Principais ataques Engenharia social Coleta de informação Varredura Negação de serviço Exploração de bugs Exploração de protocolos Sniffers Ataque do dicionário Código malicioso

NÃO foi projetada para Internet Uso em ambiente comerciais Tráfego de informações importantes/sensíveis Resistir a usuários/agentes maliciosos

Internet Conseqüências rede gigantesca sem controle centralizado vários caminhos para um mesmo ponto não existem limites definidos anonimato facilmente obtido SEM SEGURANÇA

Maiores Problemas Mecanismos fracos de identificação/autenticação Maioria dos meios de transmissão utilizam broadcast Ethernet IP sobre TV a Cabo Microondas e rádio Dados são transmitidos em claro

Maiores Problemas Mecanismos fracos de identificação/autenticação Protocolos “confiam” na origem dos pacotes que trafegam na Internet Muitos mecanismos de autenticação baseiam-se no endereço IP de origem do pacote CRC ou checksum não impedem falsificações (falsificador recalcula)

X Maiores Problemas Meios de transmissão em broadcast Host B Host A Permite monitorar o tráfego da rede Permite copiar dados transmitidos Placa de rede em modo promíscuo Placa de rede em operação normal Host B X Host A Para Host B

Maiores Problemas Dados são transmitidos em claro Qualquer um pode capturar dados da rede (sniffer) Qualquer um pode entender os dados sendo transmitidos Qualquer um pode alterar os dados sendo transmitidos (interceptar e retransmitir)

Protocolos Protocolos TCP/IP

Deficiências do IP Ataques de fragmentação Normal Sobreposição de fragmentos IP Header TCP Header DADOS IP Header MAIS DADOS... IP Header TCP Header DADOS IP Header MAIS DADOS...

Deficiências do IP Ataques de fragmentação DoS (Denial of Service): ocasionados por problemas de reconstrução de pacotes fragmentados Evasivos: obscurecer o ataque através de fragmentos sobrepostos, dificultando a detecção deste Ataques a portas bloqueadas: um atacante pode construir um pacote com um cabeçalho aceitável no primeiro fragmento, mas sobrescrevê-lo num segundo fragmento que possua um cabeçalho falso

Deficiências do IP IP Spoofing Origem e/ou destino do pacote IP são forjados IP Spoofing é parte de um ataque mais sofisticado Casos em que o ataque é utilizado: O atacante pode interceptar a resposta O atacante não precisa receber a resposta O atacante não quer a resposta, o seu objetivo e mandar a resposta para alguma outra maquina

Deficiências do IP IP Spoofing Atacante Host A Vítima O atacante pode interceptar a resposta From: Host A To: Vítima Atacante From: Vítima To: Host A Host A Vítima

Deficiências do IP IP Spoofing Atacante Host A Vítima O atacante não precisa receber a resposta: DoS From: Host A To: Vítima Atacante Host A Vítima

Deficiências do IP IP Spoofing Atacante Host A Vítima O atacante não quer a resposta, o seu objetivo e mandar a resposta para alguma outra maquina From: Host A To: Vítima Atacante From: Vítima To: Host A Host A Vítima

Deficiências do IP Soluções Possíveis Redes baseadas em switch: dificultam ataques passivos (sniffers) mas existe ARP redirect Regras no firewall: evitar que IPs diferentes dos da rede local saiam para a Internet evitar que IPs iguais aos da rede local entrem pela Internet

Deficiências do ICMP Cabeçalho ICMP

Mensagens ICMP Deficiências do ICMP Enumeração de alvos DoS Address-Mask Reply 18 Address-Mask Request 17 Echo Request (ping) 8 Redirect (change route) 5 Source Quench 4 Destination Unreachable 3 Echo Reply (ping) Mensagem ICMP Campo Type Enumeração de alvos DoS Descoberta da rede

Deficiências do ICMP Enumeração de alvos Host A Host B Internet Host C Echo Request Host A Internet Host B Host C Atacante Host D Host A, B, C, D

Deficiências do ICMP Smurf attack Atacante Vítima Intermediário IP Spoofing + ICMP Echo Request From: Vítima To: Intermediário Ping de Broadcast Atacante From: Intermediário To: Vítima Vítima Intermediário

Deficiências do ICMP Denial of Service Atacante Host A Vítima Source Quench, ou ICMP Redirect ou ICMP Destination Unreachable From: IP Spoofed To: Vítima Destination Unreachable Atacante From: Vítima To: Host A Host A Vítima

Deficiências do ICMP Soluções possíveis Bloquear pacotes ICMP no firewall Pode ser muito drástico Bloquear pacotes com IP de broadcast Configurar o SO para não responder a pacotes ICMP destinados a endereços de broadcast Bloquear certos pacotes ICMP destination unreachable source quench Redirect Address-mask Request Echo Request

Deficiências do TCP Cabeçalho TCP

Deficiências do TCP Network scanning techniques Utilizam combinações ilegais de flags de controle do TCP SYN FIN é o mais conhecido SYN FIN PSH, SYN FIN RST, SYN FIN RST PSH e outras variações do SYN FIN Pacotes apenas com o bit FIN setado Pacotes com todos ou nenhum flag setado

Deficiências do TCP TCP SYN - uso normal SYN SYN ACK ACK Servidor Host A DADOS Host A

Deficiências do TCP TCP SYN Flooding (negação de serviço) SYN SYN ACK Servidor Host A SYN Host A SYN Host A Host A

Deficiências do TCP TCP SYN Flooding (negação de serviço distribuída) Várias conexões são criadas junto a um servidor Servidor não consegue distinguir entre conexões legítimas e falsas

? Deficiências do TCP TCP Kill Atacante RST ACK Host A Vítima TCP DoS baseado em pacotes RST ACK para encerrar conexões Atacante ? RST ACK Host A Vítima TCP

Deficiências do TCP TCP Hijacking Possibilidade de um atacante controlar uma conexão TCP existente Forjar pacotes TCP Conhecimento do número de seqüência de uma conexão Ter conhecimento da conexão

Deficiências do TCP cat /etc/shadow TCP Hijacking Atacante Host A Vítima TCP

Deficiências do TCP Soluções possíveis Regras no firewall: barrar pacotes com combinações ilegais de flags no firewall Overhead no firewall Utilizar IDSs (Intrusion Detection System): monitorar pacotes “anormais” na rede Redes baseadas em switch: dificultam a monitoração da rede

Deficiências do UDP Cabeçalho UDP

Deficiências do UDP Difícil de ser monitorado Não é orientado a conexão Primeira resposta recebida normalmente é aceita Permite a troca de informações e comunicações ilícitas: tunelamento UDP

Deficiências do UDP Soluções Possíveis Bloquear pacotes UDP no firewall Muito drástico Pacotes DNS utilizam o protocolo UDP

Negação de Serviço DoS, ou denial-of-service Ping of Death Pacotes de ping com tamanho exagerado ping -l 65500 host Teardrop Datagramas IP são fragmentados e devem ser remontados Ataque fornece valores errados de deslocamento (valores muito grandes, valores negativos) Variações: newtear, bonk, boink

Negação de Serviço DoS, ou denial-of-service Nestea Ataque de fragmentação, informando tamanhos errados Sesquipedalian Ataque de fragmentação (primeiro fragmento de tamanho zero) Saturação da cache de roteamento Após 4096 ataques, cache satura Nenhuma nova conexão é aceita

Negação de Serviço DoS, ou denial-of-service Syn Flood Cliente envia SYN Servidor responde com SYN/ACK Cliente não responde mais Conexão cai por “time-out” Tempo entre 75 segundos a 23 minutos Ataque funciona com um pacote SYN por segundo

Negação de Serviço DoS, ou denial-of-service Smurf Attack Envio de requisições de ping em broadcast, com endereço fonte falsificado Exemplo: ICMP ECHO para x.y.z.255, a partir da vítima x.y.z.k Todas as máquinas da sub-rede (amplifying network) respondem para a máquina vítima Variação: fraggle Usa porta 7 UDP - echo em vez de ICMP

Negação de Serviço DoS, ou denial-of-service Octopus Abre o maior número possível de conexões na máquina alvo Desvantagem: Requer conexões abertas no atacante Coke: ataca WINS (Windows Internet Name Service) Pepsi: UDP flood Jolt: fragmentos super-dimensionados para Windows 9x

Negação de Serviço Impedir ataques de negação de serviço é quase impossível Toda máquina que aceita conexões do mundo externo é passível de ser atacada Distribuir os serviços para a maioria permanecer operacional Providenciar recursos suficientes para que o sistema continue funcionando mesmo com carga extrema Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema

Protocolos de Aplicação Utilizam os protocolos das camadas inferiores Possuem as mesmas deficiências DNS (Domain Name System) Telnet FTP (File Transfer Protocol) SMTP (Simple Mail Transfer Protocol) POP (Post Office Protocol)

Deficiências do DNS DNS (Domain Name System) Implementa uma base de dados distribuída com a finalidade de traduzir nomes em endereços IP e vice-versa Utiliza basicamente o protocolo UDP, podendo também utilizar o protocolo TCP

Deficiências do DNS DNS não foi projetado para ser um protocolo seguro Não se tem como verificar a veracidade da resposta de retornada por um servidor de DNS O fato de utilizar preferencialmente o UDP facilita ataques DNS Spoofing DNS Cache Poisoned

X Deficiências do DNS DNS Spoofing www.ufrgs.br ?! Servidor DNS Internet Vítima www.ufrgs.br www.ufrgs.br = IP atacante Atacante

Deficiências do DNS DNS Cache Poisoned www.ufrgs.br ?! Servidor DNS IP atacante www.ufrgs.br = IP atacante Internet Vítima www.ufrgs.br Atacante

Protocolos de Aplicação Telnet Permite acesso remoto a outras máquinas Utiliza o protocolo TCP Vulnerável as deficiências do protocolo TCP Nome e senha transmitidas em claro Dados da sessão transmitidos em claro

Protocolos de Aplicação SMTP (Simple Mail Transfer) Protocolo utilizado para transferir mensagens de correio eletrônico Utiliza o protocolo TCP Vulnerável as deficiências do protocolo TCP Dados transmitidos em claro Autenticação fraca

Protocolos de Aplicação SMTP HELO <transmissor> MAIL FROM:<remetente> RCPT TO:<destinatário> DATA QUIT

Protocolos de Aplicação POP (Post Office Protocol) Permite recuperar mensagens em sistemas de arquivos remotos (servidor de e-mail) Utiliza o protocolo TCP Vulnerável as deficiências do protocolo TCP Exige autenticação Nome e senha transmitidos em claro Dados transmitidos em claro

Protocolos de Aplicação POP USER <usuário> PASS <senha> LIST RETR <número mensagem> DELE <número mensagem> QUIT

Protocolos de Aplicação Soluções Possíveis Uso de criptografia! Uso de serviços seguros