Luiz Kacuta Luiz Romero Viviane Oliveira Tipos de Ataques Luiz Kacuta Luiz Romero Viviane Oliveira
Objetivo Plano de Trabalho Agenda Motivação Porque atacar? Quem são os atacantes? O que os ataques exploram? Qual o impacto para a organização? Tipos de Ataques: IP Spoofing Buffer overflow Seqüestro de Sessão Denial of Service Intrusion Detection System Objetivo Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns. Andy Woodfield
Motivação 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003; 80% das empresas admitiram ter sofrido perdas financeiras; 44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000; perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000); pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque. somente 61% das empresas utilizam Intrusion Detection Systems. Fonte: Computer Security Institute
Porque atacar? Curisiodade Diversão Obtenção de ganhos financeiros Espionagem industrial Vingança (ex-funcionários, funcionários descontentes) Desafio
“Segurança é um problema social, não somente tecnológico” Quem são os atacantes? Hackers Crackers White hat (hacker ético) Funcionários insatisfeitos Ex-funcionários, ex-prestadores de serviço “Segurança é um problema social, não somente tecnológico”
O que os ataques exploram? Bugs no desenvolvimento Senhas fracas Mau uso de ferramentas/serviços legítimos Configuração inadequada de recursos IDS mau implementado “Ferramentas existentes vão proteger somente contra os ataques conhecidos”
“Algumas perdas são irreversíveis” Qual o impacto para a organização? Vazamento de informações confidenciais Modificação indevida de dados Indisponibilidade de serviço Fraude, perdas financeiras Reputação prejudicada Perda de negócios, clientes e oportunidades “Algumas perdas são irreversíveis”
Tipos de Ataques IP Spoofing Buffer Overflow Seqüestro de Sessão Denial of Service
IP Spoofing - Definição O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote.
IP Spoofing - Como é feito? Exemplo 01: Andy Woodfield
IP Spoofing - Como é feito? Exemplo 02: Andy Woodfield
IP Spoofing - Formas de exploração Alteração básica de endereço nas configurações da rede Utilização do roteamento de origem Exploração da relação de confiança
IP Spoofing - Medidas Preventivas e Corretivas Limitar o acesso as configurações da máquina; Utilizar filtros ingress e egress; Desabilitar o roteamento de origem; e Não utilizar relação de confiança nos domínios Unix.
Buffer Overflow - Definição O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita. Condições de buffer overflow podem geralmente resultar: - execução de códigos arbitrários nos sistemas; - modificação de dados e/ou perda de informações; - perda da controle do fluxo de execução do sistema.
Buffer Overflow - Como é feito? Exemplificação: Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer. Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do ataque. Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado.
Buffer Overflow - Medidas Preventivas e Corretivas Revisão nos códigos fonte; Aplicação de patches; Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO; Execução de sistemas com o menor privilégio; Utilização de IPS - Intrusion Prevention System.
Buffer Overflow - Ataques Conhecidos Ping of Death; Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas);
Seqüestro de Sessão - Definição Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente. Também classificado como um ataque “man in the middle”.
Seqüestro de Sessão - Como é feito? Atividades necessárias para seqüestro da conexão: - Encontrar o alvo - Encontrar uma sessão ativa - Executar a predição da sequência que são trocadas entre as máquinas - Tornar o computador offline - Assumir a sessão Tipos de seqüestro: - Ativo - Passivo - Híbrido
IP Spoofing x Seqüestro de Sessão
Seqüestro de Sessão - Medidas Preventivas e Corretivas Utilização de criptografia Utilização de um protocolo seguro Limitar o número de conexões entrantes Minimizar acesso remoto Adotar autenticação forte (menos efetivo)
Denial of Service - Definição Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida.
Denial of Service - Como é feito? Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho: - SYN Flooding - Fragmentação IP
Denial of Service - SYN flooding Cliente Servidor SYN seq = x SYN seq = y; ACK x+1 ACK y+1 Explora o mecanismo de estabelecimento de conexão do TCP. Ações preventivas: - comparação das taxas de requisição e conexões em aberto - monitorar número de seqüência (faixa específica) - estabelecer time out da conexão - aumentar a fila de conexões
Denial of Service - Fragmentação IP MTU: quantidade máxima de dados que podem passar em um pacote por meio físico. Overflow da pilha TCP no momento do reagrupamento dos pacotes.
Distributed Denial of Service - DDOS Diversos hosts sendo atacados simultaneamente Ataque de difícil contenção
Denial of Service - Medidas Preventivas e Corretivas Design robusto e efetivo da rede Limitar a largura de banda Manter os sistemas atualizados Executar a menor quantidade de serviços ativo Permitir somente o tráfego necessário Bloquear o endereço IP
Intrusion Detection System - IDS
Estratégias de Defesa Objetivos Agenda Trinômio da Segurança IDS - Síndrome da “Bala de Prata” Conceitos Estratégias de Prevenção IDS x IPS Topologia de uma solução Política para DOS - Denial of Service Eventos de Intrusão Eventos Avaliados Outros Ataques Lógica de Funcionamento Conclusão Objetivos Descrever o funcionamento de IDS para os ataques descritos. Andy Woodfield
Trinômio da Segurança Prevenção Criptografia, Firewall, Vulnerabilidade Monitoração IDS Syslog Server Reação Andy Woodfield
IDS - Síndrome da “Bala de Prata” Intrusion Detection System A solução de todos os problemas de segurança Andy Woodfield
Conceitos Problemas de Gerenciamento IDS: Altissima interação e constante monitoração. Complexidade a detecção,monitoramento e respostas a incidentes. Falso Positivos (avalanche de informações imprecisas) Integração com todo ambiente Andy Woodfield
Conceitos Problemas de Gerenciamento IDS: Andy Woodfield
Estratégias de Prevenção Melhores práticas para gerenciar o IDS Riscos, Ameaças e Vulnerabilidade; Politica de Segurança; Estratégia de Implementação do IDS; Auditória e Teste. Andy Woodfield
IDS x IPS Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente gerar uma ação. Andy Woodfield
Topologia de uma solução Andy Woodfield
Política para DOS - Denial of Service Andy Woodfield
Eventos de Intrusão Andy Woodfield
Eventos Avaliados Andy Woodfield
Outros Ataques Andy Woodfield
Eventos Avaliados Andy Woodfield
Eventos Avaliados Andy Woodfield
Lógica de Funcionamento Andy Woodfield
Conclusão Cada vez mais torna-se evidente que nem tecnologia, nem políticas isoladas podem realmente oferecer proteção para sua organização…as organizações que querem sobreviver necessitam desenvolver uma abordagem abrangente em relação a segurança da informação, a qual deve combinar pessoas, tecnologia e processo.
Luiz Kacuta Luiz Romero Viviane Oliveira Obrigado! Luiz Kacuta Luiz Romero Viviane Oliveira