Tipos de AtaquesTipos de AtaquesLuiz Kacuta Luiz Kacuta

Luiz Romero Luiz Romero Viviane OliveiraViviane Oliveira

2

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Agenda

Motivação

Porque atacar?

Quem são os atacantes?

O que os ataques exploram?

Qual o impacto para a organização?

Tipos de Ataques:

• IP Spoofing

• Buffer overflow

• Seqüestro de Sessão

• Denial of Service

Intrusion Detection System

Plano de Trabalho

Objetivo

Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns.

3

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

• 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003;

80% das empresas admitiram ter sofrido perdas financeiras;

44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000;

perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000);

• pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque.

• somente 61% das empresas utilizam Intrusion Detection Systems.

Fonte: Computer Security Institute

Motivação

4

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

• Curisiodade

• Diversão

• Obtenção de ganhos financeiros

• Espionagem industrial

• Vingança (ex-funcionários, funcionários descontentes)

• Desafio

Porque atacar?

5

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

• Hackers

• Crackers

• White hat (hacker ético)

• Funcionários insatisfeitos

• Ex-funcionários, ex-prestadores de serviço

“Segurança é um problema social, não somente tecnológico”

Quem são os atacantes?

6

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

• Bugs no desenvolvimento

• Senhas fracas

• Mau uso de ferramentas/serviços legítimos

• Configuração inadequada de recursos

• IDS mau implementado

“Ferramentas existentes vão proteger somente contra os ataques conhecidos”

O que os ataques exploram?

7

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

• Vazamento de informações confidenciais

• Modificação indevida de dados

• Indisponibilidade de serviço

• Fraude, perdas financeiras

• Reputação prejudicada

• Perda de negócios, clientes e oportunidades

“Algumas perdas são irreversíveis”

Qual o impacto para a organização?

Tipos de AtaquesTipos de AtaquesIP SpoofingIP Spoofing

Buffer OverflowBuffer Overflow

Seqüestro de SessãoSeqüestro de Sessão

Denial of ServiceDenial of Service

9

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado.

A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote.

IP Spoofing - Definição

10

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

IP Spoofing - Como é feito?

•Exemplo 01:

11

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

IP Spoofing - Como é feito?

•Exemplo 02:

12

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

•Alteração básica de endereço nas configurações da rede

•Utilização do roteamento de origem

•Exploração da relação de confiança

IP Spoofing - Formas de exploração

13

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

•Limitar o acesso as configurações da máquina;

•Utilizar filtros ingress e egress;

•Desabilitar o roteamento de origem; e

•Não utilizar relação de confiança nos domínios Unix.

IP Spoofing - Medidas Preventivas e Corretivas

14

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Buffer Overflow - Definição

O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita.

Condições de buffer overflow podem geralmente resultar:

- execução de códigos arbitrários nos sistemas;

- modificação de dados e/ou perda de informações;

- perda da controle do fluxo de execução do sistema.

15

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Buffer Overflow - Como é feito?

Exemplificação:

Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer.

Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do

ataque.

Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02.

Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado.

16

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Buffer Overflow - Medidas Preventivas e Corretivas

•Revisão nos códigos fonte;

•Aplicação de patches;

•Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO;

•Execução de sistemas com o menor privilégio;

•Utilização de IPS - Intrusion Prevention System.

17

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Buffer Overflow - Ataques Conhecidos

•Ping of Death;

•Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas);

18

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Seqüestro de Sessão - Definição

Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente.

Também classificado como um ataque “man in the middle”.

19

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Seqüestro de Sessão - Como é feito?

Atividades necessárias para seqüestro da conexão:

- Encontrar o alvo

- Encontrar uma sessão ativa

- Executar a predição da sequência que são trocadas entre as máquinas

- Tornar o computador offline

- Assumir a sessão

Tipos de seqüestro:

- Ativo

- Passivo

- Híbrido

20

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

IP Spoofing x Seqüestro de Sessão

IP Spoofing Seqüestro de Sessão

21

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

•Utilização de criptografia

•Utilização de um protocolo seguro

•Limitar o número de conexões entrantes

•Minimizar acesso remoto

•Adotar autenticação forte (menos efetivo)

Seqüestro de Sessão - Medidas Preventivas e Corretivas

22

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida.

Denial of Service - Definição

23

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho:

- SYN Flooding

- Fragmentação IP

Denial of Service - Como é feito?

24

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Denial of Service - SYN flooding

Cliente Servidor

SYN seq = x

SYN seq = y; ACK x+1

ACK y+1

Explora o mecanismo de estabelecimento de conexão do TCP.

Ações preventivas:

- comparação das taxas de requisição e conexões em aberto

- monitorar número de seqüência (faixa específica)

- estabelecer time out da conexão

- aumentar a fila de conexões

25

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Denial of Service - Fragmentação IP

MTU: quantidade máxima de dados que podem passar em um pacote por meio físico.

Overflow da pilha TCP no momento do reagrupamento dos pacotes.

26

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Distributed Denial of Service - DDOS

Diversos hosts sendo atacados simultaneamente

Ataque de difícil contenção

27

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Design robusto e efetivo da rede

Limitar a largura de banda

Manter os sistemas atualizados

Executar a menor quantidade de serviços ativo

Permitir somente o tráfego necessário

•Bloquear o endereço IP

Denial of Service - Medidas Preventivas e Corretivas

Intrusion Detection Intrusion Detection SystemSystem - - IDSIDS

29

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

AgendaTrinômio da Segurança

IDS - Síndrome da “Bala de Prata”

Conceitos

Estratégias de Prevenção

IDS x IPS

Topologia de uma solução

Política para DOS - Denial of

Service

Eventos de Intrusão

Eventos Avaliados

Outros Ataques

Lógica de Funcionamento

Conclusão

Estratégias de Defesa

Objetivos

Descrever o funcionamento de IDS para os ataques descritos.

30

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Trinômio da Segurança

• Prevenção– Criptografia, – Firewall, – Vulnerabilidade

• Monitoração– IDS– Syslog Server

• Reação

31

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

IDS - Síndrome da “Bala de Prata”

Intrusion Detection System A solução de todos os

problemas de segurança

32

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Conceitos

Problemas de Gerenciamento IDS:

• Altissima interação e constante monitoração.

• Complexidade a detecção,monitoramento e respostas a incidentes.

• Falso Positivos (avalanche de informações imprecisas)

• Integração com todo ambiente

33

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Problemas de Gerenciamento IDS:

Conceitos

34

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Estratégias de Prevenção

Melhores práticas para gerenciar o IDS

• Riscos, Ameaças e Vulnerabilidade;

• Politica de Segurança;

• Estratégia de Implementação do IDS;

• Auditória e Teste.

35

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

IDS x IPS

Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente

gerar uma ação.

36

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Topologia de uma solução

37

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Política para DOS - Denial of Service

38

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Eventos de Intrusão

39

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Eventos Avaliados

40

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Outros Ataques

41

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Eventos Avaliados

42

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Eventos Avaliados

43

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Lógica de Funcionamento

44

Novembro/2003

Tip

os d

e Ataq

ues

Tip

os d

e Ataq

ues

Cada vez mais torna-se evidente que nem

tecnologia, nem políticas isoladas podem

realmente oferecer proteção para sua

organização…as organizações que querem

sobreviver necessitam desenvolver uma

abordagem abrangente em relação a segurança

da informação, a qual deve combinar pessoas,

tecnologia e processo.

Conclusão

Obrigado!Obrigado!Luiz Kacuta Luiz Kacuta

Luiz Romero Luiz Romero Viviane OliveiraViviane Oliveira