Curso Seg Da Informacao V3

SEGURANÇA DE REDES

William da Silva Vianna – DscInstituto Federal Fluminense

IFF [email protected] 2

ROTEIRO

1 - Introdução;2 - Segurança de redes e sistemas;3 - Segurança em redes sem fio;4 - Auditoria e análise forense.


INTRODUÇÃO

CONTEÚDO PROGRAMÁTICO RESUMIDO

- Conceitos básicos da área de segurança;- O perfil dos invasores de sistemas;- Complexidade e conhecimento;- Estatística de incidentes de segurança;- Considerações;


INTRODUÇÃOVídeo animado sobre a Internet

videos/cgi-navegar-g.wmv

CGI.br- Comitê Gestor da Internet no Brasil

http://www.cgi.br/


INTRODUÇÃO

Desde o surgimento da Internet, a busca por melhores estratégias de segurança tem aumentado consideravelmente, tendo em vista milhares de ataques à segurança da informação, causando perdas e pânico. Esses ataques têm causado prejuízos financeiros e de imagem para empresas, instituições e pessoas físicas. Políticas de acesso e uso, firewalls, sistemas de detecção de intrusos, projetos de rede, backups, entre outros; tem sido as “armas” defensivas nesta guerra da informação.


INTRODUÇÃOConceito de segurança de computadores

Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.

A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários.


INTRODUÇÃOConceito de incidente de segurança

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.

São exemplos de incidentes de segurança:

* tentativas de ganhar acesso não autorizado a sistemas ou dados;

* ataques de negação de serviço;

* uso ou acesso não autorizado a um sistema;

* modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;

* desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.


INTRODUÇÃOConceito de vulnerabilidade

Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.

Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.

Fonte de pesquisa - http://www.securityfocus.com/vulnerabilities


INTRODUÇÃOEstimativas de 5 a 50 bugs/Kloc

Windows XP40.000

Celular (Smart)5.000

Linux1500

Win200035.000

Boing 7777.000

Ônibus espacial10.000

Estação espacial40.000

Netscape17.000

Solaris 7400

SistemaLinhas de código (Kloc)


INTRODUÇÃOConceito de malware

Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso".

Alguns exemplos de malware são:

* vírus;

* worms e bots;

* backdoors;

* cavalos de tróia;

* keyloggers e outros programas spyware;

* rootkits.


INTRODUÇÃOVídeo sobre malware

videos/cgi-invasores-g.wmv


http://www.cgi.br/


INTRODUÇÃOConceitos de segurança física e lógica

Lógica – Proteção dos dados utilizando: sistemas de software (IDS, NIDS, filtros/firewall, anti-malware, etc), senhas fortes, políticas de segurança, monitoração constante do tráfego de rede, atualização dos sistemas vulneráveis, controle de acesso lógico por permissões, etc;

Física – Arquitetura de rede segura, restrição do acesso físico, política e sistemas de backup, sistemas de condicionamento do ar para os servidores, sistema de fornecimento de energia elétrica initerrupta (geradores e no-breaks), etc.


INTRODUÇÃOConceitos de segurança física e lógica

Segurança física


INTRODUÇÃOO perfil dos invasores de sistemas

•Script Kid - é o principiante que aprendeu a usar alguns programas prontos para descobrir senhas ou invadir sistemas (receitas de bolo), entrou num provedor de fundo de quintal e já acha que vai conseguir entrar nos computadores da Nasa. Também conhecido como Lammer;•Larva - este já está quase se tornando um hacker. Já consegue desenvolver suas próprias técnicas de como invadir sistemas;



•Lammer - indica uma pessoa que acredita que é um hacker (decifrador), demonstra grande arrogância, no entanto sabe pouco ou muito pouco e é geralmente malicioso. Utilizam ferramentas criadas por Crackers para demonstrar sua suposta capacidade ou poder, na intenção de competir por reputação, no entanto são extremamente inconvenientes para convívio social, mesmo com outros hackers. Algumas pessoas acreditam que essa é uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade.•



•Newbie, Noob ou a sigla NB - vem do inglês "novato". Indica uma pessoa aprendiz na área, ainda sem muita habilidade, porém possui uma sede de conhecimento notável. Pergunta muito, mas freqüentemente é ignorado ou ridicularizado por outros novatos que já saibam mais do que ele (ao contrario dos lammers que são ridicularizados por todos). Hackers experientes normalmente não ridicularizam os novatos, por respeito ao desejo de aprender - no entanto, podem ignorá-los por falta de tempo ou paciência.•



•Phreaker - corruptela do inglês "freak" que significa "maluco", essencialmente significa a mesma coisa que o original "hacker", no entanto é um decifrador aplicado à area de telefonia (móvel ou fixa). No uso atual, entende-se que um Hacker modifica computadores, e um Phreaker modifica telefones. Os Phreakers também se enquadram no conceito de White hat ou Black hat.•



•Hacker - tem conhecimentos reais de programação (geralmente C, C++ e Assemble) e de sistemas operacionais, principalmente o Unix, o mais usado nos servidores da Internet. Conhece as falhas de segurança dos sistemas e procura achar novas. Desenvolve suas próprias técnicas e desprezas as "receitas de bolo". Dificilmente divulga seus conhecimentos. Infelizmente este termo é utilizado de forma pejorativa, o verdadeiro Hacker conhece o sistema operacional e trabalha para resolver problemas e não criá-los;•



•White hat (hacker ético) – é o hacker interessado em segurança. Utiliza os seus conhecimentos na exploração e detecção de erros de concepção, dentro da lei. A atitude típica de um white hat assim que encontra falhas de segurança é a de entrar em contacto com os responsáveis pelo sistema e informar sobre o erro, para que medidas sejam tomadas. Hackers white hats ministram palestras (ou aulas em universidades) sobre segurança de sistemas, e até trabalhando dentro de empresas para garantir a segurança dos dados.•



•Gray hat - Tem as habilidades e intenções de um hacker de chapéu branco na maioria dos casos, mas por vezes utiliza seu conhecimento para propósitos menos nobres. Um hacker de chapéu cinza pode ser descrito como um hacker de chapéu branco que às vezes veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a confidencialidade.•



•Black hat - (cracker ou dark-side hacker), indica um hacker criminoso ou malicioso, comparável a um terrorista. Em geral são de perfil abusivo ou rebelde, muito bem descritos pelo termo "hacker do lado negro" (uma analogia à série de filmes Star Wars). Geralmente especializado em invasões maliciosas e silenciosas, são os hackers que não possuem ética. Invade sistemas afim de dar problemas à algo ou à alguém.•



•Cracker - do inglês "quebrador", originalmente significa alguém que "quebra" sistemas. Hoje em dia, pode tanto significar alguém que quebra sistemas de segurança na intenção de obter proveito pessoal (como por exemplo modificar um programa para que ele não precise mais ser pago), como também pode ser um termo genérico para um Black Hat.•



•Warez - Primariamente se refere ao comércio ilegal (pirataria) de produtos com direitos autorais. Este termo geralmente se refere a disponibilização por meio de grupos organizados, fazendo o uso das redes peer-to-peer, do compartilhamento de arquivos (ficheiros) entre amigos ou entre grandes grupos de pessoas com interesses similares.•



•Virii – É o especialista em desenvolver vírus para computador.•Guru ou Coder - o supra-sumo dos hackers, usa seus conhecimentos para o bem. Não persegue, pelo contrário, sofre a perseguição.



•Phishing - Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sensíveis, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. O termo Phishing surge cada vez mais sofisticadas artimanhas para "pescar" (do inglês fish) as informações sensíveis dos usuários. Tipos de mensagens eletrônicas utilizadas: roubo de identidade, roubo de informações bancárias e recados no Orkut ("scraps").


INTRODUÇÃOO perfil dos invasores de sistemas;

•Spammer - autor do envio em massa de mensagens não-solicitadas. Geralmente maliciosas. Os tipos mais comuns são:- Propagandas (spam);- Boatos (hoaxes);- Correntes (chain letters);- Golpes (scam);- Estelionato (phishing);- Programas maliciosos (Vírus, Worms, Cavalos de Tróia, keylogger, screenlogger);- Ofensivos.•


INTRODUÇÃOVídeo sobre spam

videos/cgi-spam-g.wmv


http://www.cgi.br/


INTRODUÇÃOComplexidade versus conhecimento


INTRODUÇÃOIncidentes reportados ao CERT.br


INTRODUÇÃOProxy aberto - CERT.br

1 Telemar Norte Leste2 Telesp3 Brasil Telecom4 Global Village Telecom5 NET Servicos de Comunicacao6 Vivax7 Claro8 Vivo9 CTBC Telecom10 Embratel11 Tim Celular12 Way TV Belo Horizonte13 Telefonica Data14 LocaWeb15 Acom Comunicacoes

Agosto 2009


INTRODUÇÃOTipos de ataques acumulados Jan-Mar2009


INTRODUÇÃOIncidentes reportados ao CAIS - RNP


INTRODUÇÃOConsiderações

● Segurança da informação tem que ser consideração permanente de qualquer projeto de TI;

● Não existe segurança absoluta;● A segurança é sempre uma questão de economia;● A segurança é antagônico ao desempenho;● O atacante não passa pela segurança, mas em torno dela;● Organize suas defesas em camadas;● É uma má idéia contar com a segurança por meio da obscuridade;● Mantenha a coisa simples;● Se não é usado um programa ou protocolo, não importa se eles têm

vulnerabilidades;● Informações sobre (in)segurança são abundantes;● A situação tende a ficar cada vez pior !


INTRODUÇÃOVídeo sobre defesa para clientes da Internet

videos/cgi-defesa-g.wmv


http://www.cgi.br/


SEGURANÇA DE REDES E SISTEMAS

CONTEÚDO PROGRAMÁTICO RESUMDO

- Etapas de um ataque;- Tipos de ataque;- Riscos, ameaças e vulnerabilidades;- Fontes de (in)segurança;- Medidas de segurança.


PRÉ-REQUISITOS BÁSICOS DESEJÁVEIS

1 - Sistemas operacionais- Comandos básicos GNU/Linux;- Gerenciamento de processos;- Estrutura de diretórios;2 – Protocolos- Endereçamento IPv4;- Roteamento IPv4;- Noções de TCP e UDP (diferenças, portas, flags);- Noções de ICMP;3 – Equipamentos de rede- Funcionamento básico do Switch, HUB, roteador, AP.


SEGURANÇA DE REDES E SISTEMASEtapas de um ataque

– As técnicas utilizadas para se planejar um ataque, são:

– Footprinting– Obtenção de informações

– Scanning– Identificação de serviços ativos

– Enumeration– Identificação dos recursos que fornecem os

serviços


SEGURANÇA DE REDES E SISTEMASFootprinting

– “Footprinting” refere-se ao ato de coletar informações sobre o sistema alvo.

– Um atacante sempre irá recolher o máximo de informações importantes sobre todos os aspectos de segurança de uma organização.

– Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informações de uma grande variedade de fontes e compilar esse “Footprinting”.

– Alguns recursos disponíveis:

– www.internic.net

– whois.nic.gov

– www.google.com

– www.registro.br


SEGURANÇA DE REDES E SISTEMASFootprinting

•Exemplos de ferramentas:•Consulta do DNS e bases Whois;

dig;nslookup;whois;rndc;Maltego;

•Consutla de rotas;Traceroute;Cheops;


SEGURANÇA DE REDES E SISTEMASScanning

– O scanning tenta identificar os serviços ativos:

– Identificam serviços TCP/UDP;

– Arquitetura do sistema (Sparc, Alpha, x86);

– Faixas de IPs.

– Técnicas utilizadas:

– Ping sweeps;

– Port scans;

– Identificação de sistemas operacionais.


SEGURANÇA DE REDES E SISTEMASScanning

•Exemplos de ferramentas:•Máquinas

ping;nmap;Cheops;

•Sistema operacionalnmap;Cheops;


SEGURANÇA DE REDES E SISTEMASEnnumeration

– Processo de extrair dos sistemas alvos contas válidas, recursos que estão expostos, falta de pathing;

– É mais intrusivo que o footprinting e o scanning;

– Técnicas:

– Coletas de nomes de usuários e grupos;

– Banners de sistemas;

– Tabelas de roteamento;

– Informações SNMP;



Exemplos de ferramentas:

• Máquinasnmap;Cheops;

• Sistema operacionalnmap;Cheops;

●Serviçosnmap;Nessus;Sara;Telnet

(banner);● Vulnerabilidades

Nessus;Retina;Sara;



Exemplos de ferramentas:

Contas (login e senha)Sniffers rede local

Tcpdump;Ethereal;Ethercap;Etterape;MsnShadow;SPY;

••John;•Brutus;•Cain;•SpyArsenal (KL);•All In One (KL)•SI Advanced (KL)•Ardamax (KL)•GPCS (SL)•ScreenLogger (SL)


SEGURANÇA DE REDES E SISTEMASTipos de Ataques

● Footprinting● Exploração de Bugs● BackDoors● Arp cache poisoning● Denial of Service ( DoS )● Distributed Denial of Service

( DDoS )● SYN Flooding● Syn sniping● Ping of death● Buffer overflow● Stack overflow

– Smurf Attacks– IP Spoofing– IP sequence prediction– IP fragementation Flooding– Port Scanners– Password Crackers– Hijacking Attacks– Phishing– Pharming – DNS– Botnet


SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (1/11)

Denial Of Service - DOS

– O objetivo principal de ataques do tipo DoS, é bastante simples: indisponibilizar servidores de rede.

– Os ataques DoS afetam diretamente a implementação do IP, o que os torna mais hostis, uma vez que a implementação do IP varia muito pouco de plataforma para plataforma.



AtacanteMaster

Agentes

Agente

Vítima

Internet

Distributed Denial of Service



SYN Flooding

ClienteServidor

1) SYN enviado do cliente2) SYN/ACK enviado do servidor

3) ACK enviado do cliente

Conexão SYN - Estabelecimento de conexão em 3 etapas do TCP:



Hijacking Attack– O sequestro ( hijacking ) de TCP é oriundo de um descuido

fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execução de comandos em um host remoto.

– Existem produtos disponíveis na Internet que colocam a teoria do hijacking em prática, como o Juggernaut e o Hunt.



Smurf Attack

Atacante

Rede da vítima

Rede Amplificadora

INTERNET

Conexão RDSI

Link T1 de 1,544 mbps

Link T3 de 45 mbps

Pacote ICMP ECHOfalsificado contendo IPv;alido na rede da vítima



IP Spoofing

Atacante

Host Y Host X

INTERNET

Confiável comatacante

Pedido de conexão

Origem forjada em YSobrecarga em Y



Port Scanning●É o processo de se conectar a portas TCP e UDP do sistema-alvo para determinar quais serviços estão sendo executados ou em estado de escuta.●Pode identificar o tipo de sistema operacional do sistema-alvo.●Identifica aplicativos ou versões específicas de um serviço em particular.



Técnicas de Port Scannings– Existem várias técnicas empregas para realização do scanning no

dispositivo alvo. São elas:● TCP Connect() ou Dumb Scan● TCP SYN Scan ou Half Scan● UDP Scan● Stealth Scan

– Null Scan– FIN Scan– Xmas Tree

● ICMP ou Ping Sweep● RPC Scan● FTP Proxy ou bounce Scan



● SniffersSniffers ou analisadores de tráfego como

também são conhecidos, são dispositivos que capturam os pacotes que estão trafegando pela rede.

Estes analisadores, a princípio, podem ser utilizados para analisar o tráfego de rede e identificar áreas que estão sofrendo com problemas de tráfego.

Devem trabalhar em “promiscous mode”



● Password CrackersPassword Crackers são ferramentas de

simulação que empregam os mesmos algoritmos usados na criptografia de senhas.

Estas ferramentas executam análises comparativas para checar a validação das senhas.

–



● Buffer Overflow (estouro de buffer)● É uma técnica utilizada para explorar bugs que

geram vulnerabilidade. Ocorre quando um programa ou processo armazena mais dados no buffer (área temporária para armazenamento de dados) do que o previsto. O buffer é criado para conter uma quantidade finita de dados. Quando esta área é ultrapassada ocorre o estouro possibilitando o desvio do programa para operações não previstas. Esta técnica pode ser utilizada pelos atacantes para executar programa indevidamente em clientes e até mesmo servidores.

–


SEGURANÇA DE REDES E SISTEMASRiscos, ameaças e vulnerabilidades (1/2)

•

Riscos ao Hardware:

BIOS

USB devices

Cell phones

Removable storage

Network attached storage

•

Riscos às aplicações:

ActiveX

Java

Scripting

Browser

Buffer overflows

Cookies

SMTP open relays

Instant messaging

P2P

Input validation

Cross-site scripting (XSS)

•

Riscos aos protocolos:

TCP/IP hijacking

Null sessions

Spoofing

Man-in-the-middle

Replay

DOS

DDOS

Domain Name Kiting

DNS poisoning

ARP poisoning

Ameaças como:

Privilege escalation

Virus

Worm

Trojan

Spyware

Spam

Adware

Rootkits

Botnets

Logic bomb


SEGURANÇA DE REDES E SISTEMASRiscos, ameaças e vulnerabilidades (2/2)

•

Dispositivos

Privilege escalation

Weak passwords

Back doors

Default accounts

DOS

Físicas

Physical access logs/lists

Hardware locks

Physical access control – ID badges

Door access systems

Man-trap

Physical tokens

Video surveillance – camera types and positioning

•

Autenticação

Biometric reader

RADIUS

RAS

LDAP

Remote access policies

Remote authentication

VPN

Kerberos

CHAP

PAP

Mutual

802.1x

TACACS


SEGURANÇA DE REDES E SISTEMASAs fontes de (in)segurança

http://packetstormsecurity.org

http://www.milw0rm.com/

http://www.securiteam.com/exploits

http://insecure.org/sploits.html

http://www.c4ads.org

http://www.nsa.gov/SNAC/

http://www.gocsi.com/

http://www.technewsworld.com/perl/section/security

http://www.sans.org

http://www.securityfocus.com

http://www.cert.org

http://www.us-cert.gov

http://nvd.nist.gov/home.cfm

http://www.first.org/

http://cve.mitre.org/

http://xforce.iss.net/

http://www.securiteam.com

www.insecure.org

http://www.wirelessve.org/


SEGURANÇA DE REDES E SISTEMASMedidas de segurança (1/17)

●Definição da política de segurança e política de uso aceitável;

●Elaboração de uma arquitetura de rede segura;

●Elevação do nível de segurança dos hosts;

●Monitoração contínua do tráfego da rede e dos serviços;

●Definição de testes periódicos à procura de vulnerabilidades.



Algumas característica da políticas de segurança e política de uso.

●Definir regras para evitar a quebra de uma ou mais de suas três propriedades fundamentais: confidencialidade, integridade e disponibilidade.

●Atribui direitos e responsabilidades às pessoas que fazem uso dos recursos.

●Definir direitos e responsabilidades do provedor dos recursos.

●Especificar ações previstas em caso de violação da política.



Arquitetura de rede segura, na medida do possível, deve contemplar:

●Least Privilege;

●Choke Point;

●Defense In Depth;

●Weakest Link;

●Fail Safe;

●Universal Participation;

●Diversity of Defense;

●Simplicity;

●Type Enforcement (permissão).



Firewall

O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurança. Os componentes básicos para a construção de um firewall são:

●Packet Filters: são responsáveis pela filtragem (exame) dos pacotes que trafegam entre dois segmentos de rede.

●Bastion Host: computador responsável pela segurança de um ou mais recursos (serviços) da rede.



Filtro de pacotes (Packet Filters):

●Hardware;

●Software de interação (http://www.netfilter.org/);

IPTables - Linux 2.4 e 2.6.

IPChains - Linux 2.2 e 2.4.

IPFWADM - Linux 2.0.

O filtro de pacotes é apenas um dos elementos do Firewall.



Algumas distribuições GNU/Linux criadas especialmente para implementar firewall de rede:

Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall,IPCop Firewall, Linux LiveCD Router,m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e Vyatta



Algumas arquiteturas de Firewall.

Esquema de atuação de um Screening Router.




Esquema de uma arquitetura Sreened Subnet.




Esquema da arquitetura Screened Subnet utilizando um único roteador.




Esquema da arquitetura Screened Host.



Elevação do nível de segurança dos hosts:●Particionamento adequado dos discos rígidos dos servidores;●Desativação de serviços desnecessários;●Definição de senhas seguras;●Atualização periódica dos servidores;●Equipamentos e procedimentos Backup;●Leitura periódica de logs;●Configuração de filtragem de pacotes nos servidores;●Definição da administração remota segura;●Controle de acesso a proxies WEB;●Controle de acesso a sites “indesejados”;●Remoção de shell desnecessários;●Segurança física dos servidores;●Servidor de e-mail com antivírus, antispam, relay fechado.



Técnicas de defecção de intruso.

IDS – Sistemas de Detecção de IntrusoMonitoração do sistema de arquivos:

Tripwire;Aide.

HoneyPot (pote de mel)DTK;PortSentry;

NIDS – Sistema de Rede para Detecção de IntrusoSnort.



LOGHOST

Um LogHost centralizado é um sistema dedicado à coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositório redundante de logs.



Leitura de Logs:/var/log/messages/var/log/secure/var/log/maillog/var/log/xferloglastlastlog

Outras formas de monitoração de logs:LogcheckLogWatchColorlogs



Logs de comandos do Shell;.bash_history

Detecção de sniffers;AntiSniff

Detecção de rootkits;Chrootkit;Rkhunter;Lsat;Lynis;

Aide;Tripware;Kem_check;Sam Hain;Prelude.



Verificar o que esta sendo executado:ps –auxnetstat –vatlsoffuser –av porta/protocolowhow



Monitoração contínua do tráfego da rede e dos serviços.●MRTG;●Sarg;●Webalizer;●Snort;●Nagios;●Driftnet;●Etherape;●AutoScan.Definição de testes periódicos à procura de vulnerabilidades.●Nessus;●Retina.


SEGURANÇA DE REDES SEM FIO

CONTEÚDO PROGRAMÁTICO RESUMIDO

- Noções de rádio frequência;- Auditoria de redes sem fio;- Ataques a redes sem fio;- Tráfego 802.11: conceitos, análise e captura;- Metodologias de auditoria;- Ferramentas de auditoria;- Sistemas de Detecção de Intrusos (IDS) em redes WLAN;

- Implementação de WLAN doméstica e corporativa com maior nível de sergurança;



1 - Sistemas operacionaisComandos básicos GNU/Linux;Instalação e compilação de programas GNU/Linux;2 – ProtocolosNoções: IP, TCP, UDP, ICMP;Noções de protocolos e serviços.


SEGURANÇA DE REDES SEM FIOClassificação das redes sem fio

São muitas e diversas, mas normalmente classificadas por sua área de cobertura:

●WWAN – 3G, IEEE 802.20, EV-DO/EV-DV;

●WMAN – WiMAX, baseado no padrão IEEE 802.16.

●WLAN – Baseado em IEEE 802.11, produtos certificados como Wi-Fi (Foco do curso);

●WPAN – Bluetooth (IEEE 802.15) e IR (Infrared) .


SEGURANÇA DE REDES SEM FIOFundamentos de radiofreqüência

Sinais de corrente alternada (AC) de alta freqüência.Irradiados pelo ar na forma de ondas de rádio com o auxílio de antenas.

Ondas se propagam seguindo certos princípios de física que abordaremos nesta Sessão de Aprendizagem.

Propagação das ondas depende do tipo de antena:➢Omnidirecional➢Semidirecional➢Altamente direcional



Propagação inconsistente.

Interferências externas.

Comportamento:✔ Diferenças de impedância entre cabos e conectores causa perda de sinal✔ Ganho e perda de sinal✔ Reflexão, refração, difração, espalhamento



Ganho✔Unidade: dBi✔Aumento na amplitude de um sinal de RF✔Normalmente é um processo ativo, mas pode ser passivo por sinais refletidos

Perda✔Diminuição na força de um sinal RF inversamente proporcional à distância percorrida✔Diversos fatores podem causar perda


SEGURANÇA DE REDES SEM FIOWLAN - Freqüências utilizadas no Brasil


SEGURANÇA DE REDES SEM FIOPadrões

Padrões IEEE✔ Camada física (PHY)

✔ 802.11 2.4GHz✔ 802.11a 54Mbps a 5GHz✔ 802.11b 11Mbps a 2.4GHz✔ 802.11g 54Mbps a 2.4GHz✔ 802.11n 600Mbps a 2.4GHz



Outros padrões IEEE 802.11 – Padrões importantes✔802.11i – Melhorias para segurança (CCMP e TKIP)✔802.11k – Radio Resource Management✔802.11m – Corrects and clarifications to IEEE 802.11-1999✔802.11p – Wireless Access in Vehicular Environments (WAVE)✔802.11r – Fast Roaming✔802.11s – Wireless Mesh Networks✔802.11t – Wireless Performance Prediction✔802.11u – Internetworking with External Networks✔802.11v – Wireless Network Management



Outros padrões IEEE – Outros padrões✔802.11c – Bridge Operation Procedures✔802.11d – Operação sob outras Regulações✔802.11e – QoS e Multimídia✔802.11h – Spectrum and Transmit Power✔802.11j – Operação no Japão a 4.9 e 5.1GHz✔802.11p – Wireless Access in Vehicular Environments (WAVE)✔802.11w – Protection of Management frames✔802.11y – Novo padrão para a banda 3.65-3.7GHz ISM



Outros padrões IEEE – Outros padrões✔802.11c – Bridge Operation Procedures✔802.11d – Operação sob outras Regulações✔802.11e – QoS e Multimídia✔802.11h – Spectrum and Transmit Power✔802.11j – Operação no Japão a 4.9 e 5.1GHz✔802.11p – Wireless Access in Vehicular Environments (WAVE)✔802.11w – Protection of Management frames✔802.11y – Novo padrão para a banda 3.65-3.7GHz ISM


SEGURANÇA DE REDES SEM FIOWLAN – equipamentos e acessórios (1/2)

– AP● Access Point

● Elemento-chave de uma WLAN

● Ponto de acesso à rede cabeada

● Principais modos– Root (padrão)– Repeater– Bridge


SEGURANÇA DE REDES SEM FIOWLAN – equipamentos e acessórios (2/2)

– AP● Broadband Routers versus Access Point;

– Opções típicas:

● Potência ajustável;

● Firewall básico;

● Antenas destacáveis;

● Filtro por MAC;

● Servidor DHCP para WLAN e LAN (portas RJ-45);

● Atualização de Firmware.


SEGURANÇA DE REDES SEM FIOConfiguração de clientes

– Windows● Plataforma nativa de praticamente todas as interfaces● Wireless Zero Configuration Service (WZCSVC)● Sem suporte a RFMON - captura de quadros 802.11 de gerenciamento● Esquemas mais comuns

– Autenticação: WEP (inseguro), WPA, WPA-PSK, WPA2, WPA2-PSK– Criptografia: TKIP (WPA), AES (WPA2)– EAP Types: PEAP (PEAPv0/EAP-MSCHAPv2), EAP-TLS



Windows – Lembretes– Desativar WZCSVC, caso opte por controlar a interface

pelo serviço do fabricante– Restringir associações a redes de infra-estrutura ou

ad-hoc (Advanced)



– Linux● Outra história● Drivers ainda constituem um problema● Chipsets melhor suportados por drivers e ferramentas: Prism, Orinoco, Atheros,

Ralink e TI (nesta ordem)● Demais chipsets:

– Suporte muitas vezes parcial– Sem o modo RFMON



– Linux● Drivers

– Hostap – chipset Prism– wlan-ng– MADWIFI – chipset Atheros– Wavelan – chipset Orinoco– Ndiswrapper – instalação de driver Windows (.INF) sob Linux

● Utilitários– Wireless Tools (WT)

● iwconfig, iwlist, iwspy, iwpriv, ifrename



– Definição dos parâmetros de WLAN● Linux

– iwconfig - canal, SSID, modo, chave, taxa de transmissão– modo “master”: primeiro passo para transformar uma estação em um AP

● Windows– WZCSVC - associação ao AP simplificada


SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (1/10)

– Estima-se que, em 2006, 70% dos ataques bem-sucedidos contra Access Points e clientes de WLANs ocorram devido à má configuração (Gartner, 2004).

– Os ataque são favorecidos devido a concepções erradas sobre segurança em redes sem fio.

– O fato de não entender as vulnerabilidades ou de assumir que a rede está segura por si só constitui um risco.



– Concepções erradas● “Uso filtro por endereços MAC”

● “WEP é melhor que nada”

● “Uso WPA-PSK, estou seguro”

● “Ninguém encontrará minha rede wireless”



– Concepções erradas (continuação)● “Ataques DoS exigem equipamentos caros, de acesso difícil”

● “Estamos seguros porque usamos autenticação/criptografia”

● “Segregamos nossa WLAN”

● “Não temos redes sem fio em nossa empresa”

● “Temos firewall”

● “Ninguém nos invadiria”



– Segurança física● Não há segurança física.

● Conter a abrangência de uma rede sem fio é muito difícil.

● Lugares de ataque mais comuns: prédios vizinhos, apartamentos vizinhos, lobbies.

● Vazamento de sinal– Qualidade para capturar sinal – longa distância– Qualidade para associação – curta distância



– Segurança física – Wardriving● Wardriving – termo cunhado por Peter M Shipley em 1999.

● Busca por redes sem segurança.



– Segurança física – Piggybacking

● Termo em inglês para conexão em redes sem fio alheias.

● Prática comum: vizinhos, viajantes.

● “Eu não acho que isto seja roubar”

● Consenso: se o dono do AP habilitou segurança (mesmo WEP), então não quer conexões de estranhos.

● Outros problemas:– Uso para golpes na Internet, para pedofilia – assinante do serviço é o

culpado aparente– Cotas de download – prejuízo financeiro para o vizinho



– Divulgação de informações● WLAN = LAN com hub

● Com criptografia ou não, o tráfego pode ser capturado

● Não é necessário se associar ao AP para capturar

● Depende da combinação entre distância e ganho da antena



– Negação de serviço● Denial of Service (DoS)

● Três categorias– Ataques ao meio – “RF Jamming”– Fraquezas de 802.11 – ataques deauth– Vulnerabilidades no firmware dos clientes

● Segurança = Confidencialidade, Integridade e Disponibilidade.



– Access points “Rogue”● Usuários bem intencionados ligam APs mal configurados à rede cabeada

● Mudança inadvertida no perímetro da rede

● Firewall corporativo defende do lado errado

● Soluções– Políticas– Monitoramento– Auditoria



– Outros ataques● Redes domésticas e Hotspots

● Exploração de vulnerabilidades do sistema operacional

● Worms que se propagam pelas camadas PHY e MAC– Filtros de camada 3 e 4 sem utilidade– Possibilidade futura– Worm Cabir – celulares Bluetooth


SEGURANÇA DE REDES SEM FIOWardriving – Campos (1/5)

Foram detectados 280 equipamentos AP/Router

Wardriving realizado entre 10:00 e 10:34 do dia 31/10/2008

Batalhão da PM (Fundos)

Marechal Floriano (Ouvidor)

21 de Abril

Praça São Salvador

Alberto Torres

Gil de Gois (Liceu)

Barão de Miracema

Av. Pelinca

Formosa

Felipe Webe

Alberto Lamego (UENF)


SEGURANÇA DE REDES SEM FIOWardriving - Campos - ESSID – BSSID (2/5)

ZPlus-G120 00:05:9E:83:EB:D9

WRLS-ETC 00:1B:11:E6:04:43

WLW 00:19:5B:4B:B4:55

WLMB 00:1B:11:6C:D4:AC

WLAN_19 00:1D:19:26:38:1B

WizardLan 00:1D:7E:F5:A3:52

WireSic_Serasa 00:1E:58:09:E0:DE

Wireless-RHPM 00:0E:2E:C0:EC:CA

Wireless da Larissa 00:1E:58:0D:3C:68

WIPEER 92:08:EF:51:A2:C6

Wi-Fi_PBSACORP 00:15:70:97:39:F0

WIFI 00:E0:4C:F5:8B:BD

W+Midia 00:1B:11:3A:F6:6F

Vitor Ferreira 00:1B:11:91:FE:4E

Vip Car 00:1B:11:A5:C5:26

V-IMPERIAL00:1D:0F:EC:95:FE

Vieira_Wireless 00:1C:F0:AD:B4:E3

VIDAELUZ 00:1B:11:61:0E:13

VICTORWIRELESS 00:1B:11:3A:F1:1B

Vanessa Braga 00:1A:3F:48:C5:38

Valeria_casa 00:1E:58:09:B0:60

UNNUS_4 00:15:6D:50:11:5A

UNNUS_3 00:15:6D:50:11:5E

UNNUS_2 00:15:6D:50:11:45

UNNUS_1 00:15:6D:50:11:49

Unicampos 00:17:9A:00:DA:12

TV LITORAL ESCRITORIO 00:13:46:36:E8:75

TrojanHorse 00:1A:C1:38:1D:34

Trindade 00:17:9A:4B:B3:A9

trindade 00:1C:F0:85:8A:EA

TP-LINK 00:19:E0:A3:59:00

TP-LINK 00:1D:0F:D1:7A:70

TP-LINK 00:1D:0F:D1:7A:98

TP-LINK 00:1D:0F:ED:72:C2

TESTE 00:1B:11:69:2A:B1

tecnose 00:40:F4:FB:63:69

TATIEBRUNO 00:19:5B:00:26:A7

SuperPoderosas 00:1B:11:D5:2A:09

SóMoto 00:0E:2E:8D:4D:50

Sobre 00:1B:11:4B:6E:6F

SMC 00:13:F7:7F:61:57

Siqueira 00:1B:11:3C:E8:91

sarta 00:13:46:7A:DD:B6

Santostec 00:18:E7:1F:83:E1

Santostec 00:1B:11:F4:BD:28

Samurai 00:1C:F0:EA:8C:47

Salute2 00:12:0E:95:C8:45

SAGRES_BEER 00:18:E7:21:4A:7C

Router 00:1B:11:91:BB:FE

RLM Advogados 00:1E:58:37:EB:2F

REDE004 00:E0:4C:FD:59:C5

Rede Sem Fio 00:1E:58:0D:50:90

Rede Igor 00:1E:58:2D:9D:4D

RCR 00:17:9A:F1:AB:19

Ramos 00:1E:E5:5D:BF:15

previcpswi-fi 00:17:9A:83:20:5D

previcpswi-fi 00:17:9A:83:20:7A

Ppaes 20:03:7F:1F:12:C1

Portal 00:13:46:F0:E0:30

POP-SLT1 00:0C:42:0C:54:33

POP-S3 00:12:0E:2D:B3:68

POP-PLCH 00:12:0E:96:B4:4D

POP-PLC 00:02:2D:51:31:3A

POP-OPC2 00:12:0E:48:11:A9

POP-OPC 00:02:2D:61:77:FB

POP-MTC 00:12:0E:48:0F:E7

POP-FMO 00:12:0E:59:E6:68

POP-DM 00:12:0E:78:2F:6C

POP-CDT2 00:12:0E:9C:41:B6



POP-CDT 00:02:2D:8F:D1:D3

POP - GUARUS 1 00:4F:62:0E:8C:E2

pipit 00:18:F8:6F:BB:D4

PERCI 00:1C:F0:EA:BC:F3

PAULOFA 00:15:E9:D2:B1:AC

PATASEASAS 08:10:74:1A:8A:36

PACIFIC 00:1D:0F:F5:FC:F6

PACIFIC 00:1D:0F:F6:06:9A

PACIFIC 00:1D:0F:F6:08:AA

Ossoduro 00:06:4F:6B:C4:BC

Oi 00:19:5B:DC:78:A4

OdiarioWire 00:17:9A:00:DA:0B

OAB 00:1B:11:F5:82:2C

nolimit 00:14:D1:36:18:E6

NETGEAR 00:1B:2F:E6:A9:CC

NETGEAR 00:1E:2A:0B:0C:DA

NETGEAR 00:1F:33:32:94:7E

NAKED 00:1C:C5:0A:39:98

MyWLAN 00:0A:52:01:1C:85

Muniz Duarte 00:1B:11:FF:F5:8A

MULTICEL 00:1C:F0:85:AA:22

movocanto 00:17:9A:35:E1:10

MMJ 00:1E:58:C1:4D:7D

mixinfo 00:1B:11:A5:D4:34

MedNet 00:1D:0F:EB:90:08

MB 00:1C:F0:00:16:49

Matrix 00:1C:F0:00:98:F7

MatheusRocha 00:13:46:EF:E1:9A

Margaret 00:18:E7:42:F7:04

manelzeze 00:1B:11:4E:ED:C1

M4rd0k 00:1C:F0:38:FC:1F

lumare 00:19:5B:BD:D1:7D

Loja10 00:1E:58:34:35:5B

linksys 00:1C:10:57:BB:39

linksys 00:1D:7E:50:4C:81

linksys 00:1D:7E:5D:92:76

linksys 00:1E:E5:7B:0C:2D

LIML_WIRELESS 00:1C:F0:3C:45:0A

LFcasa 00:1B:2F:FC:19:5C

LCBS 00:13:46:F0:F6:E8

Joao Manoel 00:1B:11:A5:F8:76

joao 00:1B:11:3C:E6:65

Japa 00:21:91:6A:6F:8E

Irina 00:1B:11:3D:00:75

ione 00:1B:11:A3:61:4E

INTELBRAS 00:1A:3F:48:C9:86

Imprimix 00:1A:C1:38:00:9A

Iconect 00:30:4F:52:93:36

ICN 00:0A:52:01:61:FC

Huguinho Zezinho e Luizinho 00:1C:F0:00:0B:E7

house 00:1B:11:D4:9D:57

Home Sweet Home 00:1E:58:C1:D7:F3

HOME 00:1B:11:92:12:9A

Haddad 00:1E:58:0D:59:94

Habitare 00:13:46:34:35:E9

Habitare 00:19:E0:0F:AC:C6

Gustavo 00:1B:2F:56:50:40

GUIOPIM 00:1E:58:09:C3:84

geraldo 00:1B:11:91:B8:86

Geno 00:18:E7:44:8F:26

GANTOS WEB 00:17:9A:4B:B3:83

G604T_WIRELESS 00:0F:3D:B8:FB:4C

Francisco 00:50:18:58:2B:F6

FRACTALL 00:05:9E:88:F0:32

FoX 00:21:04:10:4C:67

fourteam 00:18:39:40:3A:80

Forum_do_Pao 00:13:46:DE:8D:FF

flink 00:1E:58:0D:42:32

fernandes 00:1B:11:3A:EB:7D



FAMILIA FELIZ 00:05:9E:86:92:B1

Fabricio 00:1A:C1:38:0D:AE

FABNAJ 00:1C:F0:83:30:00

EXTINCAMPOS 00:21:8D:00:08:33

ESSID BSSID

EscritorioWIRE 00:1C:F0:7F:EE:40

escritorio manhaes de lima00:1E:58:0D:59:CA

escritorio 00:17:9A:58:29:99

ESCRITORIO 00:1A:3F:48:B6:46

ESC 00:18:39:64:5B:0B

Ello_Campos 00:1B:11:8C:BB:DE

Efeito Digital Interna 00:13:10:D2:E6:CC

Efeito Digital Externa 00:05:9E:88:E1:D4

DRPC 00:1B:11:D3:10:CB

Dr 00:1B:11:A1:BE:DC

DPPCASA 00:1E:58:C1:BF:99

dlinkE607 00:1C:F0:5F:E6:07

DLINK_WIRELESS 00:1C:F0:3F:CE:6A

D-Link 00:0D:88:3C:DF:FF

d-link 00:19:5B:90:9F:AA

dlink 00:1B:11:3A:89:75

dlink 00:1B:11:3D:03:FB

dlink 00:1B:11:5E:AD:29

dlink 00:1B:11:66:79:B3

dlink 00:1B:11:FB:D3:A6

dlink 00:1C:F0:00:7D:2B

dlink 00:1C:F0:02:0E:E9

dlink 00:1C:F0:3A:4E:97

dlink 00:1C:F0:83:25:E6

dlink 00:1C:F0:87:22:A6

dlink 00:1C:F0:87:24:7C

dlink 00:1C:F0:AD:9D:1F

dlink 00:1E:58:0D:41:72

dlink 00:1E:58:14:AC:3E

dlink 00:1E:58:14:F4:B4

dlink 00:1E:58:C0:9F:A9

dlink 00:21:91:6B:99:76

DIGITUS_SERVER_WIRELESS 00:E0:4C:F4:98:27

DetalheWIRE 00:19:5B:B3:84:23

default-root-gina 00:12:0E:94:12:F9

default-root 00:12:0E:93:F6:5B

default-root 00:12:0E:93:FF:46

default-root 00:17:9A:83:20:52

default-root 00:19:5B:D2:B8:68

Default_11G 00:06:4F:68:A2:0E

Default_11G 00:06:4F:68:A5:98

default 00:11:95:4C:49:99

default 00:13:46:DE:8D:FD

default 00:13:46:F5:D3:4E

default 00:15:E9:33:4C:F1

default 00:15:E9:33:4C:F4

default 00:15:E9:D2:CF:D4

default 00:17:9A:F8:7E:E3

default 00:17:9A:FD:7A:D7

default 00:18:E7:1F:83:CD

default 00:19:5B:00:4D:C1

default 00:19:5B:0C:72:66

default 00:19:5B:4F:88:CD

default 00:1B:11:A3:7F:3A

default 00:1E:58:14:F2:4A

defato-wifi 00:19:5B:BE:48:A7

Decisiva2 00:18:6E:C3:8C:CF

Decisiva 00:15:E9:40:61:24

Dantas 00:1E:58:E8:DA:DF

Daniel Campos 00:1C:F0:3F:BA:CA

Curaçau Blue 00:19:5B:B3:7A:DB

CTA 00:1E:58:32:0C:6F

CSantos 00:1C:F0:F5:CF:68

credtem 00:1C:F0:83:03:94



CPD 00:19:5B:5F:B6:C7

cosanostra 00:19:E0:A1:3B:2E

CONSTRUTORA 00:19:5B:09:13:10

ConnectionPoint 00:21:04:10:19:81

CNET-VIACABO 00:02:2D:AA:A6:6F

CNET-MAISON2 00:02:2D:A9:CD:05

CNET-ALBERTAOS2 00:12:0E:84:7D:D4

CNET-ALBERTAOS1 00:02:2D:01:31:DC

CNET-97FM 00:02:6F:3B:0C:A5

Clínica Oral Cerqueira Escocard 00:1C:F0:6F:7F:80

classmaker.com 00:1E:2A:65:1C:B2

ChicreCheme 00:1B:11:3C:D9:7B

CFB-Lab1 00:40:F4:F8:B7:77

CFB-CPD 00:18:E7:44:8F:22

CCULTURA 00:17:9A:FD:8B:C7

CCIS 00:13:33:0B:0F:20

CC_Campos 00:1B:11:4F:1D:C9

CB_BH_Campos 00:1B:2F:E6:76:12

Castor_Wireless 00:19:5B:DF:CF:4E

casa1 00:1B:11:A5:DD:62

casa 00:13:46:88:C4:F0

Carvalho 00:1C:F0:00:84:65

Cantoti 00:14:7C:BC:AC:4E

CAM 00:13:46:F3:D6:FC

cada.d 00:1B:11:43:A7:7E

CabeloePele 00:1C:C5:D7:F9:C2

Bruno 00:1B:11:3A:F6:81

BP2 0A:0F:CB:FC:53:B5

BP 00:0F:CB:FC:53:B5

Beto 00:15:E9:40:5F:58

bernardo 00:1D:0F:EB:A2:5C

belkin54g 00:17:3F:84:4F:98

Baluro 00:1B:11:F4:B3:08

BALBIeCOSTA 00:1A:C1:35:C2:D4

b 00:0A:B8:1C:4C:30

b 00:17:94:A5:CF:50

ATHILA 00:18:E7:49:3D:EC

apserver 00:0E:2E:1F:9D:9D

APHF 00:12:17:74:BC:14

APHF 00:12:17:74:BE:1D

AnsataAssociada 00:15:E9:EC:C0:E4

Anna 00:19:5B:5F:E3:47

Alterdata 00:1E:58:0D:2D:0C

ALEXANDRECASA 00:1C:C5:0A:13:AC

ALEXANDRE 00:1E:58:13:89:5A

AKF 00:21:91:6A:6D:F4

ADMINISTRATIVO 00:1E:E5:33:DB:D3

ACJ 00:1B:11:F4:F5:DE

ACIC 00:17:9A:4B:B4:1B

acessototal 00:02:2D:A5:B2:92

acessototal 00:14:7C:BC:AD:56

acessototal 00:4F:62:00:4C:28

acessototal 00:4F:62:00:5F:33

a 00:1E:58:C6:65:BB

3Com 00:1C:C5:09:89:14

3Com 00:1C:C5:0A:14:F6

3Com 00:1C:C5:D7:85:84

100Fio 00:19:5B:E0:02:5C

100FIO 00:1C:F0:83:28:96

001601AD54E0 00:16:01:AD:54:E1

#@!%XtremeAvm-Adm%!@# 00:1D:0F:EB:92:48

7 00:18:39:0C:E1:6E


SEGURANÇA DE REDES SEM FIOMetodologias de auditoria (1/5)

– Auditoria contra determinada política

● Antes– Política em mãos, dados já coletados;– Conhecer os equipamentos típicos, marcas de produtos;– Autorização.

● Buscar desvios– Cláusulas da política de segurança não obedecidas;– Correlacionar dados coletados com a política de segurança.



– Nem sempre redes e dispositivos sem fio estão incluídos na política de segurança adotada

– Outros objetivos de uma auditoria:

● Identificar APs e clientes;

● Verificar as configuração;

● Mapear abrangência da rede;

● Avaliar o grau de divulgação de informações da organização.



– Metodologias – Fingerprinting do AP

● Passivo– Não há necessidade de estar conectado à rede– Identificar o fabricante

● OUI (Organization Unique Identifier) da interface de rede ● Alocado pelo IEEE● Útil apenas em tráfego unicast e broadcast

– Identificar informações proprietárias divulgadas nos quadros beacon

● Ativo– Necessidade de conexão– Conectar-se ao AP remotamente (SSH, servidor WEB)



– Metodologias – processamento de informações coletadas

● Processar informações coletadas– Gerar planilhas com arquivos XML e CSV gerados pelo

Kismet;– Identificar redes com segurança fraca;– Informações úteis;

● SSIDs usados, marcas de interfaces, potência do sinal e nível de ruído, dentre outros indicadores.



– Metodologias – identificando métodos de segurança

● Automaticamente– Ferramentas como Kismet

● Manualmente– Captura e filtro de quadros não interessantes

● beacon, probe request, probe response– Análise com analisadores de tráfego como Ethereal ou

Wireshark


SEGURANÇA DE REDES SEM FIOFerramentas de auditoria (1/4)

– Principais– Tcpdump– airodump– Ethereal– Wireshark– NetStumbler (Windows)– Kismet

● Linux apenas, versão Windows em desenvolvimento



– Principais ferramentas – Ethereal / Wireshark

● Poderoso analisador de tráfego

● Revela mais informações que Tcpdump– Estrutura em árvore, resolução de hostname / porta / MAC, possibilidade de

visualização de fluxos, etc.

● Dependente de Libpcap / Winpcap

● Captura tráfego, abre arquivos de captura PCAP– Interoperabilidade com Tcpdump, airodump, Kismet e outras

● Filtros de captura no mesmo formato usado por Tcpdump, filtros de exibição



– Principais ferramentas – Kismet

● Diversas funções– Wardriving, site survey, IDS distribuído, auditoria,

detecção de APs “rogue”, detecção de IVs duplicados em redes com WEP

● Interação com GPS para mapeamento● Driver próprio, mais de 20 tipos de NIC suportados

– Suporte ainda limitado aos principais chipsets● Restrito a Unix, diversas dependências

– GPSD, ImageMagick, Expat, GMP● É possível a captura em todos os canais

simultaneamente



– Principais ferramentas – NetStumbler

● Ferramenta mais “popular”, restrita ao Windows● Várias funções

– Configuração da sua rede, detecção de interferência, APs não-autorizados (“rogue”), wardriving (suporte a GPS)

● Auditoria ativa, detectável por probes● Limitado, se comparado ao Kismet

– RFMON ausente sob Windows● Bom suporte a NICs em Windows● “Barulhento”


SEGURANÇA DE REDES SEM FIOSegurança-padrão no AP (1/2)

– Configurações relacionadas à segurança

● Secure Easy Setup (SES)

● SSID

● Wireless SSID Broadcast

● Wireless MAC Filter

● AP isolation


SEGURANÇA DE REDES SEM FIOSegurança-padrão no AP (2/2)

– Configurações relacionadas à segurança

● Firewall, filtros de aplicação, DMZ

● Administração– Alteração de senha;– Habilitar HTTPS;– Desabilitar acesso administrativo a partir da rede sem

fio;– Desabilitar gerenciamento a partir da interface externa;


SEGURANÇA DE REDES SEM FIOSegurança em redes domésticas

– AP configurado com WPA2-PSK

– Vantagens● Segurança suficiente para usuário doméstico

– Já existem ataques conhecidos contra WPA● Não é necessário servidor de autenticação● Possível mesmo sem Openwrt

– Desvantagens● Chave compartilhada – mesma chave para todos os

usuários, segredo mantido por pouco tempo● Trocar PSK nos clientes é trabalhoso


SEGURANÇA DE REDES SEM FIOSegurança em redes corporativas

– IEEE 802.1x – Port Based Network Access Control

– Servidor de autenticação externo

● FreeRADIUS– implementação de RADIUS (RFC 2865)

– EAP-TLS como método EAP

● EAP – Extensible Authentication Protocol (RFC 3748)

● Necessidade de ICP (Infra-estrutura de Chaves Públicas)

● Necessidade de certificados tanto no servidor RADIUS quanto nos clientes – autenticação mútua


NOÇÕES DE AUDITORIA E ANÁLISE FORENSE

CONTEÚDO PROGRAMÁTICO- Princípios de análise forense: conceito e motivação;- Procedimentos de análise forense;- Cadeia de custódia de evidências;- Ambiente e ferramentas de análise forense;- Ambiente de análise forense: o hardware, o sistema operacional e o software básico;- Pacotes forenses: ferramentas dos níveis de sistemas de arquivo e de nomes de arquivos, de

metadados e de blocos de dados;- Coleta de evidências: arquivos de logs, de inicialização do sistema e de histórico de comandos;- Recuperação e análise de evidências;- Sistema de arquivos Linux;- Ferramentas de recuperação de evidências: como reaver arquivos apagados e parcialmente

sobrescritos;- Evidências avançadas: análise de executáveis e evidências avançadas;- Cronologia dos acontecimentos e reconstrução do ataque;- Análise forense em sistemas Windows;- O sistema de arquivos do Windows;- Descrição do pacote de ferramentas e primeiras ações;- Informações sobre o sistema: identificação de ações, de usuários e do nomedo sistema (hostname);- Identificação de processos em execução no sistema;- Identificação de portas disponíveis;- Identificação de bibliotecas em uso;- Registro do Windows;- Informações adicionais do Windows;- Métodos de ocultação de dados e informações.



1 - Sistemas operacionaisComandos básicos GNU/Linux.Sistemas de arquivos.2 – Curso de segurança de redes.


NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense

• Resposta à incidentes de segurança– Preparação– Identificação– Contenção– Erradicação– Recuperação– Acompanhamento



Análise forense: é o segundo passo no processo de resposta a incidentes.

“Recuperar e analisar dados da maneira mais imparcial e livre de distorções quanto possível, para reconstruir os dados ou o que aconteceu a um sistema no passado [1].”

[1] Murder on the Internet Express; Farmer, Dan; Venema, Wietse;



PROCEDIMENTOS:●Minimizar perda de dados;●Evitar contaminação dos dados;●Registrar e documentar tudo que for feito;●Analisar, impreterivelmente, dados em cópias;●Reportar as informações coletadas;●E principalmente, manter-se imparcial!

“É um erro capital teorizar antes de ter todas as evidências”. Sherlock Holmes



MotivaçõesPor quê não investigar um incidente?●É caro●É demorado●Nem sempre vale a pena●Ocupa recursos importantes!Enfim, é um processo que demanda tempo e recursos, e nem sempre vai ser útil para a empresa. É mais fácil reinstalar um computador do que investigar!



MotivaçõesEntão, por quê investigar?●Identificar sinais de ataque;●Determinar a extensão do comprometimento;●Reconstruir a ordem dos eventos;●Entender o modus operandi do atacante.

Responder: O Quê? Quando? Onde? e Como?


NOÇÕES DE AUDITORIA E ANÁLISE FORENSE Princípios de Análise Forense

Tipos de Sistemas ComprometidosSistema desligado:●Sem atividade no disco rígido;●Evidências voláteis perdidas;●Sem atividade do invasor;●Sem necessidade de contenção do ataque;●Possivelmente algumas evidências foram modificadas!



Tipos de Sistemas Comprometidos Sistema Ligado:●Atividade no disco rígido;●Atividade de rede;●Evidências voláteis;●Possível atividade do invasor;●Necessário conter o ataque;●As evidências estão sendo modificadas!



Tipos de Sistemas Comprometidos Sistema Ligado:●Verificar se o sistema está comprometido●Não comprometer as evidências●Conter o ataque●Coletar evidências●Power-off ou shutdown?

● Power-off: não modifica evidências, mas pode corromper os dados

● Shutdown: Garante integridade dos dados, mas pode modificar evidências



Procedimentos para Análise Forense ●A reação precisa ser rápida. Esteja preparado!●Tenha em mãos um checklist de ações, e todas as ferramentas necessárias.●Esterilize as mídias antes de coletar evidências.●Colete as evidências mais voláteis primeiro.●Crie um registro para cada evidência, e faça um relatório da sua investigação.



Procedimentos para Análise Forense Ordem de coleta de evidências:●Informações sobre o ambiente (ambiente operacional, fotos da sala e da tela do computador);●Coletar cópia binária da memória RAM;●Coletar informações sobre processos rodando, conexões de rede, registros, cache, etc;●Coletar informações sobre o tráfego de rede;●Coletar cópias dos discos rígidos;●Coletar possíveis mídias removíveis (fitas, disquetes, cd-rom);●Coletar material impresso (adesivos, folhas impressas).



Procedimentos para Análise Forense ●Criar registro para cada evidência●Criar assinatura das evidências:

● MD5● SHA1

●Evitar comprometer evidências●Criar relatório detalhado da investigação:

● comandos executados● pessoas entrevistadas● evidências coletadas



Cadeia de Custódia de EvidênciasÉ um registro detalhado de como as evidências foram

tratadas durante a análise forense, desde a coleta até os resultados finais.

Este registro deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas.

Durante um processo judicial, este registro vai garantir que as provas não foram comprometidas.

Cada evidência coletada deve ter um registro de custódia associada a ela.



Cadeia de Custódia de EvidênciasUm registro de custódia deve conter pelo menos os seguintes itens:➢Data e hora de coleta da evidência;➢De quem a evidência foi apreendida;➢Informações sobre o hardware, como fabricante, modelo, números de série, etc;➢Nome da pessoa que coletou a evidência;➢Descrição detalhada da evidência;➢Nome e assinatura das pessoas envolvidas;➢Identificação do caso e identificação da evidência (tags);➢Assinaturas MD5/SHA1 das evidências, se possível;➢Informações técnicas pertinentes.


NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense

• Pré-requisitos• Hardware• Sistema Operacional• Software Básico• Pacote de Ferramentas Forenses• CD de Ferramentas



Pré-requisitosA primeira ação do investigador é coletar

evidências no local onde ocorreu a invasão.Após isso, entra em cena a análise de mídias.O investigador precisará analisar dezenas de

gigabytes de dados, por isso deve contar com um ambiente propício, com ferramentas que facilitem seu trabalho.



Pré-requisitosO objetivo da análise de mídias é coletar evidências que

comprovem ou refutem a invasão.As evidências originais devem ser preservadas, por isso a

análise deve ser feita em cópias das mídias.O analista deve evitar comprometer as evidências, e deve

garantir que todos os resultados podem ser reproduzidos.Isto envolve a criação e manipulação de dezenas de

gigabytes de dados.Além disso, o sistema invadido não é confiável, portanto o

investigador precisa dispor de um ambiente confiável e controlado para realizar a investigação.



HardwareQuanto mais memória RAM e mais processamento tiver,

melhor!O espaço livre em disco deve ser generoso.O sistema deve ter baias para conectar os discos de evidências.

De preferência, as baias devem ser configuradas para jamais iniciar o sistema a partir dos discos contidos nelas.

Um notebook é imprescindível para quando não for possível remover o disco de evidência. Este notebook deve conter as mesmas ferramentas da estação forense.

O investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross-over e normais, placas de rede normais e wireless, disco rígido externo (USB e paralelo), bem como um equipamento para realizar cópias de disco automaticamente.



Sistema OperacionalEntre os pontos que devem ser levados em consideração na hora de escolher o sistema operacional estão:

●Familiaridade do investigador com o S.O.;●Disponibilidade de ferramentas;●Capacidade do S.O. de reconhecer diversos tipos de mídias ou sistemas de arquivos diferentes;●Mecanismos de segurança disponíveis no S.O.;



Sistema OperacionalGNU/LINUX - Caracterísitcas:

●Não é necessário adquirir licenças para uso;●Existe uma gama completa de ferramentas de análise forense de uso livre;●Capacidade de acessar qualquer tipo de sistema de arquivos ou partições a partir de configuração no kernel;●Capacidade de acessar diversos tipos de dispositivos diferentes (USB, Discos, etc);●Firewall embutido no kernel, e possibilidade de utilizar diversas modificações no kernel para aumentar a segurança da máquina.



Sistema OperacionalGNU/LINUX – Limitações:

●Se for necessário analisar algum executável para Windows, precisaremos de uma maneira de emular o Windows. A melhor opção é utilizar o VMWare ou outro sistema de emulação, tal como o Wine.●Apesar da escolha pelo Linux, existem ótimas ferramentas de análise forense para Windows, tal como o software EnCase produzida pela Guidance Software e representada no Brasil pela TechBiZ Forense Digital.



Software Básico●Nem sempre será necessário a utilização de ferramentas complicadas para realizar uma análise.●O Linux dispõe de ótimas ferramentas para auxiliar o trabalho de investigação.●Estas ferramentas básicas são importantes para a investigação, e o analista deve conhecê-las muito bem.●Existem versões destas ferramentas para Windows também, mas precisam ser instaladas à parte. No Linux, elas já acompanham o sistema.



Software Básicostrings: extrai mensagens de texto de um arquivo. Esta é uma das principais ferramentas do investigador. Com ela é possível detectar rapidamente se existe algum conteúdo interessante em um arquivo suspeito. Pode ser usada tanto em arquivos comuns como diretamente em um arquivo de dispositivo.

Ex: # strings –a /bin/bash# strings –a /dev/hda1 > /data/hda1.str

Com o comando acima criamos um arquivo com todas as mensagens contidas no dispositivo /dev/hda1. Podemos utilizar este arquivo para detectar rapidamente se existe algum conteúdo comprometido no dispositivo. Por exemplo, podemos utilizar este arquivo para procurar por palavras suspeitas constantes em uma base de dados.



Software Básicogrep: Procura por padrões em um arquivo. Usado em conjunto com o strings torna-se uma ferramenta importante para encontrar evidências.

Ex: # grep –ia –f /data/palavras_hacker.txt /data/hda1.img# grep –ab “hacked” /data/hda1.img

No primeiro exemplo acima, utilizamos um arquivo com palavras suspeitas como padrão de busca. O comando irá mostrar quais palavras constantes no arquivo /data/palavras_hacker.txt que também aparecem na imagem de disco /data/hda1.img.No segundo exemplo, o comando irá imprimir o offset em bytes de onde a palavra hacked foi encontrada no arquivo /data/hda1.img.



Software Básicomd5sum/sha1sum: Geram um hash criptográfico dos dados passados como entrada. Estes comandos são importantes para garantir a integridade de evidências coletadas durante a investigação, bem como verificar a autenticidade dos arquivos armazenados em disco.

Ex: #md5sum /etc/passwdd8f6d74f3cf8f05792027673407b2160 /etc/passwd

Podemos utilizar estes comandos para monitorar a integridade dos arquivos do sistema, ou então para garantir a integridade de evidências coletadas durante a investigação.Este comando é importantíssimo para garantir a cadeia de custódia de evidências.



Software Básicofind: Procura no sistema de arquivos por arquivos que casem com os padrões especificados. Deve ser utilizado com cuidado, pois modifica as datas de acesso dos arquivos pesquisados.

Ex: # find /dev –not –type b –and –not –type c# find / -name “.[. ]*”# find / -perm +02000 –or –perm +04000

Procura por arquivos a partir de algumas restrições de busca. Pode encontrar arquivos suspeitos no diretório /dev, arquivos escondidos ou com caracteres estranhos no nome, ou arquivos com permissões específicas.Estes arquivos podem ser suspeitos, pois um arquivo com o bit setuid (stick bit) ligado pode indicar a presença de um root shell.



Software Básiconetstat: Com este comando pode-se descobrir rapidamente a existência de portas de rede abertas na máquina, ou as conexões atualmente estabelecidas. É possível também descobrir a existência de rotas estáticas inseridas manualmente.

Ex:# netstat –nap# netstat –nr

lsof: Importante ferramenta de coleta de evidências. Ela é utilizada para listar todos os arquivos abertos. Em um sistema operacional, qualquer recurso mantém um arquivo aberto. Conexões de rede, bibliotecas abertas, programas executando, tudo vai ser listado pelo lsof.Ex:# lsof –l

# lsof –i# lsof –l | grep LISTEN



Software Básicofile: Tenta identificar o tipo de um arquivo a partir de um banco de assinaturas de arquivos conhecidos.

Ex:# file /bin/cp/bin/cp: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), stripped

Algumas vezes é importante saber o tipo de um arquivo suspeito. No exemplo, o arquivo /bin/cp é um executável para Linux, que utiliza bibliotecas compartilhadas, e teve as informações de debug removidas.Estas informações são importantes para decidir o curso da investigação. As vezes, analisar um executável em um debugger pode nos dar mais informações sobre o invasor.


AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense

Software Básicodd: Este comando é utilizado para copiar dados binários. Estes dados podem ser arquivos ou mesmo dispositivos físicos. Ele é usado principalmente para realizar cópias binárias de disco.

Ex:# dd if=/dev/hda of=/data/hda.img# dd if=/dev/zero of=/dev/fd0

No primeiro exemplo será criada uma cópia fiel de um dispositivo de disco em um arquivo. Para todos os efeitos, o conteúdo do primeiro disco é igual ao do arquivo. Inclusive o hash MD5 dos dois deve permanecer igual.No segundo exemplo, utiliza-se o dispositivo virtual /dev/zero para sanitizar um disquete (pendrive, cartão, etc) antes de usá-lo para armazenar evidências. Isto é importante para garantir que as evidências não vão ser comprometidas com dados existentes previamente no disquete.



Software Básiconc: A função desta ferramenta é criar uma conexão de rede com outro computador, ou então criar um listener em uma determinada porta.Com esta ferramenta, o investigador poderá copiar arquivos e dados de um computador para outro.

Ex:# nc –l –p 9999 > /data/hda1.img.gz# dd if=/dev/hda1 | gzip -9 –c | nc –p 9999 <ip_da_estacao_forense>

O primeiro comando acima deve ser executado na estação forense. Ele cria um listener na porta 9999, e direciona tudo que for enviado a essa porta para o arquivo /data/hda1.img.gz.O segundo comando lê o conteúdo da partição /dev/hda1 da máquina comprometida, compacta com o comando gzip, e envia para a estação forense pela rede. Com isso, não é necessário gravar nada no disco da máquina comprometida, preservando evidências.



Software BásicoWireshark/Tshark: Estas duas ferramentas funcionam como monitores de rede. Elas servem para capturar todo o tráfego de rede que chega à interface monitorada. Normalmente o investigador vai utilizar estas ferramentas para monitorar a atividade de rede entrando e saindo da máquina comprometida, a partir da estação forense. Esta pode ser a primeira indicação de que a máquina está comprometida.

Ex:# tethereal –i eth0 –n –x host 192.168.0.1# tethereal –i eth0 –w /data/capture.log host 192.168.0.1 and port 22# tethereal –r /data/capture.log –n –x host 192.168.0.1 and dst net

172.68.0.0/24

O Tshark é uma ferramenta para ser utilizada em terminais de texto, enquanto o Wireshark tem uma interface gráfica.



Pacote de Ferramentas ForensePor quê utilizar um pacote de ferramentas forenses?●ferramentas que facilitem o trabalho de analisar e extrair evidências de imagens de disco;●permitam recuperar arquivos removidos;●que sejam flexíveis, permitindo a análise de sistemas de arquivos diferentes;●a quantidade de dados é muito grande, então ferramentas específicas tornam o trabalho mais fácil.



Pacote de Ferramentas Forense➔EnCase, para Windows.➔Existem dois pacotes importantes para Linux: The Coroner’s Toolkit, e The Sleuth Kit➔O Sleuth Kit foi criado com base no primeiro, e possui mais funcionalidades e flexibilidade.➔Outras ferramentas facilitam o trabalho do analista, tal como o Autopsy, uma interface web para os programas do Sleuth Kit.Apresentar vídeo.



Pacote de Ferramentas ForenseSleuth Kit – Algumas caracterísitcas:➔Maior flexibilidade das ferramentas;➔Trabalha com dispositivos de disco ou imagens binárias;➔Reconhece diversos sistemas de arquivos;➔Sem custo de utilização.



●Ferramentas do Nível de Sistema de Arquivos: Estas ferramentas processam dados gerais sobre o sistema de arquivos, tal como o layout de disco, estruturas de alocação e boot blocks.●Ferramentas do Nível de Nomes de Arquivos: Estas ferramentas processam estruturas de nomes de arquivos e de diretórios.●Ferramentas do Nível de Metadados: Estas ferramentas processam estruturas de metadados, que armazenam detalhes sobre os arquivos. Metadados são dados sobre dados. Eles armazenam informações sobre estruturas tais como entradas de diretórios na FAT, entradas MFT em sistemas NTFS, ou inodes em sistemas de arquivos UFS ou EXTFS. ●Ferramentas do Nível de Blocos de Dados: Estas ferramentas processam blocos de dados onde o conteúdo de um arquivo fica armazenado, como por exemplo clusters em um sistema FAT. ●Outras Ferramentas: Estas ferramentas têm funcionalidades diversas, mas são importantes durante a análise forense.



Ferramentas do Nível de Sistema de Arquivos• fsstat: Mostra detalhes e estatísticas do sistema de arquivos, tal como layout, tamanho e labels.

Ex: # fsstat -f linux-ext3 /dev/hda1

FILE SYSTEM INFORMATION--------------------------------------------File System Type: EXT2FSVolume Name: Last Mount: Mon Aug 16 08:09:27 2004Last Write: Mon Aug 16 08:09:27 2004Last Check: Mon Jun 2 10:17:54 2003Unmounted properlyLast mounted on: Operating System: LinuxDynamic StructureCompat Features: Journal, InCompat Features: Filetype, Recover, Read Only Compat Features: Sparse Super, Large File,



Ferramentas do Nível de Nomes de Arquivos• ffind: Procura por nomes de arquivos que apontem para uma dada estrutura de metadados. Ex: # ls -i /etc/passwd# ffind -f linux-ext3 /dev/hda1 <inode_passwd> • fls: Lista nomes de arquivos alocados ou apagados em um diretório.Ex: fls -a -d -r /dev/hda1fls -m / -f linux-ext3 -a -p -r /dev/hda1 > data/hda1.mac



Ferramentas do Nível de Metadados• istat: Mostra estatísticas e detalhes sobre um determinado inode.Ex: # istat -f linux-ext3 /dev/hda1 49784

• icat: Extrai uma unidade de dados de um disco, dado o endereço do metadado que aponta para este bloco. Permite extrair um arquivo a partir de um inode, sem precisar saber o nome do arquivo.Ex: # ls -i /etc/passwd130919 /etc/passwd# icat /dev/hda1 130919 > /tmp/file.dat# md5sum /etc/passwd /tmp/file.datd8f6d74f3cf8f05792027673407b2160 /etc/passwdd8f6d74f3cf8f05792027673407b2160 /tmp/file.dat



Ferramentas do Nível de Metadados• ifind: Procura a estrutura de metadados para o qual um determinado nome de arquivo aponta, ou a estrutura de metadados que aponta para um determinado bloco de dados.

Permite, em conjunto com o comando ffind, achar qual nome de arquivo aponta para um bloco de dados (por exemplo, o bloco de dados que contém um texto importante que se quer recuperar).

Ex: # grep –ab “hacked” /data/hda1.img# ifind -f linux-ext3 /data/hda1.img -d $((<byte_offset/block_size))# ffind -f linux-ext3 /data/hda1.img <inode_encontrado># icat -f linux-ext3 /data/hda1.img <inode_encontrado> > recuperado.dat



Ferramentas do Nível de Metadados• ils: Lista as estruturas de metadados e seus conteúdos em um formato fácil de se tratar. O ils faz com inodes o mesmo que o fls fez com nomes de arquivos.

Ex: # ils –r –f linux-ext3 /dev/hda1 > /data/hda1.ils# ils -m -f linux-ext3 -e /data/hda1.img > /data/hda1.mac



Ferramentas do Nível de Blocos de Dados• dstat: Mostra estatísticas e detalhes sobre um bloco de dados.Ex: dstat -f linux-ext3 /dev/hda3 185594 • dcat: Extrai um bloco de dados de um disco. Utiliza-se esta ferramenta quando não for possível identificar a qual arquivo ou inode pertence um determinado bloco. Permite recuperar dados parciais de arquivos.Ex: dcat -f linux-ext3 /dev/hda3 185594 • dls: Lista detalhes sobre unidades de dados, e pode extrair dados desalocados de um file system. Os dados desalocados contêm o espaço livre em disco e os arquivos removidos.Ex: dls -e -f linux-ext3 /dev/hda1 10000-20000 > /data/freespace.dlsdls -e -f linux-ext3 /dev/hda3 > /data/hda1.dls



Ferramentas do Nível de Blocos de Dados• dcalc: Calcula se dados em uma imagem de dados desalocados (extraido com o dls) existem na imagem original, ou vice-versa.

Este comando é usado para encontrar na imagem original onde está um bloco de dados encontrado na imagem de dados desalocados.

Ex: # grep -ab “hacked” /data/hda1.dls# dcalc -u $((<offset_dls>/<block_size>)) -f linux-ext3 /data/hda1.img



Outras Ferramentas• mmls: Mostra informações sobre o layout do disco, incluindo espaços não alocados. A saída identifica o tipo das partições e seus tamanhos, que torna fácil para usar o comando dd para extrair partições. A saída é ordenada pelo setor inicial, o que torna fácil encontrar espaços no layout.Ex: # mmls -t dos hda1.img • hfind: Para um dado arquivo suspeito, procura em bancos de dados de hash criptográficos conhecidos pela existência do arquivo, para verificar sua autenticidade. Diversos bancos de dados podem ser usados como fonte:Ex: # hfind -i md5sum /data/bindir.md5# hfind /data/bindir.md5 a26e20a9f183277af1551b8a429ae212



Outras Ferramentas• mactime: Pega a saída dos comandos ils ou fls e cria um timeline, ou linha de eventos, da atividade de arquivos no disco. O timeline é a principal ferramenta para remontar os passos de uma invasão.Ex: mactime –b /data/hda1.fls –p /etc/passwd –z GMT-3

• sorter: Analisa e ordena os arquivos em uma imagem de disco baseado em um banco de dados de assinaturas de arquivos. Serve para identificar rapidamente se existem em disco arquivos de um determinado tipo. Ex: sorter –f linux-ext3 –d /data/store_dir /dev/hda1


NOÇÕES DE AUDITORIA E ANÁLISE FORENSECD de Ferramentas

• Durante uma investigação, é importante que o investigador tenha em mãos todas as ferramentas necessárias para o seu trabalho.• Deve-se criar um CD com ferramentas úteis ao trabalho do investigador.• A primeira coisa que deve existir em um CD de ferramentas forenses é um interpretador de comandos confiável.• Compilar estaticamente todas as ferramentas do CD, para evitar ser comprometido por binários ou bibliotecas suspeitas.


NOÇÕES DE AUDITORIA E ANÁLISE FORENSECD de Ferramentas

• Além de um interpretador de comandos, o CD deve conter as seguintes ferramentas:– Todas as ferramentas básicas vistas anteriormente.– Todas as ferramentas do pacote forense escolhido.– Ferramentas básicas do sistema: ls, cp, mv, rm, chroot, cat, less, more, chmod, chown, chgrp, date, df, du, cut, sort, strip, tail, head, ln, arp, echo, env, hostname, id, ifconfig, pwd, touch, uniq, uptime, wc, who.– Ferramentas de manipulação de objetos e compilação: cc, ld, nm, ldd, addr2line, ar, as, gprof, objcopy, objdump, ranlib.


NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAnálise

Analisar imagem de teste

1 – Determinar as efidências;2 – Determinar a linha de tempo das operações;

Documents

Curso Seg Da Informacao V3