Curso: Segurança da Informação Disciplina: Mecanismo Segurança de Redes Professor: Luciano Ricardi Scorsin Data: 18/11/2009
Fluxo Identificação do Alvo/Objetivo Mapeamento do Alvo/Objetivo Exploracao de Vulnerabilidad es Elevação de Privilégios e Consolidação Procedimentos Legais Procedimentos de Restauração Análise Forense Procedimentos de Resposta a Incidente
Objetivos de Hoje Como identificar um alvo/objetivo Ferramentas auxiliares de investigação Técnicas de Defesa contra investigações
Objetivo Principal Objetivo Principal: Objetivo que vai nortear as ações e que permitirá identificar alvos e objetivos complementares. Ex: Desconfigurar site da empresa X. Remover entrada de demissão do sistema de RH. Roubo de informações privilegiadas para o projeto Y.
Alvos e Objetivos Complementares Alvo: Definição de entidade a ser investigada. Pode ser uma pessoa, um local, uma empresa, um site, um computador. Objetivo Complementar: Ação a ser realizada no alvo. Obtenção de informações, ataques a disponibilidade do alvo (incluindo DoS e assassinato), ataques à confiabilidade (desconfiguração de sites, difamação) e etc.
Identificando o Alvo/Objetivo Ex: Alvo: Site da Unimed Objetivo: Obter lista de médicos credenciados Alvos: Chefe da Seção, Sistema de RH Objetivos: Obter lista de futuros demitidos, editar a lista de futuros demitidos e remover a entrada pessoal.
Plano de Ação 1 - Avaliar Viabilidade Objetivo Principal Avaliação de Riscos Avaliação de Ganhos Análise da Relação Risco/Ganhos 2 – Listar Alvos e Objetivos Listar Alvos Primários e Secundários Avaliação do Ambiente de Presença do Alvo Rever Lista de Alvos e Objetivos
Plano de Ação Avaliar Viabilidade Objetivo Principal Avaliação de Riscos Ex: Segurança Reforçada, Cães, Câmeras, IDS. Avaliação de Ganhos Ex: Obtenção de dinheiro, Obtenção de informação valiosa etc. Análise da Relação Risco/Ganhos Ex: Ser preso não compensa a obtenção da informação.
Plano de Ação Listar Alvos e Objetivos Listar Alvos Primários e Secundários Ex: Alvos primários: Servidor Senhora da Limpeza. Alvos Secundários: ftp.algo.com.br, vizinho da senhora da limpeza. Avaliação do Ambiente de Presença do Alvo Ex: Mapeamento de rede e servidores, avaliação física de um prédio comercial. Rever Lista de Alvos e Objetivos Ex: O mapeamento de rede detectou um servidor vulneravel de SMTP, novo alvo secundário.
Como fazer Avaliar Viabilidade Objetivo Principal Avaliação de Riscos Pesquisar na Internet sobre as entidades envolvidas com o objetivo principal. Utilizar as ferramentas: Whois Dig/Nslookup Ligar para fontes ligadas às entidase envolvidas.
Como fazer Whois: ~]$ whois [Querying whois.nic.br] [whois.nic.br] % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use ( % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % :33:17 (BRST -02:00) domain: brasil.gov.br owner: PRESIDENCIA DA REPUBLICA ownerid: / responsible: Secretaria de Administração country: BR owner-c: MAR79 admin-c: MAR79 tech-c: MAR79 billing-c: MAR79 nserver: alpha.planalto.gov.br nsstat: AA nslastaa: nserver: antares.serpro.gov.br nsstat: AA
Como fazer Whois: nslastaa: nserver: trifid.serpro.gov.br nsstat: AA nslastaa: created: #24188 changed: status: published nic-hdl-br: MAR79 person: Coord. Tecnologia de Rede created: changed:
Como Fazer Listar Alvos e Objetivos Listar Alvos Primários e Secundários Utilizar parte da pesquisa de viabilidade Utilizar resultado dig/nslookup Utilizar whois para classe IP
Exercício Criar um documento com: 1 – Escolha de Objetivo Principal 2 – Avaliação dos Riscos 3 – Resultado da Analise da Relaçao Custo/Benefício 4 – Mapeamento dos Alvos e Objetivos 5 – Mapeamento do Ambiente dos Alvos
Estratégias de Defesa Monitorar sites de pesquisa sobre a existência de dados sigilosos ou que possam comprometer a segurança. Ex: lista de matriculas, blogs difamadores, dados internos. Treinamento de pessoal, desde equipes de manutenção até diretores. Avaliar o conteúdo dos sites institucionais de empresas a procura de informações que possam ser mais úteis a pessoas mal intencionadas do que ao público em geral.
Estratégias de Defesa Avaliar a possibilidade de criar entidades não existentes no “mundo real” para representar a empresa em sites que exijam identificação e que esta identificação torna-se pública. Ex: Fapesp. Servidores de DNS devem ser criteriosamente avaliados para não permitir transferencia de zonas e nem de informações que possam ser úteis para planejamento de ataques. Ex: intranet.empresa.com.br publicado no DNS público.