A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e Segurança em Redes Capítulo 19 Quarta edição por William Stallings Slides por Lawrie Brown Tradução por Paulo Werdt.

Apresentações semelhantes


Apresentação em tema: "Criptografia e Segurança em Redes Capítulo 19 Quarta edição por William Stallings Slides por Lawrie Brown Tradução por Paulo Werdt."— Transcrição da apresentação:

1 Criptografia e Segurança em Redes Capítulo 19 Quarta edição por William Stallings Slides por Lawrie Brown Tradução por Paulo Werdt

2 Capítulo 19 –Software malicioso Qual o conceito de defesa? Desviar-se de um golpe. Qual é a sua principal característica?: Esperar o golpe Sobre a guerra, Carl Von ClausewitzSobre a guerra, Carl Von Clausewitz

3 Vírus e outros conteúdos maliciosos Os vírus de computador têm tido muita publicidade. Os vírus de computador têm tido muita publicidade. Mas são apenas um tipo de software malicioso. Mas são apenas um tipo de software malicioso. Geralmente causam efeitos óbvios. Geralmente causam efeitos óbvios. Aparecem em notícias, ficção, filmes (muitas vezes de maneira exagerada) recebendo mais atenção do que realmente merecem. Aparecem em notícias, ficção, filmes (muitas vezes de maneira exagerada) recebendo mais atenção do que realmente merecem. Porém devem ser temidos. Porém devem ser temidos.

4 Software malicioso

5 Backdoor (Porta dos fundos) ou Alçapão Pontos de entrada secretos dentro de um programa. Pontos de entrada secretos dentro de um programa. Permite àqueles que conhecem o acesso burlarem procedimento de segurança usuais. Permite àqueles que conhecem o acesso burlarem procedimento de segurança usuais. Comumente usado por desenvolvedores. Comumente usado por desenvolvedores. Uma ameaça quando deixados em programas de produção, permitindo a exploração dos atacantes. Uma ameaça quando deixados em programas de produção, permitindo a exploração dos atacantes. Muito difícil para o SO bloquear. Muito difícil para o SO bloquear. Requer um bom desenvolvimento e atualização de Software. Requer um bom desenvolvimento e atualização de Software.

6 Bomba lógica Um dos tipos mais antigos de software malicioso. Um dos tipos mais antigos de software malicioso. Código embutido em programas legítimos. Código embutido em programas legítimos. Ativada quando encontra determinada condição Ativada quando encontra determinada condição Presença ou ausência de algum arquivo. Presença ou ausência de algum arquivo. Uma data/hora em particular. Uma data/hora em particular. Um usuário em particular. Um usuário em particular. Quando acionado normalmente causa danos ao sistema: Quando acionado normalmente causa danos ao sistema: Modificando ou deletando arquivos ou discos, resetando a máquina. Modificando ou deletando arquivos ou discos, resetando a máquina.

7 Cavalo de Tróia Programa com efeitos ocultos. Programa com efeitos ocultos. Em geral é superficialmente atrativo: Em geral é superficialmente atrativo: Jogos, prêmios, atualizaçãos de SW. Jogos, prêmios, atualizaçãos de SW. Executa tarefas adicionais quando roda: Executa tarefas adicionais quando roda: Permite ao atacante obter acesso indireto onde não existe acesso direto. Permite ao atacante obter acesso indireto onde não existe acesso direto. Frequentemente utilizado para propagar um vírus / worm, instalar um alçapão ou simplesmente para destruir dados. Frequentemente utilizado para propagar um vírus / worm, instalar um alçapão ou simplesmente para destruir dados.

8 Zumbi Programa que secretamente assume o lugar de outro computador ligado à rede e dessa forma lança ataques. Programa que secretamente assume o lugar de outro computador ligado à rede e dessa forma lança ataques. Geralmente utilizado para gerar ataques distribuídos de negação de serviço (DDoS). Geralmente utilizado para gerar ataques distribuídos de negação de serviço (DDoS). Conhecido por explorar falhas em sistemas de rede. Conhecido por explorar falhas em sistemas de rede.

9 Vírus Um pedaço de código auto-replicante inserido em outro código. Um pedaço de código auto-replicante inserido em outro código. cf Vírus biológico. cf Vírus biológico. Propaga a sí mesmo ? Propaga a sí mesmo ? Carrega código para fazer cópias de sí mesmo. Carrega código para fazer cópias de sí mesmo. Bem como código para realizar outras tarefas. Bem como código para realizar outras tarefas.

10 Operação de um vírus Fases de um vírus: Fases de um vírus: Dormente – Esperando por um evento gatilho. Dormente – Esperando por um evento gatilho. Propagação – Replicando para outros programas e discos. Propagação – Replicando para outros programas e discos. Desencadeamento – Por um evento para executar a carga maliciosa. Desencadeamento – Por um evento para executar a carga maliciosa. Geralmente detalha uma Maquina ou um SO específico. Geralmente detalha uma Maquina ou um SO específico. Expondo suas características e fraquezas. Expondo suas características e fraquezas.

11 Estruturas de vírus program V := {goto main; ; subroutine infect-executable :={loop: file := get-random-executable-file; if (first-line-of-file = ) then goto loop else prepend V to file; } subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if condition holds} main: main-program :={infect-executable; if trigger-pulled then do-damage; goto next;} next:}

12 Tipos de vírus Podem ser classificados de acordo com a forma como eles atacam. Podem ser classificados de acordo com a forma como eles atacam. Vírus parasitas. Vírus parasitas. Vírus residentes em memória. Vírus residentes em memória. Vírus de boot de setor. Vírus de boot de setor. stealth. stealth. Vírus polimórficos. Vírus polimórficos. Vírus metamórficos. Vírus metamórficos.

13 Macro Virus Um Macro anexado a algum arquivo de dados. Um Macro anexado a algum arquivo de dados. Interpretado pelo programa que usa o arquivo: Interpretado pelo programa que usa o arquivo: ex: Word/Excel macros ex: Word/Excel macros Usando comandos auto-executáveis e comandos de macro. Usando comandos auto-executáveis e comandos de macro. Código fica independente de plataforma. Código fica independente de plataforma. É a maior fonte das novas infecções virais. É a maior fonte das novas infecções virais. Difícil distinção entre dados e arquivos de programas. Difícil distinção entre dados e arquivos de programas. classic trade-off: "ease of use" vs "security. classic trade-off: "ease of use" vs "security. Melhorou a segurança do Word e etc… Melhorou a segurança do Word e etc… Não é mais a ameaça dominante. Não é mais a ameaça dominante.

14 Virus de Espalha-se usando cujos anexos contém vírus de macro. Espalha-se usando cujos anexos contém vírus de macro. cf Melissa cf Melissa É acionado quando o usuário abre o anexo. É acionado quando o usuário abre o anexo. Ou pior, quando o é visualizado por meio de algum script do gerenciador de . Ou pior, quando o é visualizado por meio de algum script do gerenciador de . Então propaga-se rapidamente. Então propaga-se rapidamente. Geralmente orientados para o gerenciador de Microsoft Outlook e documentos Word / Excel. Geralmente orientados para o gerenciador de Microsoft Outlook e documentos Word / Excel. Necessita de melhores SO e aplicações de segurança. Necessita de melhores SO e aplicações de segurança.

15 Worms Replicantes, mas não infectam programas. Replicantes, mas não infectam programas. Em geral, espalham-se em redes. Em geral, espalham-se em redes. ex: Morris Internet Worm em ex: Morris Internet Worm em Levaram a criação das CERTs. Levaram a criação das CERTs. Usando privilégios distribuídos aos usuários ou explorando vulnerabilidades do sistema. Usando privilégios distribuídos aos usuários ou explorando vulnerabilidades do sistema. Muito usados por hackers para criar PCs Zumbis, e assim, usá-los para novos ataques. Muito usados por hackers para criar PCs Zumbis, e assim, usá-los para novos ataques. Maior problema é a falta de segurança dos sistemas permanentemente conectados. Maior problema é a falta de segurança dos sistemas permanentemente conectados.

16 Operação de um Worm As fases de um worm são as mesmas de um vírus: As fases de um worm são as mesmas de um vírus: Dormência. Dormência. Propragação Propragação Procura por outros sistemas a infectar.Procura por outros sistemas a infectar. Estabelecimento de conexão com um sistema remoto alvo.Estabelecimento de conexão com um sistema remoto alvo. Auto replicação em um sistema remoto.Auto replicação em um sistema remoto. Acionamento.Acionamento. Execução. Execução.

17 Morris Worm Mais conhecido dos Worms clássicos. Mais conhecido dos Worms clássicos. Liberado por Robert Morris em Liberado por Robert Morris em Visava sistemas Unix. Visava sistemas Unix. Utilizando várias técnicas de propagação: Utilizando várias técnicas de propagação: Simples quebra de senha de um arquivo protegido. Simples quebra de senha de um arquivo protegido. Explorando bugs no finger daemon. Explorando bugs no finger daemon. Explorando o debug de alçapão no daemon de s de saída. Explorando o debug de alçapão no daemon de s de saída. Se qualquer ataque der certo faz auto- replicação. Se qualquer ataque der certo faz auto- replicação.

18 Ataques recentes de Worm Nova incidência de ataques em meados de Nova incidência de ataques em meados de Código vermelho – usou MS IIS bug. Código vermelho – usou MS IIS bug. Sondou IPs aleatórios em sistemas rodando IIS. Sondou IPs aleatórios em sistemas rodando IIS. Possuia gatilho de tempo para ataque DoS. Possuia gatilho de tempo para ataque DoS. A segunda onda de ataque infectou servidores em 14 horas. A segunda onda de ataque infectou servidores em 14 horas. Código vermelho 2 – Alçapão instalado. Código vermelho 2 – Alçapão instalado. Nimda – Mecanismo de múltiplas infecções. Nimda – Mecanismo de múltiplas infecções. SQL Slammer – atacou servidores MS SQL. SQL Slammer – atacou servidores MS SQL. Sobig.f – ataque abrindo servidores de proxy. Sobig.f – ataque abrindo servidores de proxy. Mydoom – inúmeros s de worm + alçapões. Mydoom – inúmeros s de worm + alçapões.

19 Tecnologia do Worm Multi-plataforma. Multi-plataforma. Exploração múltipla. Exploração múltipla. Propagação ultra-rápida. Propagação ultra-rápida. Polimórfico. Polimórfico. Metamórfico. Metamórfico. Veículos de transporte. Veículos de transporte. Exploração dia-zero. Exploração dia-zero.

20 Contramedidas a Virus Melhor contramedida é a prevenção. Melhor contramedida é a prevenção. O que em geral, não é possível. O que em geral, não é possível. Por isso, fazem-se necessários um ou mais: Por isso, fazem-se necessários um ou mais: Detecção – dos virus num sistemas infectado. Detecção – dos virus num sistemas infectado. Identificação – do vírus específico. Identificação – do vírus específico. Remoção – restauração do sistema. Remoção – restauração do sistema.

21 Softwares Anti-Virus Primeira geração Primeira geração Scanners usando a assinatura do vírus para identificá-lo. Scanners usando a assinatura do vírus para identificá-lo. Ou uma mudança no tamanho dos programas. Ou uma mudança no tamanho dos programas. Segunda geração Segunda geração Utilizando regras de heurística para encontrar infecções virais. Utilizando regras de heurística para encontrar infecções virais. Ou usando o hash de programas para encontrar mudanças. Ou usando o hash de programas para encontrar mudanças. Terceira geração Terceira geração Identificando os vírus pelas suas ações. Identificando os vírus pelas suas ações. Quarta geração Quarta geração Pacotes com uma variedade de técnicas anti-vírus. Pacotes com uma variedade de técnicas anti-vírus. Ex: varredura, Armadilhas e controle de acesso. Ex: varredura, Armadilhas e controle de acesso. E a Corrida armamentista continua... E a Corrida armamentista continua...

22 Técnicas avançadas de anti- vírus Decriptografia genérica Decriptografia genérica Usa simulação de CPU para checar programas. Usa simulação de CPU para checar programas. Chaca assinatura e comportamento antes de rodar. Chaca assinatura e comportamento antes de rodar. Sistema imunológico Digital (IBM) Sistema imunológico Digital (IBM) Emulação de propósito generalizado e detecção de vírus. Emulação de propósito generalizado e detecção de vírus. Qualquer vírus entrando é capturado, analizado, é criada a detecção/proteção para ele e então é removido. Qualquer vírus entrando é capturado, analizado, é criada a detecção/proteção para ele e então é removido.

23 Sistema Imunológico Digital

24 Software de bloqueamento Integrado com o sistema operacional do usuario. Integrado com o sistema operacional do usuario. Monitoramento de programas em tempo real. Monitoramento de programas em tempo real. Ex: Acesso a arquivos, formatação de disco, executáveis, mudanças na configuração do sistema, acesso a rede... Ex: Acesso a arquivos, formatação de disco, executáveis, mudanças na configuração do sistema, acesso a rede... Para possíveis ações maliciosas Para possíveis ações maliciosas Se detectado pode bloquear, terminar ou procurar desinfectado. Se detectado pode bloquear, terminar ou procurar desinfectado. Tem vantagem sobre scanners. Tem vantagem sobre scanners. Código malicioso roda antes da detecção. Código malicioso roda antes da detecção.

25 Ataques distribuidos de negação de serviço (DDoS) Ataques distribuidos de negação de serviço (DDoS) são ameaças significativas a segurança. Ataques distribuidos de negação de serviço (DDoS) são ameaças significativas a segurança. Tornando indisponíveis sistemas baseados em rede. Tornando indisponíveis sistemas baseados em rede. Quebrando (derrubando) sistemas de redes. Quebrando (derrubando) sistemas de redes. Inundando a rede com tráfego inútil. Inundando a rede com tráfego inútil. Usando um grande número de zumbis. Usando um grande número de zumbis. Sofisticação crescente dos ataques. Sofisticação crescente dos ataques. Batalha das tecnologias de defesa para fazer frente. Batalha das tecnologias de defesa para fazer frente.

26 Ataques distribuídos de negação de serviço (DDoS)

27 Construindo uma rede de ataque DDoS Precisa infectar um grande número de zumbís. Precisa infectar um grande número de zumbís. Precisa: Precisa: 1. Um software para implementar o DDoS ataque. 2. Uma vulnerabilidade desvendada em vários sistemas. 3. Estratégia de escaneamento para achar sistemas vulneráveis. Aleatório, lista de alvos, Topológico, Subrede local, etc... Aleatório, lista de alvos, Topológico, Subrede local, etc...

28 Contramedidas de DDoS Três grandes linhas de defesa Três grandes linhas de defesa 1. Prevenção & opção do ataque (antes). 2. Detecção & Filtragem do ataque (durante). 3. Investigação da fonte & identificação do ataque (depois). Enorme leque de possibilidades de ataque. Enorme leque de possibilidades de ataque. Por isso, evolução das contramedidas. Por isso, evolução das contramedidas.

29 Resumo Ter considerado Ter considerado Diversos programas maliciosos. Diversos programas maliciosos. Alçapões, Bombas-lógicas, Cavalos de tróia e Zumbis. Alçapões, Bombas-lógicas, Cavalos de tróia e Zumbis. Worms. Worms. Contramedidas. Contramedidas. Ataques distribuídos de negação de serviço. Ataques distribuídos de negação de serviço.


Carregar ppt "Criptografia e Segurança em Redes Capítulo 19 Quarta edição por William Stallings Slides por Lawrie Brown Tradução por Paulo Werdt."

Apresentações semelhantes


Anúncios Google