/2012
Prof. Lohn
197