Upload
internet
View
103
Download
1
Embed Size (px)
Citation preview
Tipos de AtaquesTipos de AtaquesLuiz Kacuta Luiz Kacuta
Luiz Romero Luiz Romero Viviane OliveiraViviane Oliveira
2
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Agenda
Motivação
Porque atacar?
Quem são os atacantes?
O que os ataques exploram?
Qual o impacto para a organização?
Tipos de Ataques:
• IP Spoofing
• Buffer overflow
• Seqüestro de Sessão
• Denial of Service
Intrusion Detection System
Plano de Trabalho
Objetivo
Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns.
3
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003;
80% das empresas admitiram ter sofrido perdas financeiras;
44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000;
perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000);
• pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque.
• somente 61% das empresas utilizam Intrusion Detection Systems.
Fonte: Computer Security Institute
Motivação
4
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Curisiodade
• Diversão
• Obtenção de ganhos financeiros
• Espionagem industrial
• Vingança (ex-funcionários, funcionários descontentes)
• Desafio
Porque atacar?
5
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Hackers
• Crackers
• White hat (hacker ético)
• Funcionários insatisfeitos
• Ex-funcionários, ex-prestadores de serviço
“Segurança é um problema social, não somente tecnológico”
Quem são os atacantes?
6
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Bugs no desenvolvimento
• Senhas fracas
• Mau uso de ferramentas/serviços legítimos
• Configuração inadequada de recursos
• IDS mau implementado
“Ferramentas existentes vão proteger somente contra os ataques conhecidos”
O que os ataques exploram?
7
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
• Vazamento de informações confidenciais
• Modificação indevida de dados
• Indisponibilidade de serviço
• Fraude, perdas financeiras
• Reputação prejudicada
• Perda de negócios, clientes e oportunidades
“Algumas perdas são irreversíveis”
Qual o impacto para a organização?
Tipos de AtaquesTipos de AtaquesIP SpoofingIP Spoofing
Buffer OverflowBuffer Overflow
Seqüestro de SessãoSeqüestro de Sessão
Denial of ServiceDenial of Service
9
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado.
A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote.
IP Spoofing - Definição
10
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IP Spoofing - Como é feito?
•Exemplo 01:
11
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IP Spoofing - Como é feito?
•Exemplo 02:
12
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
•Alteração básica de endereço nas configurações da rede
•Utilização do roteamento de origem
•Exploração da relação de confiança
IP Spoofing - Formas de exploração
13
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
•Limitar o acesso as configurações da máquina;
•Utilizar filtros ingress e egress;
•Desabilitar o roteamento de origem; e
•Não utilizar relação de confiança nos domínios Unix.
IP Spoofing - Medidas Preventivas e Corretivas
14
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Definição
O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita.
Condições de buffer overflow podem geralmente resultar:
- execução de códigos arbitrários nos sistemas;
- modificação de dados e/ou perda de informações;
- perda da controle do fluxo de execução do sistema.
15
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Como é feito?
Exemplificação:
Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer.
Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do
ataque.
Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02.
Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado.
16
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Medidas Preventivas e Corretivas
•Revisão nos códigos fonte;
•Aplicação de patches;
•Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO;
•Execução de sistemas com o menor privilégio;
•Utilização de IPS - Intrusion Prevention System.
17
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Buffer Overflow - Ataques Conhecidos
•Ping of Death;
•Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas);
18
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Seqüestro de Sessão - Definição
Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente.
Também classificado como um ataque “man in the middle”.
19
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Seqüestro de Sessão - Como é feito?
Atividades necessárias para seqüestro da conexão:
- Encontrar o alvo
- Encontrar uma sessão ativa
- Executar a predição da sequência que são trocadas entre as máquinas
- Tornar o computador offline
- Assumir a sessão
Tipos de seqüestro:
- Ativo
- Passivo
- Híbrido
20
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IP Spoofing x Seqüestro de Sessão
IP Spoofing Seqüestro de Sessão
21
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
•Utilização de criptografia
•Utilização de um protocolo seguro
•Limitar o número de conexões entrantes
•Minimizar acesso remoto
•Adotar autenticação forte (menos efetivo)
Seqüestro de Sessão - Medidas Preventivas e Corretivas
22
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida.
Denial of Service - Definição
23
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho:
- SYN Flooding
- Fragmentação IP
Denial of Service - Como é feito?
24
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Denial of Service - SYN flooding
Cliente Servidor
SYN seq = x
SYN seq = y; ACK x+1
ACK y+1
Explora o mecanismo de estabelecimento de conexão do TCP.
Ações preventivas:
- comparação das taxas de requisição e conexões em aberto
- monitorar número de seqüência (faixa específica)
- estabelecer time out da conexão
- aumentar a fila de conexões
25
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Denial of Service - Fragmentação IP
MTU: quantidade máxima de dados que podem passar em um pacote por meio físico.
Overflow da pilha TCP no momento do reagrupamento dos pacotes.
26
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Distributed Denial of Service - DDOS
Diversos hosts sendo atacados simultaneamente
Ataque de difícil contenção
27
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Design robusto e efetivo da rede
Limitar a largura de banda
Manter os sistemas atualizados
Executar a menor quantidade de serviços ativo
Permitir somente o tráfego necessário
•Bloquear o endereço IP
Denial of Service - Medidas Preventivas e Corretivas
Intrusion Detection Intrusion Detection SystemSystem - - IDSIDS
29
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
AgendaTrinômio da Segurança
IDS - Síndrome da “Bala de Prata”
Conceitos
Estratégias de Prevenção
IDS x IPS
Topologia de uma solução
Política para DOS - Denial of
Service
Eventos de Intrusão
Eventos Avaliados
Outros Ataques
Lógica de Funcionamento
Conclusão
Estratégias de Defesa
Objetivos
Descrever o funcionamento de IDS para os ataques descritos.
30
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Trinômio da Segurança
• Prevenção– Criptografia, – Firewall, – Vulnerabilidade
• Monitoração– IDS– Syslog Server
• Reação
31
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IDS - Síndrome da “Bala de Prata”
Intrusion Detection System A solução de todos os
problemas de segurança
32
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Conceitos
Problemas de Gerenciamento IDS:
• Altissima interação e constante monitoração.
• Complexidade a detecção,monitoramento e respostas a incidentes.
• Falso Positivos (avalanche de informações imprecisas)
• Integração com todo ambiente
33
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Problemas de Gerenciamento IDS:
Conceitos
34
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Estratégias de Prevenção
Melhores práticas para gerenciar o IDS
• Riscos, Ameaças e Vulnerabilidade;
• Politica de Segurança;
• Estratégia de Implementação do IDS;
• Auditória e Teste.
35
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
IDS x IPS
Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente
gerar uma ação.
36
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Topologia de uma solução
37
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Política para DOS - Denial of Service
38
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos de Intrusão
39
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos Avaliados
40
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Outros Ataques
41
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos Avaliados
42
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Eventos Avaliados
43
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Lógica de Funcionamento
44
Novembro/2003
Tip
os d
e Ataq
ues
Tip
os d
e Ataq
ues
Cada vez mais torna-se evidente que nem
tecnologia, nem políticas isoladas podem
realmente oferecer proteção para sua
organização…as organizações que querem
sobreviver necessitam desenvolver uma
abordagem abrangente em relação a segurança
da informação, a qual deve combinar pessoas,
tecnologia e processo.
Conclusão
Obrigado!Obrigado!Luiz Kacuta Luiz Kacuta
Luiz Romero Luiz Romero Viviane OliveiraViviane Oliveira