UNIVERSIDADE TUIUTI DO PARAN Luiz Carlos Roth

TESTE DE INVASO COM USO DE SOFTWARE LIVRE E FERRAMENTAS OPEN SOURCE EM REDES CORPORATIVAS

CURITIBA

2011

Luiz Carlos Roth

TESTE DE INVASO COM USO DE SOFTWARE LIVRE E FERRAMENTAS OPEN SOURCE EM REDES CORPORATIVAS

Monografia apresentada ao Curso de Especializao em Redes de Computadores, da Universidade Tuiuti do Paran, como requisito parcial para obteno do grau de Especialista.

Orientador: Prof. Msc. Roberto Neia Amaral

CURITIBA

2011

Luiz Carlos Roth

TESTE DE INVASO COM USO DE SOFTWARE LIVRE E FERRAMENTAS OPEN SOURCE EM REDES CORPORATIVAS

Esta monografia foi julgada e aprovada para a obteno do grau de Especialista em Redes de Computadores no Programa de Ps Graduao da

Universidade Tuiuti do Paran.

Curitiba, 17 de Novembro de 2011.

Orientador: Prof. Msc. Roberto Neia Amaral

Coordenador: Prof. Msc. Roberto Neia Amaral

AGRADECIMENTOS

Agradeo a Deus, que me deu vida e inteligncia, e que me d fora para continuar a caminhada em busca dos meus objetivos. Aos Professores pela dedicao no ensino, que sem suas importantes lies e ajudas no teria sido concretizado. Aos meus pais, que me ensinaram a no temer desafios e a superar os obstculos com humildade.

minha noiva pelo incentivo e apoio durante a realizao do trabalho.

Aos amigos da rea de Tecnologia, pelas sugestes dadas para a realizao da pesquisa.

E aos demais, que de alguma forma contriburam na elaborao desta monografia.

RESUMO

A presente pesquisa apresenta os principais meios de se invadir redes corporativas, utilizando de ferramentas de cdigo aberto. Busca tambm mostrar aos administradores de rede as tcnicas e ferramental que podem ser usados por atacantes ao invadir redes e sistemas. Alm de apresentar as ferramentas os conceitos utilizados tambm so explorados, possibilitando ao leitor um melhor entendimento para correto uso e aplicao de um conjunto de ferramentas. Com essa avaliao proposta na pesquisa, pode o administrador de rede focar nos potenciais problemas e brechas existentes no ambiente digital, direcionando os recursos e investimentos para correo de vulnerabilidades antes de serem exploradas.

Palavras chaves: Teste de invaso, correo de vulnerabilidades, redes corporativas.

ABSTRACT

This paper presents the main ways to break into corporate networks using open source tools. It also seeks to show network administrators the tools and techniques that can be used by attackers to break into networks and systems. In addition to presenting the concepts used tools are also explored, allowing the reader a better understanding for the correct use and application of a set of tools. With this proposed evaluation research, the network administrator can focus on potential problems and gaps in the digital environment, directing resources and investments to correct vulnerabilities before they are exploited.

Keywords: Penetration testing, vulnerability remediation, corporate networks.

LISTA DE FIGURAS

FIGURA 1 VARREDURA TCP Connect() ....................................................................... 25 FIGURA 2 VARREDURA TCP SYN (half-open) ............................................................ 26 FIGURA 3 VARREDURA TCP Null ............................................................................... 27 FIGURA 4 VARREDURA TCP FIN ................................................................................ 28 FIGURA 5 VARREDURA TCP Xmas ............................................................................. 29 FIGURA 6 VARREDURA TCP ACK .............................................................................. 31 FIGURA 7 VARREDURA DE JANELA TCP .................................................................. 32 FIGURA 8 VARREDURA TCP Maimon ......................................................................... 33 FIGURA 9 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 1 ............................... 35 FIGURA 10 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 2 ............................. 36 FIGURA 11 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 3 ............................. 37 FIGURA 12 VARREDURA FTP Bounce ......................................................................... 38 FIGURA 13 VARREDURA UDP ..................................................................................... 39 FIGURA 14 METASPLOIT FRAMEWORK: GUI .......................................................... 46 FIGURA 15 METASPLOIT FRAMEWORK: INTERFACE WEB ................................... 47 FIGURA 16 MANTENDO O ACESSO ............................................................................ 49

LISTA DE TABELAS

TABELA 1 COMANDOS PARA BUSCA DE HOSTS VIVOS ....................................... 22 TABELA 2 EXEMPLO USANDO A FERRAMENTA DNSSPOOF E ETTERCAP ........ 44 TABELA 3 SINTAXE EXPRESSES METASPLOIT FRAMEWORK .......................... 45

SUMRIO

1 INTRODUO ....................................................................................................... 9 2 SEGURANA EM REDES CORPORATIVAS .................................................... 11 2.1 PORQUE REALIZAR O TESTE DE INVASO.................................................. 12 2.2 DIFERENAS ENTRE UMA SIMULAO E UM ATAQUE REAL....................12 3 OBTENO DE INFORMAES ....................................................................... 13 3.1 ENGENHARIA SOCIAL..................................................................................... 13 3.2 TRASHING......................................................................................................... 14 3.3 WHOIS............................................................................................................... 15 3.4 DNS.................................................................................................................... 15 3.4.1 COLHENDO ENTRADAS DNS....................................................................... 16 3.5 GOOGLE HACKING.......................................................................................... 18 4 VARREDURAS .................................................................................................... 20 4.1 WARDRIVING................................................................................................... 21 4.2 MAPEAMENTO DE REDES.............................................................................. 21 4.2.1 Busca por hosts vivos....................................................................................... 22 4.2.2 Deteco de Servios....................................................................................... 22 4.2.3 Deteco de Sistemas Operacionais............................................................... 23 4.2.4 Port Scan.......................................................................................................... 23 4.3 VUNERABILIDADES......................................................................................... 39 5 INVASO ............................................................................................................. 40 5.1 SNIFFING.......................................................................................................... 40 5.2 SEQUESTRO DE DNS..................................................................................... 41 5.3 ATAQUES A AQUIVOS HOSTS....................................................................... 43 5.4 SEQUESTRO DE DNS..................................................................................... 43 5.5 METASPLOIT FRAMEWORK........................................................................... 44 5.6 QUEBRA ONLINE DE SENHAS....................................................................... 47 6 MANTENDO O ACESSO .................................................................................... 49 7 CONCLUSO ...................................................................................................... 51 REFERNCIAS ......................................................................................................... 52 GLOSSRIO ............................................................................................................. 54

9

1 INTRODUO

Com a crescente utilizao e necessidade de Tecnologia da

Informao nas empresas, o nmero de dispositivos de Sistemas de

Informao tem crescido assim como seu uso tem se tornado maior. Sejam eles: Computadores, Notebooks, Netbooks, Tablets ou Smartphones. Com

todos esses dispositivos sendo utilizados conseqentemente existem vrios

meios de acesso a rede corporativa, atravs da rede local ou Internet, tendo o

departamentos de tecnologia da informao a funo de prover recursos e

mecanismos que facilitem o uso das informaes pelos usurios, que utilizam

de tecnologia nas suas operaes dirias, assim como contribuir para a

tomada de deciso de gestores que fazem uso da informao digital.

Para garantir que as informaes de empresas no sejam acessadas por pessoas indevidas, ou at mesmo comprometidas, criou-se um conceito

definido como Teste de Invaso, onde preferencialmente um Profissional

Snior da rea de redes, com grande conhecimento da rea utiliza de

tcnicas usadas por Hackers para simular e efetivar uma invaso na rede da

empresa, procurando identificar e documentar as brechas existentes na

empresa alvo para posterior correo.

Procurando desmistificar as metodologias utilizadas por atacantes e

algumas das principais ferramentas utilizadas, este trabalho apresenta a

metodologia utilizada para o ataque, em que um profissional assume a

funo de um hacker tentando acessar e comprometer os sistemas de uma

empresa. Vemos neste documento a Fase de Planejamento, obteno da

10

informao, mtodos de varreduras, ao de invaso e formas de manter o

acesso.

11

2 SEGURANA EM REDES CORPORATIVAS

H diversas formas de se tratar a segurana de uma rede, sistema ou

aplicao, e o teste de invaso apenas uma delas. Cada uma tem suas

caractersticas, vantagens e desvantagens, ento muito importante entender as

semelhanas e diferenas entre elas para saber se de fato o que a empresa

precisa realmente um Pen Test (simulao de um acesso sem autorizao, burlando servidores e mecanismos de defesa em uma rede) ou outro tipo de avaliao. Ao fazer um Pen Test feito uma simulao de um ataque real aos

alvos selecionados, de acordo com as caractersticas pr-determinadas com o

responsvel pela ao na empresa. importante reforar o quanto isso diferente, por exemplo, de uma simples avaliao de segurana, que identifica

pontos potencialmente vulnerveis sem testar de fato se aquilo representa um

risco real a empresa, bem como o impacto e risco associado quela

vulnerabilidade.

Algumas vezes difcil justiar o ROI (Return of Investimet) de um teste de invaso para os tomadores de deciso. preciso mostrar os custos resultantes de um ataque bem sucedido (ou mesmo, por exemplo, a falta de lucro que um site comercial fora do ar causa) e compar-lo ao custo de um teste de invaso, que pode indicar o quo protegida e infreaestrutura de TI est deste

risco (http://www.seginfo.com.br/auditoria-teste-de-invasaopentest-planejamento-preparacao-e-execucao/. Acesso em: 24 jul. 2011).

Cada vez mais, normas internacionais esto pedindo teste de invaso

peridicos procurando regulamentar corporaes que querem entrar em

conformidade com as mesmas.

12

2.1 PORQUE REALIZAR O TESTE DE INVASO

Muitas vezes existe um esforo grande dos administradores de rede para

tonar um sistema extremamente seguro de um lado e acaba sendo esquecido

um ou outro elemento. Para um atacante, no importa quanta segurana foi

colocada no componente X ou Y. Se h uma brecha em Z, por l que o sistema

ser invadido. De nada adianta, por exemplo, firewalls duplos, redundncia e

IDSs distribudos se o usurio usa a senha 1234. Embora parea srdico um

dos mtodos mais eficientes de se entrar em sistemas adivinhando a senha,

conforme ser visto ao longo desta pesquisa.

2.2 DIFERENAS ENTRE UMA SIMULAO E UM ATAQUE REAL

Embora parea haver semelhana entre um ataque real e uma

simulao, h uma srie de diferenas entre os dois tipos de ataques, dentre

elas: Metodologia utilizada com a rvore de ataques, documentao das aes

realizados com registros dos comandos realizados e telas. Existe tambm uma

preocupao com a empresa em no expor os dados sensveis encontrados

durante o ataque, bem como limitao de at onde o ataque pode ser avanar de

forma que no comprometa a integridade dos dados. Alm destes itens no teste

de invaso planejado deve existir uma documentao com autorizao para esta ao.

13

3 OBTENO DE INFORMAES

H muita informao que se pode obter de forma ativa ou passiva sobre

alvos potenciais, e fcil se perder em meio a uma enxurrada de dados no

necessariamente teis para o ataque, portanto para obteno de informaes foco

essencial.

3.1 ENGENHARIA SOCIAL

O modo mais simples de ser obter uma informao pedindo por ela,

podendo ser usado da tecnologia como Cavalos de Tria ou Phishing ou at mesmo

contato pessoal direto ou telefnico.

Ao modelo o ataque de engenharia social importante utilizar-se dos 7 tipos

de perssuao, conforme descrito no livro de MITINICK.

Conformidade: Mostrar a Vitima que todo mundo est fazendo o que foi

proposta a vitima a fazer.

Lgica: Apontar duas ou trs afirmativas verdadeiras e sugerir

(erroneamente) que o que est sendo requerido a vitima faa uma conseqncia natural dessas afirmativas;

Necessidade: O ser humano, salvo excees, gosta de ajudar o prximo. Faz as pessoas se sentirem bem com elas mesmas e isso pode ser explorado em

seu ataque.

Autoridade: No precisa (e normalmente no deve) ser agressiva, mas uma leve indicao informal de autoridade (um cargo ou ttulo na assinatura de um e-mail,

14

por exemplo) pode ajudar a ganhar a cooperao de pessoas interessados em aumentar sua rede de relacionamentos.

Reciprocidade: Sugerir que, se a pessoa fizer o que est sendo proposta

que ela faa, ser ajudada com o que quer ela queira ou precisa. Ou ao contrrio. Similaridade: Muitas pessoas tendem a responder positivamente ao se

identificarem com o interlocutor de forma consciente (experincias de vida) ou inconsciente (mimetismo discreto).

Informacional: s vezes o simples ato de estar integrado ao ambiente,

dominando terminologia e linguajar do local, citando coisas que uma pessoa com acesso legtimo informao saberia, o suficiente para ganhar a confiana do

alvo.

3.2 TRASHING

Para proteo de dados corporativos importante a adoo da cultura de

classificao da informao. Essa classificao faz com que, atravs de rtulos, os

colaboradores saibam exatamente como lidar com tais informaes. Os principais

controles utilizado so: Armazenamento, Compartilhamento e Descarte. Este ltimo

sumariamente negligenciado o que torna os ataques de trashing mais eficientes do

que se imagina. preciso ter cuidado com o descarte de dados estando eles impressos ou em mdias digitais, em funo do lixo corporativo expor muita

informao.

15

3.3 WHOIS

O Whois um protocolo utilizado para determinar o dono de um nome de

domnio, endereo, contato, servidores DNS ou rede IP. Os registros de Internet

Regionais (RIR) so regidos pelo ICANN e podem ser acessados para obter diversas informaes sobre um IP ou domnio. So Eles:

ARIN: whois.arin.net

RIPE NC: www.tipe.net/whois

APNIC: whois.apnic.net

LACNIC: whois.lacnic.net

AfriNIC: Whois.afrinic.net

O site DomainTools permite uma srie de buscas avanadas em domnios

de Whois, entre outras.

Embora o Whois fornea as informaes sobre derminado endereo deve-se

ter cuidado ao confiar nas informaes, pois h pouco controle das informaes

mantidas em suas bases. Alm disso, algumas empresas de servios Web fazem o

registro por seus Clientes de modo que, de modo que no possvel obter todas as

informaes que se gostaria.

3.4 DNS

Uma solicitao Whois dar, entre outras informaes importantes, o

endereo dos servidores DNS responsveis pelo domnio do alvo. Consultar tais

servidores uma boa estratgia para se obter ainda mais dados sobre a

infraestrutura a ser atacada. As principais entradas DNS so descritas abaixo.

16

Registros A: So usados para mapear hosts a endereos IPv4, enquanto

registros AAAA so IPv6;

CNAME: Mapeia o host a um nome cannico;

MX (Mail Exchange): Indica para quem trata e-mails enviados ao domnio. SOA: Vem de Start Of Authority e indica o servidor DNS que da informaes

autoritativas sobre o domnio.

NS: registros NS apontam para os servidores que tratam consultas DNS

para o domnio;

TXT: Entradas TXT so utilizadas para incluir qualquer texto (normalmente informacional) a um registro DNS;

HINFO descreve o tipo de computador e Sistema Operacional usado no host

em questo;

SRV: indica quais servios esto disponveis no host (normalmente utilizado para balanceamento de carga);

PRT: Associa um IP ao um nome de host ( o contrrio de uma entrada A ou AAAA);

3.4.1 COLHENDO ENTRADAS DNS

Uma das ferramentas para obter informaes de servidores DNS o DIG

(Domain Information Groper). O DIG uma ferramenta com a qual pode ser feita consultas sobre um

determinado servidor DNS de forma interativa ou modo 'batch'

(http://penta.ufrgs.br/uel/mksuguim/mksunk02.htm. Acesso em: 22 jul. 2011). A sua estrutura de sintaxe : $ dig @servidor_dns maquina (-x IP) tipo.

17

Para rastrear um caminho: $ dig +trace www.site.com.br

Transferir uma zona: $ dig @servidor_dns domnio axfr

Outras poderosas ferramentas para colher dados de servidores DNS so

nslookup e host. H tambm sempre a possibilidade de realizar consultar diretas em

sites web como o www.dnstools.com

As ferramentas dig, nslookup e host foram desenvolvidas pelo Internet

Software Consortium (www.isc.org) e fazem parte da sute que compe o servidor DNS BIND. O nslookup tambm possui verso nativa no sistema operacional

Windows. Abaixo apresentado a transferncia de Zona com NSLOOKUP.

C:\> nslookup

> server [servidor_DNS]

> set type=any

> ls d [dominio]

18

3.5 GOOGLE HACKING

Outra maneira de se obter informao sobre uma empresa atravs da

pgina de buscas do Google. Atravs deste em alguns casos possvel obter

identificao de servidores, servidores negligenciados, listagem de diretrio, senhas,

banco de dados, relatrios de segurana, informaes sensveis entre outras.

Padres de busca detalhados usados para retornar resultados no protegidos de

sites previamente indexados so conhecidos como Dorks. Usando-os

itenligentemente, pode se encontrar resultados que mostram questes relevantes de

segurana ou dados sensveis e confidenciais a respeito dos alvos.

Goolag Scanner (Windows) Http://goolag.org Para buscas no Google pode-se ser usados dos operadores abaixo:

Coringas;

Incluso / excluso (+ -) Asterisco (*) Sinnimo (~) Restries;

Site:

Filetype: (ou ext:) Link:

O Google exclui palavras comuns ou com apenas um caractere, e ignora

acentos. Deve-se usar o +PALAVRA (devendo ser colocado sempre um espao antes do sinal) para garantir que PALAVRA ser includa na busca. possvel tambm usar OR para escolher sites tenham uma ou outra palavra. No entanto, no

19

h como fazer o Google diferenciar maisculas at a data em que esta monografia

foi escrita.

Tirar uma pgina previamente indexada no ar nem sempre o suficiente par

esconder uma informao. O Google possui registro de verses antigas de sites

disponvel em cach que pode ser analisado.

Uma ferramenta muito interessante para levantamento de informaes o

MetaGoofil, que faz buscas automticas no Google a respeito de seu alvo e extraem

metadados de documentos acessveis como arquivos do Office e PDFs. Os

resultados podem incluir nomes de usurios, caminhos no sistema de arquivos e at

endereos MAC.

Existe um projeto, com nome de Hackers for Charity desenvolvido por Jhonny Long onde o mesmo demonstra uma srie de buscas no Google que implicam em

exposio de informao sensveis. Atravs de operadores do Google possvel

filtrar buscas de maneira a encontrar resultados bem especficos sobre determinados

tipo de informao que se deseja obter.

20

4 VARREDURAS

Aps ter sido feito o levantamento de informaes o profissional que

simular os ataques passa a etapa de varreduras, utilizando das tcnicas descritas a

seguir.

21

4.1 WARDRIVING

Ataques a rede sem fio visando quebrar a chave de criptografia baseiam-se em

vulnerabilidades e fraquezas nos mtodos de codificao dos protocolos. Para quebrar

chaves WEP utilizado um ataque a cifra RC4 (usada pelo WEP) que permite que a chave seja recuperada com 500.000 a 2.000.000 de pacotes de rede capturados. A sute Aircrack tornou possvel a recuperao da chave com apenas 40.000 pacotes

capturados com probabilidade de sucesso de 50%. Se o nmero de pacotes subir

apenas 60.000, a probabilidade sobe para 80%. Com 85.000 pacotes, chegamos a

impressionantes 95% de probabilidades de recuperao de chave Se o nmero de

pacotes parece grande, somente causa a impresso, no . Usando tcnicas ativas de

reinjeo, possvel capturar 40.000 pacotes em uma rede cm fluxo Wireless bom em menos de um minuto.

4.2 MAPEAMENTO DE REDES

Para invadir uma rede necessrio antes entender sua topologia, mapear os

dispositivos, redes internas, Gateways, DMZ entre outros.

22

4.2.1 Busca por hosts vivos

Varrer todas as portas de todos os IPs de uma rede alvo lento e muitas

vezes desnecessrio. Durante a busca por hosts vivos enviamos sondas solicitando

respostas que indiquem se um dado endereo IP est ativo (se est associado naquele momento a algum host ou dispositivo). Uma rede 10.0.0.0/8 possui 16 milhes de endereos possveis, ento antes de procurar pelas portas abertas em

cada um deles, importante saber se o endereo est de fato vivo.

TABELA 1 COMANDOS PARA BUSCA DE HOSTS VIVOS COMANDO

ICMP Echo TCP SYS Pin TCP ACK Ping UDP Ping ARP Ping

FONTE: O autor

4.2.2 Deteco de Servios

Uma forma simples, mas nem sempre vlida de se descobrir o tipo de servio

escutando por conexes em determinada porta a obteno do banner (Banner Grabbing). Para isso, basta se conectar ao alvo na porta em questo via telnet ou nc (netcat) e verificar se algo de interessante aparece. Ex.: $ cat /etc/services | grep PORTA

23

Ferramentas como o nmap possuem grandes bases de dados com tcnicas

para identificao de mais de 2000 servios automaticamente. Para mais detalhes

sobre as tcnicas usadas, funcionamento e personalizao da deteco de servios

e verses podem ser consultados nos links de referencia desta monografia.

4.2.3 Deteco de Sistemas Operacionais

Sistemas Operacionais normalmente ao detectados por caractersticas nicas

na implementao de suas pilhas TCP/IP, detectadas atravs de sondas especificas.

A base de dados no nmap, por exemplo, contm mais de 800 assinaturas de

sistemas operacionais e exibe os detalhes do mesmo caso encontre uma

equivalncia com o sistema sendo sondado. Mais informaes podem ser obtidas

nos documentos citados nas referencias desta monografia.

4.2.4 Port Scan

Existem diversos tipos de varredura, para faz-la uma ferramenta muito

utilizada o Nmap.

Abaixo exibido um exemplo de comando utilizando a porta 53, sendo esta

interessante para varrer sistemas atrs de Firewalls, visto que muitos

administradores de sistema acabam esquecendo ou ignorando o filtro de trfego

DNS.

# nmap sS sV f PN -0 v v g53 T1 172.16.1.254

24

Nesta varredura TCP SYN (Half-Open) enviando um pacote SYN, como se estivesse tentando abrir uma conexo TCP. Se o alvo retornar SYN|ACK, mas a porta como aberta e envia RST. Seno (alvo retornou RST), porta marcada como fechada.

Alternativas:

-sT: Utiliza chamado de sistema connect(). Fcil deteco -sP: Envia pedidos de ICMP echo (ping) para as portas. Varreduras sub-reptcias, conforme RFC 793:

-sF: Envia pacotes FIN simples, e espera RST de portas fechadas.

-sX: Mesma funcionalidade que sF, mas marca FIN, URG e PUSH (Xmass Tree).

-sN: Mesma funcionalidade que sX, mas no ativa nenhuma flag (Null Scan).

Quanto mais utilizado o parmetro V no nmap, mais informaes sero

exibidas.

25

Na figura 1 exibido a utilizao da Varredura TCP Connect ()

FIGURA 1 VARREDURA TCP Connect()

FONTE: O autor

Uma conexo TCP tradicional atravs da chamada de sistema (System Call) connect () tentar fazer o tree-way-handshake completo e estabelecer uma conexo real com o alvo. Caso seja bem sucedido, a porta est aberta. Se, pelo contrrio, o alvo devolver um pacote RST, a porta est fechada. Finalmente, caso no haja resposta, a porta est filtrada.

A varredura TCP SYN (ou half-open) uma das mais simples e populares por sua rapidez, eficincia e por no depender de particularidades de implementaes

de protocolo de determinados sistemas operacionais. A varredura ilustrada na

figura 2.

26

FIGURA 2 VARREDURA TCP SYN (half-open)

FONTE: O autor

Nesta varredura, enviamos um pacote com a flag SYN ativa, como se fosse

requerido abrir uma conexo TCP legtima. No entanto, logo aps a resposta ser

recebida, a comunico com o servidor interrompida e seguido para o prximo alvo

(IP ou Porta). Exatamente como no caso anterior, uma resposta positiva (SYN+ACK) do alvo indica que a porta est aberta; um RST sugere que esteja fechada e nenhuma resposta indica que a porta est filtrada.

Segundo a RFC 793, que especifica o protocolo TCP, pacotes que no

contenham as flags SYN, ACK ou RST ativadas, ao serem enviados para uma nova

porta aberta devero ser simplesmente descartados pelo alvo. Se a porta estiver

fechada, no entanto, deve retornar um pacote RST. Isso pode ser visualizado na

figura 3.

27

FIGURA 3 VARREDURA TCP Null

FONTE: O autor

A varredura Null tenta explorar essa caracterstica enviando pacotes sem

nenhuma flag ativada (da seu nome). importante notar que no possvel determinar com preciso se a porta est de fato aberta ou se foi filtrada por um

firewall.

Na varredura FIN tentado explorar a mesma particularidade da

especificao que a varredura NULL, s que ela envia pacotes apenas com a flag

FIN ativada, conforme ilustrado na figura 4.

28

FIGURA 4 VARREDURA TCP FIN

FONTE: O autor

Finalmente, a varredura Xmas (de Chistmas Tree) explora a mesma questo de suas irms NULL e FINN, s que ativas no pacote todas as flags disponveis para

a varredura (que no pode ativar as flags SYN, ACK ou RST), ou seja: FIN, PSH e URG, acendendo o pacote como uma rvore de natal (da seu nome). Essa varredura pode ser vista na figura 5.

29

FIGURA 5 VARREDURA TCP Xmas

FONTE: O autor

A principal vantagem desses trs ataques que eles so capazes de

contornar alguns firewalls no-statefull e roteadores com filtros de pacotes. Outra

vantagem est em serem um pouco mais sub-reptcios que uma varredura SYN

embora ainda possam ser detectados por um NIDS com relativa facilidade.

importante notar, no entanto, que alguns sistemas (notadamente Windows e muitos dispositivos CISCO, entre outros) no seguem o RFC corretamente e sempre devolvem pacotes RST nessas trs varreduras, independente da porta estar aberta

ou fechada.

Na figura 6 ilustrado varreduras ACK, que costumam ser utilizadas para

mapear regras de Firewall (Firewalking), determinado quais portas esto filtradas. Segundo o protocolo, pacotes ACK recebidos que no faam parte de uma conexo

pr estabelecida devem receber um pacote RST de volta, independente da porta

estar aberta ou fechada. Assim, se a sondagem no retornar nada, a porta est

30

filtrada. Mas se voc receber o RST de volta, o pacote provavelmente chegou a seu

destino com sucesso e a porta pode ser marcada como no filtrada. Mensagens de

erro recebidas via ICMP tambm costumam significar que a porta est filtrada.

31

FIGURA 6 VARREDURA TCP ACK

FONTE: O autor

Outra ferramenta conhecida para esse fim o Firewalk. Leance Spitzner

(projeto Honeynet) escreveu em 2000 um artigo a respeito de auditoria de firewall, em que descreve como possvel bloquear certos tipos de varreduras.

Existe tambm a varredura de Janela TCP, exatamente igual varredura

ACK, mas explora adicionalmente uma pequena particularidade na implementao

do protocolo feita por alguns sistemas, que colocam valores positivos no campo de

janela TCP (TCP Windows do pacote RST, retornando caso a porta esteja aberta e 0 (zero) caso a porta esteja fechada. Esta varredura ilustrada na figura 7.

32

FIGURA 7 VARREDURA DE JANELA TCP

FONTE: O autor

Infelizmente cada vez mais raro encontrar sistemas com essa caracterstica

na Internet, ento no se deve confiar cegamente nos resultados. Em sistemas no

vulnerveis os resultadas dessa varredura indicaro todas as portas como fechadas

(o que no necessariamente verdade), e nesses casos importante confirmar com outras varreduras, como a prpria ACK. s vezes, tambm, o resultado exatamente o contrrio, portanto se a varredura de Janela TCP acusar todas as

portas abertas exceto uma ou outra (como a 80 e a 443) marcada como fechada ou filtrada, o resultado por estar invertido.

A varredura TCP Maimon foi nomeado em homenagem a seu inventor, Uriel

Naimon, que descreveu a tcnica pela primeira vez na revista eletrnica Phrack

nmero 49 (1996). A varredura Maimon uma espcie de mistura entre a NUL, FIN, XMAS e a varredura ACK. Uriel descobriu que, embora o RFC indique que um

33

pacote RST deve ser sempre enviado para um ACK sem conexo pr estabelecida,

alguns sistema simplesmente descartam o pacote ACK com a flag FIN ativa

(FIN/ACK) quando a porta est aberta. Assim, se o sistema for vulnervel a esse ataque, no receber resposta indica porta aberta ou filtrada, e receber RST indica

que a porta est fechada. Essa varredura ilustrada na figura 8.

FIGURA 8 VARREDURA TCP Maimon

FONTE: O autor

O Idlescan foi demonstrado pela primeira vez por Antirez criador do hping, e

uma varredura completamente sub-reptcia j que nenhum pacote enviando ao algo vindo do endereo real do atacante. Em vez disso, usamos algumas

caractersticas do protocolo TCP (j vistas anteriormente) para fazer com que uma mquina qualquer na Internet faa a varredura por ns. Para que o Idlescan funcione

necessrio que essa mquina tenha duas caractersticas importantes: Esteja

34

ociosa, sem receber pacotes de rede que no os seus durante o tempo da varredura

e possua valor previsvel no campo ID dos pacotes retornados.

O comando acima do hping3 permite a rpida identificao de mquinas

suscetveis na Internet. Esse tipo de varredura ilustrado na figura 9.

35

FIGURA 9 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 1

FONTE: O autor

Para fazer o ataque, precisa ser enviado pacotes SYN/ ACK para o zumbi, o

que trar de volta pacotes RST com um valor de ID incremental. Em paralelo, feito

o alvo real achar (por IP Spoofing) que recebeu um pedido da abertura de conexo desta maquina zumbi. Se a porta estiver aberta, o alvo retornar um SYN/ ACK para

o zumbi, que por sua vez enviar um RST ao alvo. Ao fazer isso, no entanto, ele

tambm incrementar seu campo ID e na varredura em paralelo ao zumbi ser visto

o campo ID retornado logo aps o fato, sendo +2 e no +1, indicando que o zumbi

precisou responder outra mquina (alvo) e que, conseqentemente, a porta est aberta. A ilustrao dessa varredura pode ser vista na figura 10.

36

FIGURA 10 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 2

FONTE: O autor

Se, por outro lado, a porta estiver fechada, ao ser feito o alvo achar que

recebeu um pedido de SYN do zumbi, ele retornar um RST ao mesmo. Pela

especificao do protocolo, pacotes RST recebidos sem conexo relacionada devem

ser simplesmente descartados, no havendo portanto, resposta do zumbi ao alvo.

Conseqentemente na varredura paralela a mquina zumbi no ser

apresentando o pico anterior (+2), permanecendo na constate incremental do campo ID e indicando, portanto, que a porta do alvo est fechada.

37

FIGURA 11 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 3

FONTE: O autor

possvel tambm fazer varreduras utilizando o protocolo FTP.especificado na RFC 959, este protocolo possui uma caracterstica muito interessante que

permite que um usurio conectado a determinado servidor FTP possa enviar

arquivos no a si prprio, mas a outros servidores. Isso permite a varredura passiva

de portas, j que se pode usar o servidor FTP para enviar um arquivo qualquer para o alvo em uma porta qualquer e observar a mensagem de erro, que indicar se a

porta est aberta ou fechada.

Embora muito servidores de FTP tenham simplesmente abandonado o

suporte a essa caracterstica do protocolo devido aos diversos problemas de

segurana relacionados, ainda possvel encontrar sistemas vulnerveis.

Esta varredura particularmente interessante para contornar regras de

firewall quando a rede do alvo possui um servidor FTP vulnervel.

38

FIGURA 12 VARREDURA FTP Bounce

FONTE: O autor

Tambm possvel fazer varreduras UDP, enviando pacotes UDP vazios

para o alvo. Caso o sistema retorne mensagem ICMP port unreachable, a porta

est filtrada. Se, no entanto, no houver resposta em tempo hbil, a porta est

aberta ou filtrada. H uma srie de limitaes em varreduras UDP relacionadas

retransmisso de pacotes ou limites na quantidade de mensagens ICMP port

unreachable a serem enviadas.

As portas UDP mais interessantes para esse tipo de ao so: 53 DNS, 67

e 68 DHCP, 69 TPFP, 88 Kerberos, 111 sunrpc, 123 NTP, 137, 138 e 139

Netbios, 161 e 162 SNMP e 445 Microsoft CIFS.

39

FIGURA 13 VARREDURA UDP

FONTE: O autor

Para varreduras UDP e auditoria de sistemas VOIP baseados em SIP

possvel usar ferramentas como a Sute Sipvicious, que permite o mapeamento de

portas utilizadas para esse fim.

4.3 VUNERABILIDADES

Aps executar as varreduras e ter feio o levantamento da infraestrutura da

empresa deve ser avanando para o passo de identificar vulnerabilidades,

procurando o atacante por servios vulnerveis e senhas padres.

As vulnerabilidades encontradas devem ser enumeradas para posterior

ataque na fase de invaso.

40

5 INVASO

Aps ter sido feito o levantamento de informaes e varreduras o atacante

passar a etapa de invaso, utilizando das tcnicas descritas a seguir.

5.1 SNIFFING

Para realizar a invaso o atacante pode sniffar o trfego da rede fazendo um

Port mirroring do Switch ou usando de Arp spoofing. Nesta fase a ferramenta ideal para

captura o TCPDump, sendo feito posteriormente a anlise dos dados nas ferramentas

Wireshark que permite remontar sesses, estrutur-las em rvore e permite a criao

de filtros. Esta ltima ferramenta um excelente e robusto snifffer grfico, altamente

personalizvel. No entanto, por ser uma ferramenta pesada e complexa, tambm no

est imune a vulnerabilidades. De fato, alguns exploits contra o Wireshark j foram lanados no passado, e por isso costuma ser recomendado que o trfego seja monitorado pelo TcpDump.

Outro Sniffer muito poderoso o Ettercap, e h outros voltados

especificamente para o roubo de senhas que trafegam em texto puro pela rede, como o

dniff da sute dniff. O dniff captura automaticamente senha via FTP, Telnet, SMTP, Http,

POP, IMAP, SNMP, LDAP, RIP, OSPF, PPTP, NFS, X11, CVS, IRC, AIM, SMB, entre

outros.

Ainda na sute Dsniff, existe o Filesnarf, capaz de capturar arquivos inteiros

trafegando via NFS.

41

5.2 SEQUESTRO DE DNS

Os ataques de seqestro de DNS podem ser divididos em trs modalidades:

Ataques a servidores DNS, ataques a roteadores e ataques a hosts. Ambos possuem

suas caractersticas como a falsificao de sites, ataques de negao de servio e

ataques Man in the midle. Ambos os ataques sero descritos nos tpicos a seguir.

42

4.3 ATAQUES A SERVIDORES DNS

Servidores dns usados internamente no devem responder a solicitaes de

fora da rede do cliente, ainda mais se estiverem configurados com nomes especficos

da rede interna. possvel segmentar completamente as respostas de acordo com a rede solicitante, mas muitos administradores ignoram a questo, deixando seus

servidores como open-resolvers.

O acaso com a configurao descrita acima pode causar em ataques como

DNS Cache Poisoning, em que o atacante adiciona informaes nas requisies para o

dns comprometido. Tambm existem casos em que feito o Reverse Domain Hijacking em que a prtica consiste em atacar registros DNS acusando seus donos de violar

marcas ou leis.

43

4.3 ATAQUES A ROTEADORES

Roteadores so essenciais para toda a rede, dos mais simples aos mais

robustos, e grande maioria pode ser configurada remotamente. Mesmo com toda a

importncia e poder associados, muitos roteadores rodam com firmware desatualizado

e vulnervel, ou mesmo com a senha padro. Conseguir acesso ao roteador da

empresa, mais do que possibilitar uma mudana de DNS, libera o atacante para

diversos ataques fulminantes a rede interna aos mais explcitos, como derrubar a rota

de sada da rede para a internet. Para se saber o que possvel fazer com o roteador

atacado deve-se consultar seu manual.

H ainda diversos ataques especficos a roteadores, no necessariamente

associados DNS. Entre eles: cge-13 (Cisco Global Exploiter).

5.3 ATAQUES A AQUIVOS HOSTS

O objetivo sobrepor as consultas a servidores DNS, dando um nome qualquer a um IP qualquer. Sempre que fazemos uma solicitao de um endereo de

rede, antes de perguntar ao servidor DNS qual o IP associado quele nome, o sistema

procura no arquivo de hosts local por uma equivalncia.

5.4 SEQUESTRO DE DNS

O seqestro de DNS um ataque que faz uma espcie de corrida contra o

servidor verdadeiro, onde se torce para a resposta maliciosa do atacante chegar antes

da resposta legtima. Esse mtodo traduz uma vulnerabilidade inerente do protocolo

44

DNS, sem correo evidente. O que se faz na indstria para mitigar o problema

adicionar dificuldade em criar respostas vlidas, usando valores aleatrios tanto para o

campo ID (de 16 bits, responsvel por identificar a transao solicitada) do header DNS quanto para a porta de origem da solicitao. Assim a menos que o administrador de

rede esteja monitorando ativamente as requisies alvo do atacante, fica difcil prever tais valores a fim de mandar respostas constantes ao alvo de envenenamento,

esperando que ele vena a corrida UDP.

Na tabela 2 mostrado exemplo usando a ferramenta dnsspoof e ettercap:

TABELA 2 EXEMPLO USANDO A FERRAMENTA DNSSPOOF E ETTERCAP EXEMPLOS

# echo 127.0.0.1 *.alvo.com.br > hosts.txt # dnsspoof i eth0 f hosts.txt # ettercap Tq M arp // // -P dns_spoof (arquivos /usr/share/ettercap/etter.dns)

FONTE: O autor

5.5 METASPLOIT FRAMEWORK

O Metasploit Framework uma plataforma para desenvolvimento de Exploits,

uma ferramenta flexvel e porttil de se usar e extremamente poderosa.

Sua utilizao pode ser feita atravs de Console, GUI ou Web. Para o console

na tabela 3 est exemplo da sintaxe das expresses.

45

TABELA 3 SINTAXE EXPRESSES METASPLOIT FRAMEWORK EXPRESSES

msf> search TIPO EXPRESSAO msf> info MODULO msf> use MODULO msf exploit ()> show options RHOST, RPORT, LHOST, LPORT, TARGET, ... msf exploit ()> set VAR VALOR msf exploit ()> exploit

FONTE: O autor

Na figura 14 exibido a interface GUI do Metasploit.

46

FIGURA 14 METASPLOIT FRAMEWORK: GUI

FONTE: O autor

Tambm na figura 15 podemos visualizar sua interface Web

47

FIGURA 15 METASPLOIT FRAMEWORK: INTERFACE WEB

FONTE: O autor

Os exploits devem ser sempre testados primeiramente em ambiente controlado

antes de expor os ativos da empresa ao mesmo.

5.6 QUEBRA ONLINE DE SENHAS

Atacantes sempre vo escolher o caminho mais fcil para uma invaso e

esse normalmente uma senha fraca ainda um dos principais problemas de

segurana de redes. Uma das ferramentas para fora bruta de senhas o THC-

Hydra, que realiza ataques de fora bruta em logins remotos e suporta telnet, FTP,

48

HTTP, HTTPS, smb, Ms-sql, Mysql, ssh, cvs, snmo, smtp, pop3, imap, vnc, ldap,

entre muitos outros. No THC-Hydra possvel inserir um dicionrio, ou seja, arquivo com palavras comuns que em muitos casos so utilizadas como senha. Por conta disso

como boa prtica para senha recomenda-se no usar nenhuma palavra existente.

Tambm possvel fazer um ataque de senha combinatria, em que ser feito a

combinao das senhas a serem testadas. Neste caso o ataque pode demorar muito e

at mesmo no poder ser concretizado, dependendo da complexidade da senha e

Tambm para a quebra online de senha pode se utilizar de varredura - sniffing

conforme discutido nos tpicos anteriores, em que possvel visualizar senhas em texto

puro trafegando pela internet ou rede.

Ataques Man In The Midle ou utilizando-se de engenharia social.

49

6 MANTENDO O ACESSO

Neste tpico veremos apenas um exemplo de como atacantes podem manter

o acesso aps uma infraestrutura invadida, na ilustrao demonstrado que um

atacante pode configurar o servidor para ficar ouvindo na porta 53 usando a ferramenta

Netcat, conhecido como um canivete suo das redes devido a sua grande flexibilidade.

Ela serve essencialmente para escrever e ler dados via TCP e UDP, e hoje praticamente toda distribuio Linux vem com ele atravs do protocolo UDP.

FIGURA 16 MANTENDO O ACESSO

FONTE: O autor

50

Aps configurado no servidor o atacante poder utilizar do servidor com o

acesso aberto, usando do Netcat em uma mquina cliente e acessando o servidor na

porta definida, neste caso a 53.

51

7 CONCLUSO

Com esta pesquisa pode-se perceber que existem diversos recursos

explorados em invases a redes corporativas. Alguns deles so itens que muitas das

vezes so negligenciados por administradores de redes e usurios corporativos:

Softwares desatualizados e senhas fracas respectivamente.

Alm de todo o cuidado e recomendaes de boas prticas para a

configurao do ambiente, administradores de rede devem utilizar de programas de

gerenciamento de Patchs de atualizaes, com execuo automtica de rotinas

peridicas para verificar e aplicar as devidas atualizaes em computadores e

servidores da empresa, para evitar ataques explorando de vulnerabilidades nos

softwares. A fim de conter a fragilidade de senhas nas redes, os administradores

tambm devem implementar polticas de configurao mnima de senha, forando os

usurios a adotarem senhas mais complexas. No entanto essa poltica deve vir

acompanhada de uma conscientizao interna dos colaboradores, para que essas

senhas no sejam anotadas e mais tarde vista por atacantes ou obtidas atravs do trashing.

Com essa pesquisa administradores de rede puderam ter uma noo

especfica dos meios que atacantes utilizam para acesso a redes corporativas, podendo

utilizar este estudo como documento auxiliar ao tomar orientaes de como melhor

proteger-se, a fim de manterem sua rede corporativa com possibilidades de invaso

externas reduzidas.

Ainda, como trabalho futuro recomenda-se um estudo sobre ferramentas

comerciais para testes de invaso, que esta pesquisa no contemplou.

52

REFERNCIAS

CASTRO, Carla Rodrigues Arajo de. Crimes de informtica e seus aspectos processuais. Rio de Janeiro: Lumen Juris, 2003.

GONALVES, J.C. O Gerenciamento da informao e sua segurana contra ataques de vrus de computador. 2002.Trabalho de Tese de Mestrado.Universidade de Taubat UNITAU.

JAKOBSSON, Markus e RAMZAN, Zulfikar , Crimeware: Understanding New Attacks and Defenses, Califrnia: Symantec Press, 2008.

JARGAS, Aurlio Marinho. Shell Script Profissional. So Paulo: Novatec, 2008. KUROSE, James F. Ross, Keith W; Redes de Computadores e a Internet. 1 edio. So Paulo: Campus, 2003.

LYON, Gordon Fyodor Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning. Estados Unidos: Nmap Project, 2009.

MANDIA, Kevin e PROSISE, Chris e PEPE, Matt. Incident Response & Computer Forensics, Estados Unidos: McGraw-Hill/Osborne, 2003.

MITNICK, Kevin. A Arte de Enganar, So Paulo:Pearson Makron, 2003.

MORAES, F. A; CIRONE.C.A Redes de Computadores, da Ethernet Internet. So Paulo: rica, 2003.

PERLMAN, Radia e SPECINER, Mike Network Security: Private Communication in a Public World 2. Edio, Califrnia: Prentice Hall, 2002.

RUFINO, Nelson M. de Oliveira.Segurana de Redes sem Fio. 2. Edio.So Paulo. Novatec, 2005.

SOARES, Luiz Fernando Gomes. Redes de Computadores - das LANS, MANS e WANS s redes ATM. 2. Edio. Rio de Janeiro: Campus, 1995.

STALLINGS, William. Criptografia e segurana de redes: Princpios e prticas, 2.edio, So Paulo: Prentice Hall, 2008.

STALLINGS, William. Network Security Essentials: Applications and Standards. 4. Edio, Estados Unidos: Prentice Hall, 2010.

TANENBAUM, A. Operating Systems Design and Implemetation, 2.Edio, Estados Unidos: Prentice-Hall, 1999.

53

WILSON, Marcia J. Demonstrating ROI for Penetration Testing (Part One). Symantec Connect. Disponvel em . Acesso em: 09 de Julho de 2011.

ZWICKY, E.; COOPER, S.; CHAPMAN, D.B. Building Internet Firewalls. Estados Unidos: O Reilly, 2000.

54

GLOSSRIO

Backdoor: Mtodo oculto para contornar contrles de segurana e obter acesso a um

sistema ou recurso.

Botnet: Coleo de computadores comprometidos (zumbis) rodando programas maliciosos instalados normalemnte via worms e controlados remotamente.

Cavalo de Tria: Programa que parece realizar algum tipo de funo desejvel, mas ocultamente realiza atividades maliciosas.

Criptografia: Condio/ Decodicao de informao, sejam senhas, arquivos, pacotes de rede, sistema de arquivos inteiros ou quaisquer dados. A criptografia

simtrica utiliza a mesma chave para decodicao e decoficao, enquanto

assimtrica (ou criptografia de chave pblica) utiliza pares de chaves, uma de conhecimento de todos para codificao e outra apenas para o dono (decoficao).

DMZ: Zona desmilitatizada, ou rede de permetro, a subrede fsica ou lgica que

contm e expe determinados servidoos para acesso a partir de redes no

confiveis, normalmente a Internet, de forma isolada da rede interna da organizao.

DoS/ DDoS/ DRDoS: Negao de Servios so ataques que visam tornar

determinado recurso indisponvel aos seus usurios legtimos.

55

Firewall: Dispositivo ou conjunto de dispositivos que controlam o trfego de dados entre diferentes domnios.

Hash: Resultado de um procedimento ou funo matemtica que traduz um dado

qualquer em um nmero relativamente pequeno de forma determinstica e uniforme,

entre outras propiedades.

IDS/ IPS: Sistemas de Deteco e Preveno de Intruses, so software ou

hardware que, atravs de sensores, detectam (e respondem, no caso de IPSs) tentativas no autorizadas de acessar, manipular ou desativar ativos de informao.

MiTM: Ataques man-in-the-middle so mtodos de escuta e manipulao de

informaes em que o atacante faz conexes independentes e simultneas entre as

partes legtimas, encaminhando mensagens de forma transparente.

Scanner: Ferramenta que varre rede ou sistema em busca de portas, servios e

sistemas ativos.

Sniffer: Programa ou dispositivo capaz de interceptar e registrar trfego passando

por uma rede ou parte dela.

Spoofing: Ataque em que pessoa ou programa consegue se fazer passar por outro,

ganhando vantagem de forma legtima.

56