CESUMAR

Ameaas e Ataques

Rgis Imamura Alves RA:033951-2

Maring - PR

Ameaas e ataques Introduo Tudo tem um ciclo e aqui no seria diferente. Tudo comea pela vulnerabilidade de um sistema ou rede. Estas brechas deixadas muitas vezes no so expostas porem sempre ser uma ameaa. As pessoas pesquiso como usufruir desta ameaa que de onde surge os ataques se fazendo necessria a criao e/ou execuo de contramedidas. Falamos dos passos, mas como identificamos um deles? - Vulnerabilidade Fraqueza inerente de um elemento do sistema Brecha: ponto fraco ou falha que pode ser explorado - Ameaa Qualquer coisa que possa afetar ou atingir o funcionamento, operao, disponibilidade, integridade da rede ou sistema - Ataque Tcnica especfica usada para explorar uma vulnerabilidade - Contramedidas Tcnicas ou mtodos usados para se defender contra ataques, ou para fechar ou compensar vulnerabilidades Ciclo descrito caracteristicamente: - Vulnerabilidades - Principais origens Deficincia de projeto: brechas no hardware/software Deficincia de implementao: instalao/configurao incorreta, por inexperincia, falta de treinamento ou desleixo Deficincia de gerenciamento: procedimentos inadequados, verificaes e monitoramento insuficientes Exemplos Instalao fsica: m proteo fsica de equipamentos e mdia Hardware e Software: situaes no previstas, limites, bugs no projeto, deixando brechas que podem ser exploradas Mdia: roubo, perda, danificao, desgaste de discos, fitas etc. Transmisso: interceptao de sinal, monitoramento, grampo Humana: desleixo, preguia, estupidez, ganncia, revolta etc.

 Ameaas Brasil: dados da 6 Pesquisa Nacional sobre Segurana da Informao, 2000

Ataques

 Ataques Ataques sobre o fluxo de informao Interrupo: ataca a disponibilidade Interceptao: ataca a confidencialidade Modificao: ataca a integridade Fabricao: ataca a autenticidade Passivo Interceptao, monitoramento, anlise de trfego (origem, destino, tamanho, freqncia) Ativo Adulterao, fraude, reproduo (imitao), bloqueio TCP/IP e Ataques Muitos ataques so baseados em caractersticas de TCP/IP TCP/IP: arquitetura de protocolos padro da Internet, para interconexo de redes IP (Internet Protocol): protocolo de camada de rede sem conexo, baseado no endereo internet n.n.n.n (32bit) TCP (Transfer Control Protocol): protocolo orientado a conexo (fim-a-fim lgica entre dois nodos), com controle de fluxo, deteco de erro e seqenciamento de dados UDP (User Datagram Protocol): protocolo na camada de transporte, com datagramas sem conexo, adequado para transmisso simplificada de pores de dados Exemplos de ameaas e ataques Vrus Programa ou fragmento de cdigo parasita, que no funciona de forma autnoma; requer um hospedeiro (programa autntico) ao qual se anexa para funcionar Ativado pela execuo de programa infectado Se propaga pela infeco de outros programas ou envio de programa infectado por e-mail (auto-propagao), ou ainda pela cpia de programa infectado Verme Tipicamente um programa independente (autnomo) feito para se propagar ou ativar nos sistemas infectados e procurar outros sistemas nas redes acessveis Hoje existem intrusos mistos entre vrus e verme Cavalo de Tria (Trojan Horse)

 Programa ou fragmento de cdigo malfico que se esconde dentro de um programa, ou se disfara de programa legtimo Back Door (Porta dos Fundos) ou Trap Door (Armadilha, Alapo) Forma no documentada de ganhar acesso a um sistema, criada no sistema por quem o projetou Pode ser tambm um programa alterado ou includo no sistema para permitir acesso privilegiado a algum Bomba Lgica Programa ou seo de um programa projetado com intuito malicioso, que ativado por determinada condio lgica Caso mais comum: funcionrio programador malintencionado Port Scanning (Varredura de Portas) Tcnica comum a hackers para reconhecimento Programa que ouve a nmeros de porta bem conhecidos para detectar informaes e servios em execuo no sistema Exemplos de portas comuns padro da Internet: 20 FTP dados (transferncia de arquivos) 21 FTP controle 23 Telnet (terminal) 25 SMTP (envio de e-mail) 80 HTTP (WWW) 110 POP3 (recepo de e-mail) DNS Spoof MIM - Man In the Middle (Homem No Meio) Tcnica de se interpor no meio da comunicao Ex.: registrar domnio parecido. Quando se comete erro de digitao, atacante se interpe e pode repassar a comunicao c/ domnio correto, mas captura dados Redirecionamento: inserir links para destinos falsos Spoofs (Falsificao ou Disfarce de identidade) Replay (Reproduo) Interceptar e capturar uma transmisso legtima entre dois sistemas e retransmitir esta mais tarde Pode-se evitar com timestamp (controle de tempo)

 Estouro de Pilha (Stack Overflow) Consiste em preencher um buffer alocado na pilha com informao que excede o tamanho previsto, de forma que o endereo de retorno da funo seja modificado A modificao normalmente faz com que uma shell root seja acionada no retorno da funo original Sniffing (Monitoramento, Grampo) Monitoramento de pacotes transitando na rede (passivo) Muitas vezes so usadas ferramentas de fabricantes ou comerciais, criadas com propsitos legtimos (gerenciamento e manuteno de rede) Contedo = informao: endereos IP, senhas etc. (Ex.: telnet e rlogin no criptografam as senhas digitadas pelo usurio) Estatsticas = anlise de trfego: Ex.: servidores mais usados Web Site Defacement Ataque muito comum na Internet, para inserir mensagem de protesto, aviso, ridicularizao etc. na home-page de um site Normalmente hackers exploram alguma configurao frgil ou vulnerabilidade conhecida de um servidor web, do sistema operacional ou dos protocolos e componentes envolvidos DoS - Denial of Service (Interrupo de Servio) Ao que interrompe um servio ou impede totalmente seu uso por usurios/entidades legtimos Objetivo principal tirar do ar (indisponibilizar) um servio, apenas para causar o transtorno/prejuzo da interrupo ou para eliminar uma proteo que assim permita atingir outras formas de acesso no autorizado Tipos de ataques DoS Consumo de banda de rede: atacante tem banda maior que a da rede alvo ou vrios atacantes simultneos para sobrecarga Consumo de recursos de sistema: criar situaes de abuso ou

sobrecarga que ultrapassem o limite do recurso (buffer, HD...) Atingir falhas que levam interrupo Adulterao de rotas/DNS: ao invs de desativar um servio, impede o acesso ao servio legtimo (usa DNS Poisoning) Exemplos Interrupo de Servio (DoS - Denial of Service) SYN Flooding (Inundao de SYN) Ataca o handshake de 3-vias do estabelecimento de conexo TCP: cliente envia bit SYN (synchronize sequence number), servidor reconhece e responde com SYN-ACK, cliente reconhece a resposta enviando ACK e inicia a transferncia de dados Ataque: enviar SYNs e no responder aos SYN-ACK, deixando em aberto os estabelecimentos de conexo at ocupar todos os buffers de conexo no servidor Outros clientes no conseguem estabelecer conexes legtimas e o ataque pode derrubar o sistema operacional Interrupo de Servio (DoS - Denial of Service) Ping da Morte (Ping of Death) De aplicao simples, baseado em vulnerabilidade Ping: comando TCP/IP que envia um pacote IP p/ um endereo, para testar se existe e est vivo Vulnerabilidade: sistemas que no tratam adequadamente pacotes ICMP (pacote de controle a nvel de IP) maiores do que o normal Ataque: enviar seqncia de ping com campo ICMP de tamanho mximo (maior que o comum) Smurf Atacante envia um ECHO_REQUEST ICMP geral fazendo spoof do endereo origem como o endereo IP da mquina alvo = solicita uma resposta (eco) ICMP a todas as mquinas de uma rede, fingindo ser a mq. alvo Todas as mquinas da rede respondem para a mquina alvo real, sobrecarregando a rede e o sistema alvo SPAM / Junk Mail Prtica do envio de e-mail no solicitado, em larga escala Normalmente so mensagens de propaganda ou solicitao de marketing de empresa tentando vender ou divulgar algo (que no queremos / no precisamos)

 Grandes quantidades de SPAM podem ser usados para causar sobrecarga de servidores de e-mail (DoS) Falsos e-mails de descadastramento de SPAM (remove@...) podem ser usados para confirmar emails vlidos/em uso Mensagem-Bomba (Mail Bomb) Enviar e-mail enorme p/ sobrecarregar servidor e/ou o usurio War Dialing Mtodo fora-bruta para encontrar um telefone ligado a um modem (acesso discado a um sistema ou rede) Normalmente automatizado, tentando uma faixa de um prefixo de telefone associado a uma grande empresa