IFF [email protected] 2
ROTEIRO
1 - Introdução;2 - Segurança de redes e sistemas;3 - Segurança em redes sem fio;4 - Auditoria e análise forense.
IFF [email protected] 3
INTRODUÇÃO
CONTEÚDO PROGRAMÁTICO RESUMIDO
- Conceitos básicos da área de segurança;- O perfil dos invasores de sistemas;- Complexidade e conhecimento;- Estatística de incidentes de segurança;- Considerações;
IFF [email protected] 4
INTRODUÇÃOVídeo animado sobre a Internet
videos/cgi-navegar-g.wmv
CGI.br- Comitê Gestor da Internet no Brasil
IFF [email protected] 5
INTRODUÇÃO
Desde o surgimento da Internet, a busca por melhores estratégias de segurança tem aumentado consideravelmente, tendo em vista milhares de ataques à segurança da informação, causando perdas e pânico. Esses ataques têm causado prejuízos financeiros e de imagem para empresas, instituições e pessoas físicas. Políticas de acesso e uso, firewalls, sistemas de detecção de intrusos, projetos de rede, backups, entre outros; tem sido as “armas” defensivas nesta guerra da informação.
IFF [email protected] 6
INTRODUÇÃOConceito de segurança de computadores
Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.
A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários.
IFF [email protected] 7
INTRODUÇÃOConceito de incidente de segurança
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.
São exemplos de incidentes de segurança:
* tentativas de ganhar acesso não autorizado a sistemas ou dados;
* ataques de negação de serviço;
* uso ou acesso não autorizado a um sistema;
* modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
* desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.
IFF [email protected] 8
INTRODUÇÃOConceito de vulnerabilidade
Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.
Fonte de pesquisa - http://www.securityfocus.com/vulnerabilities
IFF [email protected] 9
INTRODUÇÃOEstimativas de 5 a 50 bugs/Kloc
Windows XP40.000
Celular (Smart)5.000
Linux1500
Win200035.000
Boing 7777.000
Ônibus espacial10.000
Estação espacial40.000
Netscape17.000
Solaris 7400
SistemaLinhas de código (Kloc)
IFF [email protected] 10
INTRODUÇÃOConceito de malware
Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso".
Alguns exemplos de malware são:
* vírus;
* worms e bots;
* backdoors;
* cavalos de tróia;
* keyloggers e outros programas spyware;
* rootkits.
IFF [email protected] 11
INTRODUÇÃOVídeo sobre malware
videos/cgi-invasores-g.wmv
CGI.br- Comitê Gestor da Internet no Brasil
IFF [email protected] 12
INTRODUÇÃOConceitos de segurança física e lógica
Lógica – Proteção dos dados utilizando: sistemas de software (IDS, NIDS, filtros/firewall, anti-malware, etc), senhas fortes, políticas de segurança, monitoração constante do tráfego de rede, atualização dos sistemas vulneráveis, controle de acesso lógico por permissões, etc;
Física – Arquitetura de rede segura, restrição do acesso físico, política e sistemas de backup, sistemas de condicionamento do ar para os servidores, sistema de fornecimento de energia elétrica initerrupta (geradores e no-breaks), etc.
IFF [email protected] 14
INTRODUÇÃOO perfil dos invasores de sistemas
•Script Kid - é o principiante que aprendeu a usar alguns programas prontos para descobrir senhas ou invadir sistemas (receitas de bolo), entrou num provedor de fundo de quintal e já acha que vai conseguir entrar nos computadores da Nasa. Também conhecido como Lammer;•Larva - este já está quase se tornando um hacker. Já consegue desenvolver suas próprias técnicas de como invadir sistemas;
IFF [email protected] 15
INTRODUÇÃOO perfil dos invasores de sistemas
•Lammer - indica uma pessoa que acredita que é um hacker (decifrador), demonstra grande arrogância, no entanto sabe pouco ou muito pouco e é geralmente malicioso. Utilizam ferramentas criadas por Crackers para demonstrar sua suposta capacidade ou poder, na intenção de competir por reputação, no entanto são extremamente inconvenientes para convívio social, mesmo com outros hackers. Algumas pessoas acreditam que essa é uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade.•
IFF [email protected] 16
INTRODUÇÃOO perfil dos invasores de sistemas
•Newbie, Noob ou a sigla NB - vem do inglês "novato". Indica uma pessoa aprendiz na área, ainda sem muita habilidade, porém possui uma sede de conhecimento notável. Pergunta muito, mas freqüentemente é ignorado ou ridicularizado por outros novatos que já saibam mais do que ele (ao contrario dos lammers que são ridicularizados por todos). Hackers experientes normalmente não ridicularizam os novatos, por respeito ao desejo de aprender - no entanto, podem ignorá-los por falta de tempo ou paciência.•
IFF [email protected] 17
INTRODUÇÃOO perfil dos invasores de sistemas
•Phreaker - corruptela do inglês "freak" que significa "maluco", essencialmente significa a mesma coisa que o original "hacker", no entanto é um decifrador aplicado à area de telefonia (móvel ou fixa). No uso atual, entende-se que um Hacker modifica computadores, e um Phreaker modifica telefones. Os Phreakers também se enquadram no conceito de White hat ou Black hat.•
IFF [email protected] 18
INTRODUÇÃOO perfil dos invasores de sistemas
•Hacker - tem conhecimentos reais de programação (geralmente C, C++ e Assemble) e de sistemas operacionais, principalmente o Unix, o mais usado nos servidores da Internet. Conhece as falhas de segurança dos sistemas e procura achar novas. Desenvolve suas próprias técnicas e desprezas as "receitas de bolo". Dificilmente divulga seus conhecimentos. Infelizmente este termo é utilizado de forma pejorativa, o verdadeiro Hacker conhece o sistema operacional e trabalha para resolver problemas e não criá-los;•
IFF [email protected] 19
INTRODUÇÃOO perfil dos invasores de sistemas
•White hat (hacker ético) – é o hacker interessado em segurança. Utiliza os seus conhecimentos na exploração e detecção de erros de concepção, dentro da lei. A atitude típica de um white hat assim que encontra falhas de segurança é a de entrar em contacto com os responsáveis pelo sistema e informar sobre o erro, para que medidas sejam tomadas. Hackers white hats ministram palestras (ou aulas em universidades) sobre segurança de sistemas, e até trabalhando dentro de empresas para garantir a segurança dos dados.•
IFF [email protected] 20
INTRODUÇÃOO perfil dos invasores de sistemas
•Gray hat - Tem as habilidades e intenções de um hacker de chapéu branco na maioria dos casos, mas por vezes utiliza seu conhecimento para propósitos menos nobres. Um hacker de chapéu cinza pode ser descrito como um hacker de chapéu branco que às vezes veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a confidencialidade.•
IFF [email protected] 21
INTRODUÇÃOO perfil dos invasores de sistemas
•Black hat - (cracker ou dark-side hacker), indica um hacker criminoso ou malicioso, comparável a um terrorista. Em geral são de perfil abusivo ou rebelde, muito bem descritos pelo termo "hacker do lado negro" (uma analogia à série de filmes Star Wars). Geralmente especializado em invasões maliciosas e silenciosas, são os hackers que não possuem ética. Invade sistemas afim de dar problemas à algo ou à alguém.•
IFF [email protected] 22
INTRODUÇÃOO perfil dos invasores de sistemas
•Cracker - do inglês "quebrador", originalmente significa alguém que "quebra" sistemas. Hoje em dia, pode tanto significar alguém que quebra sistemas de segurança na intenção de obter proveito pessoal (como por exemplo modificar um programa para que ele não precise mais ser pago), como também pode ser um termo genérico para um Black Hat.•
IFF [email protected] 23
INTRODUÇÃOO perfil dos invasores de sistemas
•Warez - Primariamente se refere ao comércio ilegal (pirataria) de produtos com direitos autorais. Este termo geralmente se refere a disponibilização por meio de grupos organizados, fazendo o uso das redes peer-to-peer, do compartilhamento de arquivos (ficheiros) entre amigos ou entre grandes grupos de pessoas com interesses similares.•
IFF [email protected] 24
INTRODUÇÃOO perfil dos invasores de sistemas
•Virii – É o especialista em desenvolver vírus para computador.•Guru ou Coder - o supra-sumo dos hackers, usa seus conhecimentos para o bem. Não persegue, pelo contrário, sofre a perseguição.
IFF [email protected] 25
INTRODUÇÃOO perfil dos invasores de sistemas
•Phishing - Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sensíveis, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. O termo Phishing surge cada vez mais sofisticadas artimanhas para "pescar" (do inglês fish) as informações sensíveis dos usuários. Tipos de mensagens eletrônicas utilizadas: roubo de identidade, roubo de informações bancárias e recados no Orkut ("scraps").
IFF [email protected] 26
INTRODUÇÃOO perfil dos invasores de sistemas;
•Spammer - autor do envio em massa de mensagens não-solicitadas. Geralmente maliciosas. Os tipos mais comuns são:- Propagandas (spam);- Boatos (hoaxes);- Correntes (chain letters);- Golpes (scam);- Estelionato (phishing);- Programas maliciosos (Vírus, Worms, Cavalos de Tróia, keylogger, screenlogger);- Ofensivos.•
IFF [email protected] 27
INTRODUÇÃOVídeo sobre spam
videos/cgi-spam-g.wmv
CGI.br- Comitê Gestor da Internet no Brasil
IFF [email protected] 30
INTRODUÇÃOProxy aberto - CERT.br
1 Telemar Norte Leste2 Telesp3 Brasil Telecom4 Global Village Telecom5 NET Servicos de Comunicacao6 Vivax7 Claro8 Vivo9 CTBC Telecom10 Embratel11 Tim Celular12 Way TV Belo Horizonte13 Telefonica Data14 LocaWeb15 Acom Comunicacoes
Agosto 2009
IFF [email protected] 33
INTRODUÇÃOConsiderações
● Segurança da informação tem que ser consideração permanente de qualquer projeto de TI;
● Não existe segurança absoluta;● A segurança é sempre uma questão de economia;● A segurança é antagônico ao desempenho;● O atacante não passa pela segurança, mas em torno dela;● Organize suas defesas em camadas;● É uma má idéia contar com a segurança por meio da obscuridade;● Mantenha a coisa simples;● Se não é usado um programa ou protocolo, não importa se eles têm
vulnerabilidades;● Informações sobre (in)segurança são abundantes;● A situação tende a ficar cada vez pior !
IFF [email protected] 34
INTRODUÇÃOVídeo sobre defesa para clientes da Internet
videos/cgi-defesa-g.wmv
CGI.br- Comitê Gestor da Internet no Brasil
IFF [email protected] 35
SEGURANÇA DE REDES E SISTEMAS
CONTEÚDO PROGRAMÁTICO RESUMDO
- Etapas de um ataque;- Tipos de ataque;- Riscos, ameaças e vulnerabilidades;- Fontes de (in)segurança;- Medidas de segurança.
IFF [email protected] 36
PRÉ-REQUISITOS BÁSICOS DESEJÁVEIS
1 - Sistemas operacionais- Comandos básicos GNU/Linux;- Gerenciamento de processos;- Estrutura de diretórios;2 – Protocolos- Endereçamento IPv4;- Roteamento IPv4;- Noções de TCP e UDP (diferenças, portas, flags);- Noções de ICMP;3 – Equipamentos de rede- Funcionamento básico do Switch, HUB, roteador, AP.
IFF [email protected] 37
SEGURANÇA DE REDES E SISTEMASEtapas de um ataque
– As técnicas utilizadas para se planejar um ataque, são:
– Footprinting– Obtenção de informações
– Scanning– Identificação de serviços ativos
– Enumeration– Identificação dos recursos que fornecem os
serviços
IFF [email protected] 38
SEGURANÇA DE REDES E SISTEMASFootprinting
– “Footprinting” refere-se ao ato de coletar informações sobre o sistema alvo.
– Um atacante sempre irá recolher o máximo de informações importantes sobre todos os aspectos de segurança de uma organização.
– Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informações de uma grande variedade de fontes e compilar esse “Footprinting”.
– Alguns recursos disponíveis:
– www.internic.net
– whois.nic.gov
– www.google.com
– www.registro.br
IFF [email protected] 39
SEGURANÇA DE REDES E SISTEMASFootprinting
•Exemplos de ferramentas:•Consulta do DNS e bases Whois;
dig;nslookup;whois;rndc;Maltego;
•Consutla de rotas;Traceroute;Cheops;
IFF [email protected] 40
SEGURANÇA DE REDES E SISTEMASScanning
– O scanning tenta identificar os serviços ativos:
– Identificam serviços TCP/UDP;
– Arquitetura do sistema (Sparc, Alpha, x86);
– Faixas de IPs.
– Técnicas utilizadas:
– Ping sweeps;
– Port scans;
– Identificação de sistemas operacionais.
IFF [email protected] 41
SEGURANÇA DE REDES E SISTEMASScanning
•Exemplos de ferramentas:•Máquinas
ping;nmap;Cheops;
•Sistema operacionalnmap;Cheops;
IFF [email protected] 42
SEGURANÇA DE REDES E SISTEMASEnnumeration
– Processo de extrair dos sistemas alvos contas válidas, recursos que estão expostos, falta de pathing;
– É mais intrusivo que o footprinting e o scanning;
– Técnicas:
– Coletas de nomes de usuários e grupos;
– Banners de sistemas;
– Tabelas de roteamento;
– Informações SNMP;
IFF [email protected] 43
SEGURANÇA DE REDES E SISTEMASEnnumeration
Exemplos de ferramentas:
• Máquinasnmap;Cheops;
• Sistema operacionalnmap;Cheops;
●Serviçosnmap;Nessus;Sara;Telnet
(banner);● Vulnerabilidades
Nessus;Retina;Sara;
IFF [email protected] 44
SEGURANÇA DE REDES E SISTEMASEnnumeration
Exemplos de ferramentas:
Contas (login e senha)Sniffers rede local
Tcpdump;Ethereal;Ethercap;Etterape;MsnShadow;SPY;
••John;•Brutus;•Cain;•SpyArsenal (KL);•All In One (KL)•SI Advanced (KL)•Ardamax (KL)•GPCS (SL)•ScreenLogger (SL)
IFF [email protected] 45
SEGURANÇA DE REDES E SISTEMASTipos de Ataques
● Footprinting● Exploração de Bugs● BackDoors● Arp cache poisoning● Denial of Service ( DoS )● Distributed Denial of Service
( DDoS )● SYN Flooding● Syn sniping● Ping of death● Buffer overflow● Stack overflow
– Smurf Attacks– IP Spoofing– IP sequence prediction– IP fragementation Flooding– Port Scanners– Password Crackers– Hijacking Attacks– Phishing– Pharming – DNS– Botnet
IFF [email protected] 46
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (1/11)
Denial Of Service - DOS
– O objetivo principal de ataques do tipo DoS, é bastante simples: indisponibilizar servidores de rede.
– Os ataques DoS afetam diretamente a implementação do IP, o que os torna mais hostis, uma vez que a implementação do IP varia muito pouco de plataforma para plataforma.
IFF [email protected] 47
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (2/11)
AtacanteMaster
Agentes
Agente
Vítima
Internet
Distributed Denial of Service
IFF [email protected] 48
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (3/11)
SYN Flooding
ClienteServidor
1) SYN enviado do cliente2) SYN/ACK enviado do servidor
3) ACK enviado do cliente
Conexão SYN - Estabelecimento de conexão em 3 etapas do TCP:
IFF [email protected] 49
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (4/11)
Hijacking Attack– O sequestro ( hijacking ) de TCP é oriundo de um descuido
fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execução de comandos em um host remoto.
– Existem produtos disponíveis na Internet que colocam a teoria do hijacking em prática, como o Juggernaut e o Hunt.
IFF [email protected] 50
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (5/11)
Smurf Attack
Atacante
Rede da vítima
Rede Amplificadora
INTERNET
Conexão RDSI
Link T1 de 1,544 mbps
Link T3 de 45 mbps
Pacote ICMP ECHOfalsificado contendo IPv;alido na rede da vítima
IFF [email protected] 51
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (6/11)
IP Spoofing
Atacante
Host Y Host X
INTERNET
Confiável comatacante
Pedido de conexão
Origem forjada em YSobrecarga em Y
IFF [email protected] 52
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (7/11)
Port Scanning●É o processo de se conectar a portas TCP e UDP do sistema-alvo para determinar quais serviços estão sendo executados ou em estado de escuta.●Pode identificar o tipo de sistema operacional do sistema-alvo.●Identifica aplicativos ou versões específicas de um serviço em particular.
IFF [email protected] 53
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (8/11)
Técnicas de Port Scannings– Existem várias técnicas empregas para realização do scanning no
dispositivo alvo. São elas:● TCP Connect() ou Dumb Scan● TCP SYN Scan ou Half Scan● UDP Scan● Stealth Scan
– Null Scan– FIN Scan– Xmas Tree
● ICMP ou Ping Sweep● RPC Scan● FTP Proxy ou bounce Scan
IFF [email protected] 54
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (9/11)
● SniffersSniffers ou analisadores de tráfego como
também são conhecidos, são dispositivos que capturam os pacotes que estão trafegando pela rede.
Estes analisadores, a princípio, podem ser utilizados para analisar o tráfego de rede e identificar áreas que estão sofrendo com problemas de tráfego.
Devem trabalhar em “promiscous mode”
IFF [email protected] 55
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (10/11)
● Password CrackersPassword Crackers são ferramentas de
simulação que empregam os mesmos algoritmos usados na criptografia de senhas.
Estas ferramentas executam análises comparativas para checar a validação das senhas.
–
IFF [email protected] 56
SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (11/11)
● Buffer Overflow (estouro de buffer)● É uma técnica utilizada para explorar bugs que
geram vulnerabilidade. Ocorre quando um programa ou processo armazena mais dados no buffer (área temporária para armazenamento de dados) do que o previsto. O buffer é criado para conter uma quantidade finita de dados. Quando esta área é ultrapassada ocorre o estouro possibilitando o desvio do programa para operações não previstas. Esta técnica pode ser utilizada pelos atacantes para executar programa indevidamente em clientes e até mesmo servidores.
–
IFF [email protected] 57
SEGURANÇA DE REDES E SISTEMASRiscos, ameaças e vulnerabilidades (1/2)
•
Riscos ao Hardware:
BIOS
USB devices
Cell phones
Removable storage
Network attached storage
•
Riscos às aplicações:
ActiveX
Java
Scripting
Browser
Buffer overflows
Cookies
SMTP open relays
Instant messaging
P2P
Input validation
Cross-site scripting (XSS)
•
Riscos aos protocolos:
TCP/IP hijacking
Null sessions
Spoofing
Man-in-the-middle
Replay
DOS
DDOS
Domain Name Kiting
DNS poisoning
ARP poisoning
Ameaças como:
Privilege escalation
Virus
Worm
Trojan
Spyware
Spam
Adware
Rootkits
Botnets
Logic bomb
IFF [email protected] 58
SEGURANÇA DE REDES E SISTEMASRiscos, ameaças e vulnerabilidades (2/2)
•
Dispositivos
Privilege escalation
Weak passwords
Back doors
Default accounts
DOS
Físicas
Physical access logs/lists
Hardware locks
Physical access control – ID badges
Door access systems
Man-trap
Physical tokens
Video surveillance – camera types and positioning
•
Autenticação
Biometric reader
RADIUS
RAS
LDAP
Remote access policies
Remote authentication
VPN
Kerberos
CHAP
PAP
Mutual
802.1x
TACACS
IFF [email protected] 59
SEGURANÇA DE REDES E SISTEMASAs fontes de (in)segurança
http://packetstormsecurity.org
http://www.milw0rm.com/
http://www.securiteam.com/exploits
http://insecure.org/sploits.html
http://www.c4ads.org
http://www.nsa.gov/SNAC/
http://www.gocsi.com/
http://www.technewsworld.com/perl/section/security
http://www.sans.org
http://www.securityfocus.com
http://www.cert.org
http://www.us-cert.gov
http://nvd.nist.gov/home.cfm
http://www.first.org/
http://cve.mitre.org/
http://xforce.iss.net/
http://www.securiteam.com
www.insecure.org
http://www.wirelessve.org/
IFF [email protected] 60
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (1/17)
●Definição da política de segurança e política de uso aceitável;
●Elaboração de uma arquitetura de rede segura;
●Elevação do nível de segurança dos hosts;
●Monitoração contínua do tráfego da rede e dos serviços;
●Definição de testes periódicos à procura de vulnerabilidades.
IFF [email protected] 61
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (2/17)
Algumas característica da políticas de segurança e política de uso.
●Definir regras para evitar a quebra de uma ou mais de suas três propriedades fundamentais: confidencialidade, integridade e disponibilidade.
●Atribui direitos e responsabilidades às pessoas que fazem uso dos recursos.
●Definir direitos e responsabilidades do provedor dos recursos.
●Especificar ações previstas em caso de violação da política.
IFF [email protected] 62
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (3/17)
Arquitetura de rede segura, na medida do possível, deve contemplar:
●Least Privilege;
●Choke Point;
●Defense In Depth;
●Weakest Link;
●Fail Safe;
●Universal Participation;
●Diversity of Defense;
●Simplicity;
●Type Enforcement (permissão).
IFF [email protected] 63
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (4/17)
Firewall
O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurança. Os componentes básicos para a construção de um firewall são:
●Packet Filters: são responsáveis pela filtragem (exame) dos pacotes que trafegam entre dois segmentos de rede.
●Bastion Host: computador responsável pela segurança de um ou mais recursos (serviços) da rede.
IFF [email protected] 64
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (5/17)
Filtro de pacotes (Packet Filters):
●Hardware;
●Software de interação (http://www.netfilter.org/);
IPTables - Linux 2.4 e 2.6.
IPChains - Linux 2.2 e 2.4.
IPFWADM - Linux 2.0.
O filtro de pacotes é apenas um dos elementos do Firewall.
IFF [email protected] 65
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (6/17)
Algumas distribuições GNU/Linux criadas especialmente para implementar firewall de rede:
Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall,IPCop Firewall, Linux LiveCD Router,m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e Vyatta
IFF [email protected] 66
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (7/17)
Algumas arquiteturas de Firewall.
Esquema de atuação de um Screening Router.
IFF [email protected] 67
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (8/17)
Algumas arquiteturas de Firewall.
Esquema de uma arquitetura Sreened Subnet.
IFF [email protected] 68
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (9/17)
Algumas arquiteturas de Firewall.
Esquema da arquitetura Screened Subnet utilizando um único roteador.
IFF [email protected] 69
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (10/17)
Algumas arquiteturas de Firewall.
Esquema da arquitetura Screened Host.
IFF [email protected] 70
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (11/17)
Elevação do nível de segurança dos hosts:●Particionamento adequado dos discos rígidos dos servidores;●Desativação de serviços desnecessários;●Definição de senhas seguras;●Atualização periódica dos servidores;●Equipamentos e procedimentos Backup;●Leitura periódica de logs;●Configuração de filtragem de pacotes nos servidores;●Definição da administração remota segura;●Controle de acesso a proxies WEB;●Controle de acesso a sites “indesejados”;●Remoção de shell desnecessários;●Segurança física dos servidores;●Servidor de e-mail com antivírus, antispam, relay fechado.
IFF [email protected] 71
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (12/17)
Técnicas de defecção de intruso.
IDS – Sistemas de Detecção de IntrusoMonitoração do sistema de arquivos:
Tripwire;Aide.
HoneyPot (pote de mel)DTK;PortSentry;
NIDS – Sistema de Rede para Detecção de IntrusoSnort.
IFF [email protected] 72
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (13/17)
LOGHOST
Um LogHost centralizado é um sistema dedicado à coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositório redundante de logs.
IFF [email protected] 73
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (14/17)
Leitura de Logs:/var/log/messages/var/log/secure/var/log/maillog/var/log/xferloglastlastlog
Outras formas de monitoração de logs:LogcheckLogWatchColorlogs
IFF [email protected] 74
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (15/17)
Logs de comandos do Shell;.bash_history
Detecção de sniffers;AntiSniff
Detecção de rootkits;Chrootkit;Rkhunter;Lsat;Lynis;
Aide;Tripware;Kem_check;Sam Hain;Prelude.
IFF [email protected] 75
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (16/17)
Verificar o que esta sendo executado:ps –auxnetstat –vatlsoffuser –av porta/protocolowhow
IFF [email protected] 76
SEGURANÇA DE REDES E SISTEMASMedidas de segurança (17/17)
Monitoração contínua do tráfego da rede e dos serviços.●MRTG;●Sarg;●Webalizer;●Snort;●Nagios;●Driftnet;●Etherape;●AutoScan.Definição de testes periódicos à procura de vulnerabilidades.●Nessus;●Retina.
IFF [email protected] 77
SEGURANÇA DE REDES SEM FIO
CONTEÚDO PROGRAMÁTICO RESUMIDO
- Noções de rádio frequência;- Auditoria de redes sem fio;- Ataques a redes sem fio;- Tráfego 802.11: conceitos, análise e captura;- Metodologias de auditoria;- Ferramentas de auditoria;- Sistemas de Detecção de Intrusos (IDS) em redes WLAN;
- Implementação de WLAN doméstica e corporativa com maior nível de sergurança;
IFF [email protected] 78
PRÉ-REQUISITOS BÁSICOS DESEJÁVEIS
1 - Sistemas operacionaisComandos básicos GNU/Linux;Instalação e compilação de programas GNU/Linux;2 – ProtocolosNoções: IP, TCP, UDP, ICMP;Noções de protocolos e serviços.
IFF [email protected] 79
SEGURANÇA DE REDES SEM FIOClassificação das redes sem fio
São muitas e diversas, mas normalmente classificadas por sua área de cobertura:
●WWAN – 3G, IEEE 802.20, EV-DO/EV-DV;
●WMAN – WiMAX, baseado no padrão IEEE 802.16.
●WLAN – Baseado em IEEE 802.11, produtos certificados como Wi-Fi (Foco do curso);
●WPAN – Bluetooth (IEEE 802.15) e IR (Infrared) .
IFF [email protected] 80
SEGURANÇA DE REDES SEM FIOFundamentos de radiofreqüência
Sinais de corrente alternada (AC) de alta freqüência.Irradiados pelo ar na forma de ondas de rádio com o auxílio de antenas.
Ondas se propagam seguindo certos princípios de física que abordaremos nesta Sessão de Aprendizagem.
Propagação das ondas depende do tipo de antena:➢Omnidirecional➢Semidirecional➢Altamente direcional
IFF [email protected] 81
SEGURANÇA DE REDES SEM FIOFundamentos de radiofreqüência
Propagação inconsistente.
Interferências externas.
Comportamento:✔ Diferenças de impedância entre cabos e conectores causa perda de sinal✔ Ganho e perda de sinal✔ Reflexão, refração, difração, espalhamento
IFF [email protected] 82
SEGURANÇA DE REDES SEM FIOFundamentos de radiofreqüência
Ganho✔Unidade: dBi✔Aumento na amplitude de um sinal de RF✔Normalmente é um processo ativo, mas pode ser passivo por sinais refletidos
Perda✔Diminuição na força de um sinal RF inversamente proporcional à distância percorrida✔Diversos fatores podem causar perda
IFF [email protected] 84
SEGURANÇA DE REDES SEM FIOPadrões
Padrões IEEE✔ Camada física (PHY)
✔ 802.11 2.4GHz✔ 802.11a 54Mbps a 5GHz✔ 802.11b 11Mbps a 2.4GHz✔ 802.11g 54Mbps a 2.4GHz✔ 802.11n 600Mbps a 2.4GHz
IFF [email protected] 85
SEGURANÇA DE REDES SEM FIOPadrões
Outros padrões IEEE 802.11 – Padrões importantes✔802.11i – Melhorias para segurança (CCMP e TKIP)✔802.11k – Radio Resource Management✔802.11m – Corrects and clarifications to IEEE 802.11-1999✔802.11p – Wireless Access in Vehicular Environments (WAVE)✔802.11r – Fast Roaming✔802.11s – Wireless Mesh Networks✔802.11t – Wireless Performance Prediction✔802.11u – Internetworking with External Networks✔802.11v – Wireless Network Management
IFF [email protected] 86
SEGURANÇA DE REDES SEM FIOPadrões
Outros padrões IEEE – Outros padrões✔802.11c – Bridge Operation Procedures✔802.11d – Operação sob outras Regulações✔802.11e – QoS e Multimídia✔802.11h – Spectrum and Transmit Power✔802.11j – Operação no Japão a 4.9 e 5.1GHz✔802.11p – Wireless Access in Vehicular Environments (WAVE)✔802.11w – Protection of Management frames✔802.11y – Novo padrão para a banda 3.65-3.7GHz ISM
IFF [email protected] 87
SEGURANÇA DE REDES SEM FIOPadrões
Outros padrões IEEE – Outros padrões✔802.11c – Bridge Operation Procedures✔802.11d – Operação sob outras Regulações✔802.11e – QoS e Multimídia✔802.11h – Spectrum and Transmit Power✔802.11j – Operação no Japão a 4.9 e 5.1GHz✔802.11p – Wireless Access in Vehicular Environments (WAVE)✔802.11w – Protection of Management frames✔802.11y – Novo padrão para a banda 3.65-3.7GHz ISM
IFF [email protected] 88
SEGURANÇA DE REDES SEM FIOWLAN – equipamentos e acessórios (1/2)
– AP● Access Point
● Elemento-chave de uma WLAN
● Ponto de acesso à rede cabeada
● Principais modos– Root (padrão)– Repeater– Bridge
IFF [email protected] 89
SEGURANÇA DE REDES SEM FIOWLAN – equipamentos e acessórios (2/2)
– AP● Broadband Routers versus Access Point;
– Opções típicas:
● Potência ajustável;
● Firewall básico;
● Antenas destacáveis;
● Filtro por MAC;
● Servidor DHCP para WLAN e LAN (portas RJ-45);
● Atualização de Firmware.
IFF [email protected] 90
SEGURANÇA DE REDES SEM FIOConfiguração de clientes
– Windows● Plataforma nativa de praticamente todas as interfaces● Wireless Zero Configuration Service (WZCSVC)● Sem suporte a RFMON - captura de quadros 802.11 de gerenciamento● Esquemas mais comuns
– Autenticação: WEP (inseguro), WPA, WPA-PSK, WPA2, WPA2-PSK– Criptografia: TKIP (WPA), AES (WPA2)– EAP Types: PEAP (PEAPv0/EAP-MSCHAPv2), EAP-TLS
IFF [email protected] 91
SEGURANÇA DE REDES SEM FIOConfiguração de clientes
Windows – Lembretes– Desativar WZCSVC, caso opte por controlar a interface
pelo serviço do fabricante– Restringir associações a redes de infra-estrutura ou
ad-hoc (Advanced)
IFF [email protected] 92
SEGURANÇA DE REDES SEM FIOConfiguração de clientes
– Linux● Outra história● Drivers ainda constituem um problema● Chipsets melhor suportados por drivers e ferramentas: Prism, Orinoco, Atheros,
Ralink e TI (nesta ordem)● Demais chipsets:
– Suporte muitas vezes parcial– Sem o modo RFMON
IFF [email protected] 93
SEGURANÇA DE REDES SEM FIOConfiguração de clientes
– Linux● Drivers
– Hostap – chipset Prism– wlan-ng– MADWIFI – chipset Atheros– Wavelan – chipset Orinoco– Ndiswrapper – instalação de driver Windows (.INF) sob Linux
● Utilitários– Wireless Tools (WT)
● iwconfig, iwlist, iwspy, iwpriv, ifrename
IFF [email protected] 94
SEGURANÇA DE REDES SEM FIOConfiguração de clientes
– Definição dos parâmetros de WLAN● Linux
– iwconfig - canal, SSID, modo, chave, taxa de transmissão– modo “master”: primeiro passo para transformar uma estação em um AP
● Windows– WZCSVC - associação ao AP simplificada
IFF [email protected] 95
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (1/10)
– Estima-se que, em 2006, 70% dos ataques bem-sucedidos contra Access Points e clientes de WLANs ocorram devido à má configuração (Gartner, 2004).
– Os ataque são favorecidos devido a concepções erradas sobre segurança em redes sem fio.
– O fato de não entender as vulnerabilidades ou de assumir que a rede está segura por si só constitui um risco.
IFF [email protected] 96
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (2/10)
– Concepções erradas● “Uso filtro por endereços MAC”
● “WEP é melhor que nada”
● “Uso WPA-PSK, estou seguro”
● “Ninguém encontrará minha rede wireless”
IFF [email protected] 97
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (3/10)
– Concepções erradas (continuação)● “Ataques DoS exigem equipamentos caros, de acesso difícil”
● “Estamos seguros porque usamos autenticação/criptografia”
● “Segregamos nossa WLAN”
● “Não temos redes sem fio em nossa empresa”
● “Temos firewall”
● “Ninguém nos invadiria”
IFF [email protected] 98
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (4/10)
– Segurança física● Não há segurança física.
● Conter a abrangência de uma rede sem fio é muito difícil.
● Lugares de ataque mais comuns: prédios vizinhos, apartamentos vizinhos, lobbies.
● Vazamento de sinal– Qualidade para capturar sinal – longa distância– Qualidade para associação – curta distância
IFF [email protected] 99
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (5/10)
– Segurança física – Wardriving● Wardriving – termo cunhado por Peter M Shipley em 1999.
● Busca por redes sem segurança.
IFF [email protected] 100
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (6/10)
– Segurança física – Piggybacking
● Termo em inglês para conexão em redes sem fio alheias.
● Prática comum: vizinhos, viajantes.
● “Eu não acho que isto seja roubar”
● Consenso: se o dono do AP habilitou segurança (mesmo WEP), então não quer conexões de estranhos.
● Outros problemas:– Uso para golpes na Internet, para pedofilia – assinante do serviço é o
culpado aparente– Cotas de download – prejuízo financeiro para o vizinho
IFF [email protected] 101
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (7/10)
– Divulgação de informações● WLAN = LAN com hub
● Com criptografia ou não, o tráfego pode ser capturado
● Não é necessário se associar ao AP para capturar
● Depende da combinação entre distância e ganho da antena
IFF [email protected] 102
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (8/10)
– Negação de serviço● Denial of Service (DoS)
● Três categorias– Ataques ao meio – “RF Jamming”– Fraquezas de 802.11 – ataques deauth– Vulnerabilidades no firmware dos clientes
● Segurança = Confidencialidade, Integridade e Disponibilidade.
IFF [email protected] 103
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (9/10)
– Access points “Rogue”● Usuários bem intencionados ligam APs mal configurados à rede cabeada
● Mudança inadvertida no perímetro da rede
● Firewall corporativo defende do lado errado
● Soluções– Políticas– Monitoramento– Auditoria
IFF [email protected] 104
SEGURANÇA DE REDES SEM FIOAtaques a redes sem fio (10/10)
– Outros ataques● Redes domésticas e Hotspots
● Exploração de vulnerabilidades do sistema operacional
● Worms que se propagam pelas camadas PHY e MAC– Filtros de camada 3 e 4 sem utilidade– Possibilidade futura– Worm Cabir – celulares Bluetooth
IFF [email protected] 105
SEGURANÇA DE REDES SEM FIOWardriving – Campos (1/5)
Foram detectados 280 equipamentos AP/Router
Wardriving realizado entre 10:00 e 10:34 do dia 31/10/2008
Batalhão da PM (Fundos)
Marechal Floriano (Ouvidor)
21 de Abril
Praça São Salvador
Alberto Torres
Gil de Gois (Liceu)
Barão de Miracema
Av. Pelinca
Formosa
Felipe Webe
Alberto Lamego (UENF)
IFF [email protected] 106
SEGURANÇA DE REDES SEM FIOWardriving - Campos - ESSID – BSSID (2/5)
ZPlus-G120 00:05:9E:83:EB:D9
WRLS-ETC 00:1B:11:E6:04:43
WLW 00:19:5B:4B:B4:55
WLMB 00:1B:11:6C:D4:AC
WLAN_19 00:1D:19:26:38:1B
WizardLan 00:1D:7E:F5:A3:52
WireSic_Serasa 00:1E:58:09:E0:DE
Wireless-RHPM 00:0E:2E:C0:EC:CA
Wireless da Larissa 00:1E:58:0D:3C:68
WIPEER 92:08:EF:51:A2:C6
Wi-Fi_PBSACORP 00:15:70:97:39:F0
WIFI 00:E0:4C:F5:8B:BD
W+Midia 00:1B:11:3A:F6:6F
Vitor Ferreira 00:1B:11:91:FE:4E
Vip Car 00:1B:11:A5:C5:26
V-IMPERIAL00:1D:0F:EC:95:FE
Vieira_Wireless 00:1C:F0:AD:B4:E3
VIDAELUZ 00:1B:11:61:0E:13
VICTORWIRELESS 00:1B:11:3A:F1:1B
Vanessa Braga 00:1A:3F:48:C5:38
Valeria_casa 00:1E:58:09:B0:60
UNNUS_4 00:15:6D:50:11:5A
UNNUS_3 00:15:6D:50:11:5E
UNNUS_2 00:15:6D:50:11:45
UNNUS_1 00:15:6D:50:11:49
Unicampos 00:17:9A:00:DA:12
TV LITORAL ESCRITORIO 00:13:46:36:E8:75
TrojanHorse 00:1A:C1:38:1D:34
Trindade 00:17:9A:4B:B3:A9
trindade 00:1C:F0:85:8A:EA
TP-LINK 00:19:E0:A3:59:00
TP-LINK 00:1D:0F:D1:7A:70
TP-LINK 00:1D:0F:D1:7A:98
TP-LINK 00:1D:0F:ED:72:C2
TESTE 00:1B:11:69:2A:B1
tecnose 00:40:F4:FB:63:69
TATIEBRUNO 00:19:5B:00:26:A7
SuperPoderosas 00:1B:11:D5:2A:09
SóMoto 00:0E:2E:8D:4D:50
Sobre 00:1B:11:4B:6E:6F
SMC 00:13:F7:7F:61:57
Siqueira 00:1B:11:3C:E8:91
sarta 00:13:46:7A:DD:B6
Santostec 00:18:E7:1F:83:E1
Santostec 00:1B:11:F4:BD:28
Samurai 00:1C:F0:EA:8C:47
Salute2 00:12:0E:95:C8:45
SAGRES_BEER 00:18:E7:21:4A:7C
Router 00:1B:11:91:BB:FE
RLM Advogados 00:1E:58:37:EB:2F
REDE004 00:E0:4C:FD:59:C5
Rede Sem Fio 00:1E:58:0D:50:90
Rede Igor 00:1E:58:2D:9D:4D
RCR 00:17:9A:F1:AB:19
Ramos 00:1E:E5:5D:BF:15
previcpswi-fi 00:17:9A:83:20:5D
previcpswi-fi 00:17:9A:83:20:7A
Ppaes 20:03:7F:1F:12:C1
Portal 00:13:46:F0:E0:30
POP-SLT1 00:0C:42:0C:54:33
POP-S3 00:12:0E:2D:B3:68
POP-PLCH 00:12:0E:96:B4:4D
POP-PLC 00:02:2D:51:31:3A
POP-OPC2 00:12:0E:48:11:A9
POP-OPC 00:02:2D:61:77:FB
POP-MTC 00:12:0E:48:0F:E7
POP-FMO 00:12:0E:59:E6:68
POP-DM 00:12:0E:78:2F:6C
POP-CDT2 00:12:0E:9C:41:B6
IFF [email protected] 107
SEGURANÇA DE REDES SEM FIOWardriving - Campos - ESSID – BSSID (3/5)
POP-CDT 00:02:2D:8F:D1:D3
POP - GUARUS 1 00:4F:62:0E:8C:E2
pipit 00:18:F8:6F:BB:D4
PERCI 00:1C:F0:EA:BC:F3
PAULOFA 00:15:E9:D2:B1:AC
PATASEASAS 08:10:74:1A:8A:36
PACIFIC 00:1D:0F:F5:FC:F6
PACIFIC 00:1D:0F:F6:06:9A
PACIFIC 00:1D:0F:F6:08:AA
Ossoduro 00:06:4F:6B:C4:BC
Oi 00:19:5B:DC:78:A4
OdiarioWire 00:17:9A:00:DA:0B
OAB 00:1B:11:F5:82:2C
nolimit 00:14:D1:36:18:E6
NETGEAR 00:1B:2F:E6:A9:CC
NETGEAR 00:1E:2A:0B:0C:DA
NETGEAR 00:1F:33:32:94:7E
NAKED 00:1C:C5:0A:39:98
MyWLAN 00:0A:52:01:1C:85
Muniz Duarte 00:1B:11:FF:F5:8A
MULTICEL 00:1C:F0:85:AA:22
movocanto 00:17:9A:35:E1:10
MMJ 00:1E:58:C1:4D:7D
mixinfo 00:1B:11:A5:D4:34
MedNet 00:1D:0F:EB:90:08
MB 00:1C:F0:00:16:49
Matrix 00:1C:F0:00:98:F7
MatheusRocha 00:13:46:EF:E1:9A
Margaret 00:18:E7:42:F7:04
manelzeze 00:1B:11:4E:ED:C1
M4rd0k 00:1C:F0:38:FC:1F
lumare 00:19:5B:BD:D1:7D
Loja10 00:1E:58:34:35:5B
linksys 00:1C:10:57:BB:39
linksys 00:1D:7E:50:4C:81
linksys 00:1D:7E:5D:92:76
linksys 00:1E:E5:7B:0C:2D
LIML_WIRELESS 00:1C:F0:3C:45:0A
LFcasa 00:1B:2F:FC:19:5C
LCBS 00:13:46:F0:F6:E8
Joao Manoel 00:1B:11:A5:F8:76
joao 00:1B:11:3C:E6:65
Japa 00:21:91:6A:6F:8E
Irina 00:1B:11:3D:00:75
ione 00:1B:11:A3:61:4E
INTELBRAS 00:1A:3F:48:C9:86
Imprimix 00:1A:C1:38:00:9A
Iconect 00:30:4F:52:93:36
ICN 00:0A:52:01:61:FC
Huguinho Zezinho e Luizinho 00:1C:F0:00:0B:E7
house 00:1B:11:D4:9D:57
Home Sweet Home 00:1E:58:C1:D7:F3
HOME 00:1B:11:92:12:9A
Haddad 00:1E:58:0D:59:94
Habitare 00:13:46:34:35:E9
Habitare 00:19:E0:0F:AC:C6
Gustavo 00:1B:2F:56:50:40
GUIOPIM 00:1E:58:09:C3:84
geraldo 00:1B:11:91:B8:86
Geno 00:18:E7:44:8F:26
GANTOS WEB 00:17:9A:4B:B3:83
G604T_WIRELESS 00:0F:3D:B8:FB:4C
Francisco 00:50:18:58:2B:F6
FRACTALL 00:05:9E:88:F0:32
FoX 00:21:04:10:4C:67
fourteam 00:18:39:40:3A:80
Forum_do_Pao 00:13:46:DE:8D:FF
flink 00:1E:58:0D:42:32
fernandes 00:1B:11:3A:EB:7D
IFF [email protected] 108
SEGURANÇA DE REDES SEM FIOWardriving - Campos - ESSID – BSSID (4/5)
FAMILIA FELIZ 00:05:9E:86:92:B1
Fabricio 00:1A:C1:38:0D:AE
FABNAJ 00:1C:F0:83:30:00
EXTINCAMPOS 00:21:8D:00:08:33
ESSID BSSID
EscritorioWIRE 00:1C:F0:7F:EE:40
escritorio manhaes de lima00:1E:58:0D:59:CA
escritorio 00:17:9A:58:29:99
ESCRITORIO 00:1A:3F:48:B6:46
ESC 00:18:39:64:5B:0B
Ello_Campos 00:1B:11:8C:BB:DE
Efeito Digital Interna 00:13:10:D2:E6:CC
Efeito Digital Externa 00:05:9E:88:E1:D4
DRPC 00:1B:11:D3:10:CB
Dr 00:1B:11:A1:BE:DC
DPPCASA 00:1E:58:C1:BF:99
dlinkE607 00:1C:F0:5F:E6:07
DLINK_WIRELESS 00:1C:F0:3F:CE:6A
D-Link 00:0D:88:3C:DF:FF
d-link 00:19:5B:90:9F:AA
dlink 00:1B:11:3A:89:75
dlink 00:1B:11:3D:03:FB
dlink 00:1B:11:5E:AD:29
dlink 00:1B:11:66:79:B3
dlink 00:1B:11:FB:D3:A6
dlink 00:1C:F0:00:7D:2B
dlink 00:1C:F0:02:0E:E9
dlink 00:1C:F0:3A:4E:97
dlink 00:1C:F0:83:25:E6
dlink 00:1C:F0:87:22:A6
dlink 00:1C:F0:87:24:7C
dlink 00:1C:F0:AD:9D:1F
dlink 00:1E:58:0D:41:72
dlink 00:1E:58:14:AC:3E
dlink 00:1E:58:14:F4:B4
dlink 00:1E:58:C0:9F:A9
dlink 00:21:91:6B:99:76
DIGITUS_SERVER_WIRELESS 00:E0:4C:F4:98:27
DetalheWIRE 00:19:5B:B3:84:23
default-root-gina 00:12:0E:94:12:F9
default-root 00:12:0E:93:F6:5B
default-root 00:12:0E:93:FF:46
default-root 00:17:9A:83:20:52
default-root 00:19:5B:D2:B8:68
Default_11G 00:06:4F:68:A2:0E
Default_11G 00:06:4F:68:A5:98
default 00:11:95:4C:49:99
default 00:13:46:DE:8D:FD
default 00:13:46:F5:D3:4E
default 00:15:E9:33:4C:F1
default 00:15:E9:33:4C:F4
default 00:15:E9:D2:CF:D4
default 00:17:9A:F8:7E:E3
default 00:17:9A:FD:7A:D7
default 00:18:E7:1F:83:CD
default 00:19:5B:00:4D:C1
default 00:19:5B:0C:72:66
default 00:19:5B:4F:88:CD
default 00:1B:11:A3:7F:3A
default 00:1E:58:14:F2:4A
defato-wifi 00:19:5B:BE:48:A7
Decisiva2 00:18:6E:C3:8C:CF
Decisiva 00:15:E9:40:61:24
Dantas 00:1E:58:E8:DA:DF
Daniel Campos 00:1C:F0:3F:BA:CA
Curaçau Blue 00:19:5B:B3:7A:DB
CTA 00:1E:58:32:0C:6F
CSantos 00:1C:F0:F5:CF:68
credtem 00:1C:F0:83:03:94
IFF [email protected] 109
SEGURANÇA DE REDES SEM FIOWardriving - Campos - ESSID – BSSID (5/5)
CPD 00:19:5B:5F:B6:C7
cosanostra 00:19:E0:A1:3B:2E
CONSTRUTORA 00:19:5B:09:13:10
ConnectionPoint 00:21:04:10:19:81
CNET-VIACABO 00:02:2D:AA:A6:6F
CNET-MAISON2 00:02:2D:A9:CD:05
CNET-ALBERTAOS2 00:12:0E:84:7D:D4
CNET-ALBERTAOS1 00:02:2D:01:31:DC
CNET-97FM 00:02:6F:3B:0C:A5
Clínica Oral Cerqueira Escocard 00:1C:F0:6F:7F:80
classmaker.com 00:1E:2A:65:1C:B2
ChicreCheme 00:1B:11:3C:D9:7B
CFB-Lab1 00:40:F4:F8:B7:77
CFB-CPD 00:18:E7:44:8F:22
CCULTURA 00:17:9A:FD:8B:C7
CCIS 00:13:33:0B:0F:20
CC_Campos 00:1B:11:4F:1D:C9
CB_BH_Campos 00:1B:2F:E6:76:12
Castor_Wireless 00:19:5B:DF:CF:4E
casa1 00:1B:11:A5:DD:62
casa 00:13:46:88:C4:F0
Carvalho 00:1C:F0:00:84:65
Cantoti 00:14:7C:BC:AC:4E
CAM 00:13:46:F3:D6:FC
cada.d 00:1B:11:43:A7:7E
CabeloePele 00:1C:C5:D7:F9:C2
Bruno 00:1B:11:3A:F6:81
BP2 0A:0F:CB:FC:53:B5
BP 00:0F:CB:FC:53:B5
Beto 00:15:E9:40:5F:58
bernardo 00:1D:0F:EB:A2:5C
belkin54g 00:17:3F:84:4F:98
Baluro 00:1B:11:F4:B3:08
BALBIeCOSTA 00:1A:C1:35:C2:D4
b 00:0A:B8:1C:4C:30
b 00:17:94:A5:CF:50
ATHILA 00:18:E7:49:3D:EC
apserver 00:0E:2E:1F:9D:9D
APHF 00:12:17:74:BC:14
APHF 00:12:17:74:BE:1D
AnsataAssociada 00:15:E9:EC:C0:E4
Anna 00:19:5B:5F:E3:47
Alterdata 00:1E:58:0D:2D:0C
ALEXANDRECASA 00:1C:C5:0A:13:AC
ALEXANDRE 00:1E:58:13:89:5A
AKF 00:21:91:6A:6D:F4
ADMINISTRATIVO 00:1E:E5:33:DB:D3
ACJ 00:1B:11:F4:F5:DE
ACIC 00:17:9A:4B:B4:1B
acessototal 00:02:2D:A5:B2:92
acessototal 00:14:7C:BC:AD:56
acessototal 00:4F:62:00:4C:28
acessototal 00:4F:62:00:5F:33
a 00:1E:58:C6:65:BB
3Com 00:1C:C5:09:89:14
3Com 00:1C:C5:0A:14:F6
3Com 00:1C:C5:D7:85:84
100Fio 00:19:5B:E0:02:5C
100FIO 00:1C:F0:83:28:96
001601AD54E0 00:16:01:AD:54:E1
#@!%XtremeAvm-Adm%!@# 00:1D:0F:EB:92:48
7 00:18:39:0C:E1:6E
IFF [email protected] 110
SEGURANÇA DE REDES SEM FIOMetodologias de auditoria (1/5)
– Auditoria contra determinada política
● Antes– Política em mãos, dados já coletados;– Conhecer os equipamentos típicos, marcas de produtos;– Autorização.
● Buscar desvios– Cláusulas da política de segurança não obedecidas;– Correlacionar dados coletados com a política de segurança.
IFF [email protected] 111
SEGURANÇA DE REDES SEM FIOMetodologias de auditoria (2/5)
– Nem sempre redes e dispositivos sem fio estão incluídos na política de segurança adotada
– Outros objetivos de uma auditoria:
● Identificar APs e clientes;
● Verificar as configuração;
● Mapear abrangência da rede;
● Avaliar o grau de divulgação de informações da organização.
IFF [email protected] 112
SEGURANÇA DE REDES SEM FIOMetodologias de auditoria (3/5)
– Metodologias – Fingerprinting do AP
● Passivo– Não há necessidade de estar conectado à rede– Identificar o fabricante
● OUI (Organization Unique Identifier) da interface de rede ● Alocado pelo IEEE● Útil apenas em tráfego unicast e broadcast
– Identificar informações proprietárias divulgadas nos quadros beacon
● Ativo– Necessidade de conexão– Conectar-se ao AP remotamente (SSH, servidor WEB)
IFF [email protected] 113
SEGURANÇA DE REDES SEM FIOMetodologias de auditoria (4/5)
– Metodologias – processamento de informações coletadas
● Processar informações coletadas– Gerar planilhas com arquivos XML e CSV gerados pelo
Kismet;– Identificar redes com segurança fraca;– Informações úteis;
● SSIDs usados, marcas de interfaces, potência do sinal e nível de ruído, dentre outros indicadores.
IFF [email protected] 114
SEGURANÇA DE REDES SEM FIOMetodologias de auditoria (5/5)
– Metodologias – identificando métodos de segurança
● Automaticamente– Ferramentas como Kismet
● Manualmente– Captura e filtro de quadros não interessantes
● beacon, probe request, probe response– Análise com analisadores de tráfego como Ethereal ou
Wireshark
IFF [email protected] 115
SEGURANÇA DE REDES SEM FIOFerramentas de auditoria (1/4)
– Principais– Tcpdump– airodump– Ethereal– Wireshark– NetStumbler (Windows)– Kismet
● Linux apenas, versão Windows em desenvolvimento
IFF [email protected] 116
SEGURANÇA DE REDES SEM FIOFerramentas de auditoria (2/4)
– Principais ferramentas – Ethereal / Wireshark
● Poderoso analisador de tráfego
● Revela mais informações que Tcpdump– Estrutura em árvore, resolução de hostname / porta / MAC, possibilidade de
visualização de fluxos, etc.
● Dependente de Libpcap / Winpcap
● Captura tráfego, abre arquivos de captura PCAP– Interoperabilidade com Tcpdump, airodump, Kismet e outras
● Filtros de captura no mesmo formato usado por Tcpdump, filtros de exibição
IFF [email protected] 117
SEGURANÇA DE REDES SEM FIOFerramentas de auditoria (3/4)
– Principais ferramentas – Kismet
● Diversas funções– Wardriving, site survey, IDS distribuído, auditoria,
detecção de APs “rogue”, detecção de IVs duplicados em redes com WEP
● Interação com GPS para mapeamento● Driver próprio, mais de 20 tipos de NIC suportados
– Suporte ainda limitado aos principais chipsets● Restrito a Unix, diversas dependências
– GPSD, ImageMagick, Expat, GMP● É possível a captura em todos os canais
simultaneamente
IFF [email protected] 118
SEGURANÇA DE REDES SEM FIOFerramentas de auditoria (4/4)
– Principais ferramentas – NetStumbler
● Ferramenta mais “popular”, restrita ao Windows● Várias funções
– Configuração da sua rede, detecção de interferência, APs não-autorizados (“rogue”), wardriving (suporte a GPS)
● Auditoria ativa, detectável por probes● Limitado, se comparado ao Kismet
– RFMON ausente sob Windows● Bom suporte a NICs em Windows● “Barulhento”
IFF [email protected] 119
SEGURANÇA DE REDES SEM FIOSegurança-padrão no AP (1/2)
– Configurações relacionadas à segurança
● Secure Easy Setup (SES)
● SSID
● Wireless SSID Broadcast
● Wireless MAC Filter
● AP isolation
IFF [email protected] 120
SEGURANÇA DE REDES SEM FIOSegurança-padrão no AP (2/2)
– Configurações relacionadas à segurança
● Firewall, filtros de aplicação, DMZ
● Administração– Alteração de senha;– Habilitar HTTPS;– Desabilitar acesso administrativo a partir da rede sem
fio;– Desabilitar gerenciamento a partir da interface externa;
IFF [email protected] 121
SEGURANÇA DE REDES SEM FIOSegurança em redes domésticas
– AP configurado com WPA2-PSK
– Vantagens● Segurança suficiente para usuário doméstico
– Já existem ataques conhecidos contra WPA● Não é necessário servidor de autenticação● Possível mesmo sem Openwrt
– Desvantagens● Chave compartilhada – mesma chave para todos os
usuários, segredo mantido por pouco tempo● Trocar PSK nos clientes é trabalhoso
IFF [email protected] 122
SEGURANÇA DE REDES SEM FIOSegurança em redes corporativas
– IEEE 802.1x – Port Based Network Access Control
– Servidor de autenticação externo
● FreeRADIUS– implementação de RADIUS (RFC 2865)
– EAP-TLS como método EAP
● EAP – Extensible Authentication Protocol (RFC 3748)
● Necessidade de ICP (Infra-estrutura de Chaves Públicas)
● Necessidade de certificados tanto no servidor RADIUS quanto nos clientes – autenticação mútua
IFF [email protected] 123
NOÇÕES DE AUDITORIA E ANÁLISE FORENSE
CONTEÚDO PROGRAMÁTICO- Princípios de análise forense: conceito e motivação;- Procedimentos de análise forense;- Cadeia de custódia de evidências;- Ambiente e ferramentas de análise forense;- Ambiente de análise forense: o hardware, o sistema operacional e o software básico;- Pacotes forenses: ferramentas dos níveis de sistemas de arquivo e de nomes de arquivos, de
metadados e de blocos de dados;- Coleta de evidências: arquivos de logs, de inicialização do sistema e de histórico de comandos;- Recuperação e análise de evidências;- Sistema de arquivos Linux;- Ferramentas de recuperação de evidências: como reaver arquivos apagados e parcialmente
sobrescritos;- Evidências avançadas: análise de executáveis e evidências avançadas;- Cronologia dos acontecimentos e reconstrução do ataque;- Análise forense em sistemas Windows;- O sistema de arquivos do Windows;- Descrição do pacote de ferramentas e primeiras ações;- Informações sobre o sistema: identificação de ações, de usuários e do nomedo sistema (hostname);- Identificação de processos em execução no sistema;- Identificação de portas disponíveis;- Identificação de bibliotecas em uso;- Registro do Windows;- Informações adicionais do Windows;- Métodos de ocultação de dados e informações.
IFF [email protected] 124
PRÉ-REQUISITOS BÁSICOS DESEJÁVEIS
1 - Sistemas operacionaisComandos básicos GNU/Linux.Sistemas de arquivos.2 – Curso de segurança de redes.
IFF [email protected] 125
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
• Resposta à incidentes de segurança– Preparação– Identificação– Contenção– Erradicação– Recuperação– Acompanhamento
IFF [email protected] 126
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
Análise forense: é o segundo passo no processo de resposta a incidentes.
“Recuperar e analisar dados da maneira mais imparcial e livre de distorções quanto possível, para reconstruir os dados ou o que aconteceu a um sistema no passado [1].”
[1] Murder on the Internet Express; Farmer, Dan; Venema, Wietse;
IFF [email protected] 127
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
PROCEDIMENTOS:●Minimizar perda de dados;●Evitar contaminação dos dados;●Registrar e documentar tudo que for feito;●Analisar, impreterivelmente, dados em cópias;●Reportar as informações coletadas;●E principalmente, manter-se imparcial!
“É um erro capital teorizar antes de ter todas as evidências”. Sherlock Holmes
IFF [email protected] 128
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
MotivaçõesPor quê não investigar um incidente?●É caro●É demorado●Nem sempre vale a pena●Ocupa recursos importantes!Enfim, é um processo que demanda tempo e recursos, e nem sempre vai ser útil para a empresa. É mais fácil reinstalar um computador do que investigar!
IFF [email protected] 129
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
MotivaçõesEntão, por quê investigar?●Identificar sinais de ataque;●Determinar a extensão do comprometimento;●Reconstruir a ordem dos eventos;●Entender o modus operandi do atacante.
Responder: O Quê? Quando? Onde? e Como?
IFF [email protected] 130
NOÇÕES DE AUDITORIA E ANÁLISE FORENSE Princípios de Análise Forense
Tipos de Sistemas ComprometidosSistema desligado:●Sem atividade no disco rígido;●Evidências voláteis perdidas;●Sem atividade do invasor;●Sem necessidade de contenção do ataque;●Possivelmente algumas evidências foram modificadas!
IFF [email protected] 131
NOÇÕES DE AUDITORIA E ANÁLISE FORENSE Princípios de Análise Forense
Tipos de Sistemas Comprometidos Sistema Ligado:●Atividade no disco rígido;●Atividade de rede;●Evidências voláteis;●Possível atividade do invasor;●Necessário conter o ataque;●As evidências estão sendo modificadas!
IFF [email protected] 132
NOÇÕES DE AUDITORIA E ANÁLISE FORENSE Princípios de Análise Forense
Tipos de Sistemas Comprometidos Sistema Ligado:●Verificar se o sistema está comprometido●Não comprometer as evidências●Conter o ataque●Coletar evidências●Power-off ou shutdown?
● Power-off: não modifica evidências, mas pode corromper os dados
● Shutdown: Garante integridade dos dados, mas pode modificar evidências
IFF [email protected] 133
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
Procedimentos para Análise Forense ●A reação precisa ser rápida. Esteja preparado!●Tenha em mãos um checklist de ações, e todas as ferramentas necessárias.●Esterilize as mídias antes de coletar evidências.●Colete as evidências mais voláteis primeiro.●Crie um registro para cada evidência, e faça um relatório da sua investigação.
IFF [email protected] 134
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
Procedimentos para Análise Forense Ordem de coleta de evidências:●Informações sobre o ambiente (ambiente operacional, fotos da sala e da tela do computador);●Coletar cópia binária da memória RAM;●Coletar informações sobre processos rodando, conexões de rede, registros, cache, etc;●Coletar informações sobre o tráfego de rede;●Coletar cópias dos discos rígidos;●Coletar possíveis mídias removíveis (fitas, disquetes, cd-rom);●Coletar material impresso (adesivos, folhas impressas).
IFF [email protected] 135
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
Procedimentos para Análise Forense ●Criar registro para cada evidência●Criar assinatura das evidências:
● MD5● SHA1
●Evitar comprometer evidências●Criar relatório detalhado da investigação:
● comandos executados● pessoas entrevistadas● evidências coletadas
IFF [email protected] 136
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
Cadeia de Custódia de EvidênciasÉ um registro detalhado de como as evidências foram
tratadas durante a análise forense, desde a coleta até os resultados finais.
Este registro deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas.
Durante um processo judicial, este registro vai garantir que as provas não foram comprometidas.
Cada evidência coletada deve ter um registro de custódia associada a ela.
IFF [email protected] 137
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEPrincípios de Análise Forense
Cadeia de Custódia de EvidênciasUm registro de custódia deve conter pelo menos os seguintes itens:➢Data e hora de coleta da evidência;➢De quem a evidência foi apreendida;➢Informações sobre o hardware, como fabricante, modelo, números de série, etc;➢Nome da pessoa que coletou a evidência;➢Descrição detalhada da evidência;➢Nome e assinatura das pessoas envolvidas;➢Identificação do caso e identificação da evidência (tags);➢Assinaturas MD5/SHA1 das evidências, se possível;➢Informações técnicas pertinentes.
IFF [email protected] 138
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
• Pré-requisitos• Hardware• Sistema Operacional• Software Básico• Pacote de Ferramentas Forenses• CD de Ferramentas
IFF [email protected] 139
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Pré-requisitosA primeira ação do investigador é coletar
evidências no local onde ocorreu a invasão.Após isso, entra em cena a análise de mídias.O investigador precisará analisar dezenas de
gigabytes de dados, por isso deve contar com um ambiente propício, com ferramentas que facilitem seu trabalho.
IFF [email protected] 140
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Pré-requisitosO objetivo da análise de mídias é coletar evidências que
comprovem ou refutem a invasão.As evidências originais devem ser preservadas, por isso a
análise deve ser feita em cópias das mídias.O analista deve evitar comprometer as evidências, e deve
garantir que todos os resultados podem ser reproduzidos.Isto envolve a criação e manipulação de dezenas de
gigabytes de dados.Além disso, o sistema invadido não é confiável, portanto o
investigador precisa dispor de um ambiente confiável e controlado para realizar a investigação.
IFF [email protected] 141
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
HardwareQuanto mais memória RAM e mais processamento tiver,
melhor!O espaço livre em disco deve ser generoso.O sistema deve ter baias para conectar os discos de evidências.
De preferência, as baias devem ser configuradas para jamais iniciar o sistema a partir dos discos contidos nelas.
Um notebook é imprescindível para quando não for possível remover o disco de evidência. Este notebook deve conter as mesmas ferramentas da estação forense.
O investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross-over e normais, placas de rede normais e wireless, disco rígido externo (USB e paralelo), bem como um equipamento para realizar cópias de disco automaticamente.
IFF [email protected] 142
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Sistema OperacionalEntre os pontos que devem ser levados em consideração na hora de escolher o sistema operacional estão:
●Familiaridade do investigador com o S.O.;●Disponibilidade de ferramentas;●Capacidade do S.O. de reconhecer diversos tipos de mídias ou sistemas de arquivos diferentes;●Mecanismos de segurança disponíveis no S.O.;
IFF [email protected] 143
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Sistema OperacionalGNU/LINUX - Caracterísitcas:
●Não é necessário adquirir licenças para uso;●Existe uma gama completa de ferramentas de análise forense de uso livre;●Capacidade de acessar qualquer tipo de sistema de arquivos ou partições a partir de configuração no kernel;●Capacidade de acessar diversos tipos de dispositivos diferentes (USB, Discos, etc);●Firewall embutido no kernel, e possibilidade de utilizar diversas modificações no kernel para aumentar a segurança da máquina.
IFF [email protected] 144
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Sistema OperacionalGNU/LINUX – Limitações:
●Se for necessário analisar algum executável para Windows, precisaremos de uma maneira de emular o Windows. A melhor opção é utilizar o VMWare ou outro sistema de emulação, tal como o Wine.●Apesar da escolha pelo Linux, existem ótimas ferramentas de análise forense para Windows, tal como o software EnCase produzida pela Guidance Software e representada no Brasil pela TechBiZ Forense Digital.
IFF [email protected] 145
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básico●Nem sempre será necessário a utilização de ferramentas complicadas para realizar uma análise.●O Linux dispõe de ótimas ferramentas para auxiliar o trabalho de investigação.●Estas ferramentas básicas são importantes para a investigação, e o analista deve conhecê-las muito bem.●Existem versões destas ferramentas para Windows também, mas precisam ser instaladas à parte. No Linux, elas já acompanham o sistema.
IFF [email protected] 146
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básicostrings: extrai mensagens de texto de um arquivo. Esta é uma das principais ferramentas do investigador. Com ela é possível detectar rapidamente se existe algum conteúdo interessante em um arquivo suspeito. Pode ser usada tanto em arquivos comuns como diretamente em um arquivo de dispositivo.
Ex: # strings –a /bin/bash# strings –a /dev/hda1 > /data/hda1.str
Com o comando acima criamos um arquivo com todas as mensagens contidas no dispositivo /dev/hda1. Podemos utilizar este arquivo para detectar rapidamente se existe algum conteúdo comprometido no dispositivo. Por exemplo, podemos utilizar este arquivo para procurar por palavras suspeitas constantes em uma base de dados.
IFF [email protected] 147
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básicogrep: Procura por padrões em um arquivo. Usado em conjunto com o strings torna-se uma ferramenta importante para encontrar evidências.
Ex: # grep –ia –f /data/palavras_hacker.txt /data/hda1.img# grep –ab “hacked” /data/hda1.img
No primeiro exemplo acima, utilizamos um arquivo com palavras suspeitas como padrão de busca. O comando irá mostrar quais palavras constantes no arquivo /data/palavras_hacker.txt que também aparecem na imagem de disco /data/hda1.img.No segundo exemplo, o comando irá imprimir o offset em bytes de onde a palavra hacked foi encontrada no arquivo /data/hda1.img.
IFF [email protected] 148
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básicomd5sum/sha1sum: Geram um hash criptográfico dos dados passados como entrada. Estes comandos são importantes para garantir a integridade de evidências coletadas durante a investigação, bem como verificar a autenticidade dos arquivos armazenados em disco.
Ex: #md5sum /etc/passwdd8f6d74f3cf8f05792027673407b2160 /etc/passwd
Podemos utilizar estes comandos para monitorar a integridade dos arquivos do sistema, ou então para garantir a integridade de evidências coletadas durante a investigação.Este comando é importantíssimo para garantir a cadeia de custódia de evidências.
IFF [email protected] 149
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básicofind: Procura no sistema de arquivos por arquivos que casem com os padrões especificados. Deve ser utilizado com cuidado, pois modifica as datas de acesso dos arquivos pesquisados.
Ex: # find /dev –not –type b –and –not –type c# find / -name “.[. ]*”# find / -perm +02000 –or –perm +04000
Procura por arquivos a partir de algumas restrições de busca. Pode encontrar arquivos suspeitos no diretório /dev, arquivos escondidos ou com caracteres estranhos no nome, ou arquivos com permissões específicas.Estes arquivos podem ser suspeitos, pois um arquivo com o bit setuid (stick bit) ligado pode indicar a presença de um root shell.
IFF [email protected] 150
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básiconetstat: Com este comando pode-se descobrir rapidamente a existência de portas de rede abertas na máquina, ou as conexões atualmente estabelecidas. É possível também descobrir a existência de rotas estáticas inseridas manualmente.
Ex:# netstat –nap# netstat –nr
lsof: Importante ferramenta de coleta de evidências. Ela é utilizada para listar todos os arquivos abertos. Em um sistema operacional, qualquer recurso mantém um arquivo aberto. Conexões de rede, bibliotecas abertas, programas executando, tudo vai ser listado pelo lsof.Ex:# lsof –l
# lsof –i# lsof –l | grep LISTEN
IFF [email protected] 151
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básicofile: Tenta identificar o tipo de um arquivo a partir de um banco de assinaturas de arquivos conhecidos.
Ex:# file /bin/cp/bin/cp: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), stripped
Algumas vezes é importante saber o tipo de um arquivo suspeito. No exemplo, o arquivo /bin/cp é um executável para Linux, que utiliza bibliotecas compartilhadas, e teve as informações de debug removidas.Estas informações são importantes para decidir o curso da investigação. As vezes, analisar um executável em um debugger pode nos dar mais informações sobre o invasor.
IFF [email protected] 152
AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básicodd: Este comando é utilizado para copiar dados binários. Estes dados podem ser arquivos ou mesmo dispositivos físicos. Ele é usado principalmente para realizar cópias binárias de disco.
Ex:# dd if=/dev/hda of=/data/hda.img# dd if=/dev/zero of=/dev/fd0
No primeiro exemplo será criada uma cópia fiel de um dispositivo de disco em um arquivo. Para todos os efeitos, o conteúdo do primeiro disco é igual ao do arquivo. Inclusive o hash MD5 dos dois deve permanecer igual.No segundo exemplo, utiliza-se o dispositivo virtual /dev/zero para sanitizar um disquete (pendrive, cartão, etc) antes de usá-lo para armazenar evidências. Isto é importante para garantir que as evidências não vão ser comprometidas com dados existentes previamente no disquete.
IFF [email protected] 153
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software Básiconc: A função desta ferramenta é criar uma conexão de rede com outro computador, ou então criar um listener em uma determinada porta.Com esta ferramenta, o investigador poderá copiar arquivos e dados de um computador para outro.
Ex:# nc –l –p 9999 > /data/hda1.img.gz# dd if=/dev/hda1 | gzip -9 –c | nc –p 9999 <ip_da_estacao_forense>
O primeiro comando acima deve ser executado na estação forense. Ele cria um listener na porta 9999, e direciona tudo que for enviado a essa porta para o arquivo /data/hda1.img.gz.O segundo comando lê o conteúdo da partição /dev/hda1 da máquina comprometida, compacta com o comando gzip, e envia para a estação forense pela rede. Com isso, não é necessário gravar nada no disco da máquina comprometida, preservando evidências.
IFF [email protected] 154
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Software BásicoWireshark/Tshark: Estas duas ferramentas funcionam como monitores de rede. Elas servem para capturar todo o tráfego de rede que chega à interface monitorada. Normalmente o investigador vai utilizar estas ferramentas para monitorar a atividade de rede entrando e saindo da máquina comprometida, a partir da estação forense. Esta pode ser a primeira indicação de que a máquina está comprometida.
Ex:# tethereal –i eth0 –n –x host 192.168.0.1# tethereal –i eth0 –w /data/capture.log host 192.168.0.1 and port 22# tethereal –r /data/capture.log –n –x host 192.168.0.1 and dst net
172.68.0.0/24
O Tshark é uma ferramenta para ser utilizada em terminais de texto, enquanto o Wireshark tem uma interface gráfica.
IFF [email protected] 155
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Pacote de Ferramentas ForensePor quê utilizar um pacote de ferramentas forenses?●ferramentas que facilitem o trabalho de analisar e extrair evidências de imagens de disco;●permitam recuperar arquivos removidos;●que sejam flexíveis, permitindo a análise de sistemas de arquivos diferentes;●a quantidade de dados é muito grande, então ferramentas específicas tornam o trabalho mais fácil.
IFF [email protected] 156
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Pacote de Ferramentas Forense➔EnCase, para Windows.➔Existem dois pacotes importantes para Linux: The Coroner’s Toolkit, e The Sleuth Kit➔O Sleuth Kit foi criado com base no primeiro, e possui mais funcionalidades e flexibilidade.➔Outras ferramentas facilitam o trabalho do analista, tal como o Autopsy, uma interface web para os programas do Sleuth Kit.Apresentar vídeo.
IFF [email protected] 157
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Pacote de Ferramentas ForenseSleuth Kit – Algumas caracterísitcas:➔Maior flexibilidade das ferramentas;➔Trabalha com dispositivos de disco ou imagens binárias;➔Reconhece diversos sistemas de arquivos;➔Sem custo de utilização.
IFF [email protected] 158
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
●Ferramentas do Nível de Sistema de Arquivos: Estas ferramentas processam dados gerais sobre o sistema de arquivos, tal como o layout de disco, estruturas de alocação e boot blocks.●Ferramentas do Nível de Nomes de Arquivos: Estas ferramentas processam estruturas de nomes de arquivos e de diretórios.●Ferramentas do Nível de Metadados: Estas ferramentas processam estruturas de metadados, que armazenam detalhes sobre os arquivos. Metadados são dados sobre dados. Eles armazenam informações sobre estruturas tais como entradas de diretórios na FAT, entradas MFT em sistemas NTFS, ou inodes em sistemas de arquivos UFS ou EXTFS. ●Ferramentas do Nível de Blocos de Dados: Estas ferramentas processam blocos de dados onde o conteúdo de um arquivo fica armazenado, como por exemplo clusters em um sistema FAT. ●Outras Ferramentas: Estas ferramentas têm funcionalidades diversas, mas são importantes durante a análise forense.
IFF [email protected] 159
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Sistema de Arquivos• fsstat: Mostra detalhes e estatísticas do sistema de arquivos, tal como layout, tamanho e labels.
Ex: # fsstat -f linux-ext3 /dev/hda1
FILE SYSTEM INFORMATION--------------------------------------------File System Type: EXT2FSVolume Name: Last Mount: Mon Aug 16 08:09:27 2004Last Write: Mon Aug 16 08:09:27 2004Last Check: Mon Jun 2 10:17:54 2003Unmounted properlyLast mounted on: Operating System: LinuxDynamic StructureCompat Features: Journal, InCompat Features: Filetype, Recover, Read Only Compat Features: Sparse Super, Large File,
IFF [email protected] 160
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Nomes de Arquivos• ffind: Procura por nomes de arquivos que apontem para uma dada estrutura de metadados. Ex: # ls -i /etc/passwd# ffind -f linux-ext3 /dev/hda1 <inode_passwd> • fls: Lista nomes de arquivos alocados ou apagados em um diretório.Ex: fls -a -d -r /dev/hda1fls -m / -f linux-ext3 -a -p -r /dev/hda1 > data/hda1.mac
IFF [email protected] 161
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Metadados• istat: Mostra estatísticas e detalhes sobre um determinado inode.Ex: # istat -f linux-ext3 /dev/hda1 49784
• icat: Extrai uma unidade de dados de um disco, dado o endereço do metadado que aponta para este bloco. Permite extrair um arquivo a partir de um inode, sem precisar saber o nome do arquivo.Ex: # ls -i /etc/passwd130919 /etc/passwd# icat /dev/hda1 130919 > /tmp/file.dat# md5sum /etc/passwd /tmp/file.datd8f6d74f3cf8f05792027673407b2160 /etc/passwdd8f6d74f3cf8f05792027673407b2160 /tmp/file.dat
IFF [email protected] 162
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Metadados• ifind: Procura a estrutura de metadados para o qual um determinado nome de arquivo aponta, ou a estrutura de metadados que aponta para um determinado bloco de dados.
Permite, em conjunto com o comando ffind, achar qual nome de arquivo aponta para um bloco de dados (por exemplo, o bloco de dados que contém um texto importante que se quer recuperar).
Ex: # grep –ab “hacked” /data/hda1.img# ifind -f linux-ext3 /data/hda1.img -d $((<byte_offset/block_size))# ffind -f linux-ext3 /data/hda1.img <inode_encontrado># icat -f linux-ext3 /data/hda1.img <inode_encontrado> > recuperado.dat
IFF [email protected] 163
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Metadados• ils: Lista as estruturas de metadados e seus conteúdos em um formato fácil de se tratar. O ils faz com inodes o mesmo que o fls fez com nomes de arquivos.
Ex: # ils –r –f linux-ext3 /dev/hda1 > /data/hda1.ils# ils -m -f linux-ext3 -e /data/hda1.img > /data/hda1.mac
IFF [email protected] 164
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Blocos de Dados• dstat: Mostra estatísticas e detalhes sobre um bloco de dados.Ex: dstat -f linux-ext3 /dev/hda3 185594 • dcat: Extrai um bloco de dados de um disco. Utiliza-se esta ferramenta quando não for possível identificar a qual arquivo ou inode pertence um determinado bloco. Permite recuperar dados parciais de arquivos.Ex: dcat -f linux-ext3 /dev/hda3 185594 • dls: Lista detalhes sobre unidades de dados, e pode extrair dados desalocados de um file system. Os dados desalocados contêm o espaço livre em disco e os arquivos removidos.Ex: dls -e -f linux-ext3 /dev/hda1 10000-20000 > /data/freespace.dlsdls -e -f linux-ext3 /dev/hda3 > /data/hda1.dls
IFF [email protected] 165
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Ferramentas do Nível de Blocos de Dados• dcalc: Calcula se dados em uma imagem de dados desalocados (extraido com o dls) existem na imagem original, ou vice-versa.
Este comando é usado para encontrar na imagem original onde está um bloco de dados encontrado na imagem de dados desalocados.
Ex: # grep -ab “hacked” /data/hda1.dls# dcalc -u $((<offset_dls>/<block_size>)) -f linux-ext3 /data/hda1.img
IFF [email protected] 166
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Outras Ferramentas• mmls: Mostra informações sobre o layout do disco, incluindo espaços não alocados. A saída identifica o tipo das partições e seus tamanhos, que torna fácil para usar o comando dd para extrair partições. A saída é ordenada pelo setor inicial, o que torna fácil encontrar espaços no layout.Ex: # mmls -t dos hda1.img • hfind: Para um dado arquivo suspeito, procura em bancos de dados de hash criptográficos conhecidos pela existência do arquivo, para verificar sua autenticidade. Diversos bancos de dados podem ser usados como fonte:Ex: # hfind -i md5sum /data/bindir.md5# hfind /data/bindir.md5 a26e20a9f183277af1551b8a429ae212
IFF [email protected] 167
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAmbiente e Ferramentas de Análise Forense
Outras Ferramentas• mactime: Pega a saída dos comandos ils ou fls e cria um timeline, ou linha de eventos, da atividade de arquivos no disco. O timeline é a principal ferramenta para remontar os passos de uma invasão.Ex: mactime –b /data/hda1.fls –p /etc/passwd –z GMT-3
• sorter: Analisa e ordena os arquivos em uma imagem de disco baseado em um banco de dados de assinaturas de arquivos. Serve para identificar rapidamente se existem em disco arquivos de um determinado tipo. Ex: sorter –f linux-ext3 –d /data/store_dir /dev/hda1
IFF [email protected] 168
NOÇÕES DE AUDITORIA E ANÁLISE FORENSECD de Ferramentas
• Durante uma investigação, é importante que o investigador tenha em mãos todas as ferramentas necessárias para o seu trabalho.• Deve-se criar um CD com ferramentas úteis ao trabalho do investigador.• A primeira coisa que deve existir em um CD de ferramentas forenses é um interpretador de comandos confiável.• Compilar estaticamente todas as ferramentas do CD, para evitar ser comprometido por binários ou bibliotecas suspeitas.
IFF [email protected] 169
NOÇÕES DE AUDITORIA E ANÁLISE FORENSECD de Ferramentas
• Além de um interpretador de comandos, o CD deve conter as seguintes ferramentas:– Todas as ferramentas básicas vistas anteriormente.– Todas as ferramentas do pacote forense escolhido.– Ferramentas básicas do sistema: ls, cp, mv, rm, chroot, cat, less, more, chmod, chown, chgrp, date, df, du, cut, sort, strip, tail, head, ln, arp, echo, env, hostname, id, ifconfig, pwd, touch, uniq, uptime, wc, who.– Ferramentas de manipulação de objetos e compilação: cc, ld, nm, ldd, addr2line, ar, as, gprof, objcopy, objdump, ranlib.
IFF [email protected] 170
NOÇÕES DE AUDITORIA E ANÁLISE FORENSEAnálise
Analisar imagem de teste
1 – Determinar as efidências;2 – Determinar a linha de tempo das operações;
Recommended