Ataques Ativos

Propaganda
INFORMÁTICA
Prof. Rafael Fernando Zimmermann
Introdução
A segurança da informação busca reduzir os riscos de
vazamentos, fraudes, erros, uso indevido, sabotagens,
paralisações, roubo de informações ou qualquer outra
ameaça que possa prejudicar os sistemas de informação ou
equipamentos de um indivíduo ou organização.
Princípios
C onfidencialidade
I ntegridade
D isponibilidade
A utenticidade
Confidencialidade
Significa proteger
informações contra
sua revelação para
alguém não
autorizado - interna
ou externamente.
Integridade
Consiste em
proteger a
informação contra
modificação sem a
permissão explícita
do proprietário
daquela informação.
Disponibilidade
Consiste na
proteção dos
serviços prestados
pelo sistema de
forma que eles não
sejam degradados
ou se tornem
indisponíveis sem
autorização.
Autenticidade
Identificação
correta de um
usuário ou
computador.
HACKER

Indivíduos maliciosos, em geral com profundo
conhecimento técnico, que agem com a
intenção de violar sistemas de informação,
burlando sistemas de segurança existentes.
Os ataques são as tentativas, feitas por
invasores, de agredir a D-I-C-A de um
sistema de informações.
 Eles
exploram
as
vulnerabilidades
existentes nos sistemas de informação.

Códigos Maliciosos (Malware)

Código malicioso ou Malware (Malicious Software)
é um termo genérico que abrange todos os tipos de
programa especificamente desenvolvidos para
executar ações maliciosas em um computador.
 Na literatura de segurança o termo malware
também é conhecido por "software malicioso".
 Alguns exemplos de malware são:






vírus;
worms;
backdoors;
cavalos de tróia;
keyloggers e outros programas spyware;
rootkits.
VÍRUS

é um programa de computador malicioso criado para
gerar resultados indesejados, que se auto-dissemina
sem o conhecimento do usuário, “contagiando” os
computadores que tiverem contato com ele.
 Ele precisa de um programa executável para nele se
instalar;
 infecta o sistema, faz cópias de si mesmo e tenta se
espalhar para outros computadores, utilizando-se de
diversos meios.
 Alguns vírus e outros programas maliciosos (incluindo o
spyware) estão programados para re-infectar o
computador mesmo depois de detectados e removidos.
WORMS (vermes)




são programas capazes de se autopropagar por meio de
redes.
São muito parecidos com vírus, mas ao contrário destes,
não necessitam ser explicitamente executados para se
propagar.
Enquanto um vírus infecta um programa e necessita deste
programa hospedeiro para se propagar, o Worm é um
programa completo e não precisa de outro para se
propagar.
Um worm pode ser projetado para tomar ações maliciosas
após infestar um sistema, além de se autoreplicar, pode
deletar arquivos em um sistema ou enviar documentos por
email.
TROJAN (cavalo de tróia)

é um invasor que não se reproduz.
 Ele se instala, geralmente via e-mail, e toda vez que
o computador é ligado, o trojan automaticamente é
executado sem o conhecimento do usuário.
 As ações maliciosas mais comuns são o furto de
senhas e outras informações como numero de
cartões de crédito.
 Os trojans atuais são disfarçados de programas
legítimos, embora, diferentemente de vírus ou de
worms, não criam réplicas de si (e esse é o motivo
pelo qual o Cavalo de Tróia não é considerado um
vírus).
Rootkits
A principal intenção dele é se camuflar,
impedindo que seu código seja encontrado
por qualquer antivírus.
 Um rootkit é um trojan que busca se
esconder de softwares de segurança e do
usuário utilizando diversas técnicas
avançadas de programação.

Keylogger
registrador do teclado;
 é um programa de computador do tipo
spyware cuja finalidade é monitorar tudo o
que a vítima digita, a fim de descobrir suas
senhas de banco, números de cartão de
crédito e afins.
 Muitos casos de phishing, assim como outros
tipos de fraudes virtuais, se baseiam no uso
de algum tipo de keylogger.

BACKDOOR

Backdoor (também conhecido por Porta dos
fundos) é uma falha de segurança que pode
existir em um programa de computador ou
sistema operacional, que pode permitir a
invasão do sistema por um cracker para que ele
possa obter um total controle da máquina.
 Muitos crackers utilizam-se de um Backdoor
para instalar vírus de computador ou outros
programas maliciosos, conhecidos como
malware.
Spyware

aplicativo ou programa espião
 consiste
num
programa
automático
de
computador, que recolhe informações sobre o
usuário, sobre os seus costumes na Internet e
transmite essa informação a uma entidade
externa na Internet, sem o seu conhecimento
nem o seu consentimento.
 Diferem dos cavalos de Tróia por não terem
como objetivo que o sistema do usuário seja
dominado, seja manipulado, por uma entidade
externa, por um cracker.
Phishing

é uma forma de fraude eletrônica,
caracterizada por tentativas de adquirir
informações sigilosas, tais como senhas e
números de cartão de crédito, ao se fazer
passar como uma pessoa confiável ou uma
empresa enviando uma comunicação
eletrônica oficial, como um correio ou uma
mensagem instantânea.
SPAM
envio de grande volume de mensagens não
solicitadas por seus destinatários.
 Ex.: propaganda de produtos, boatos,
propostas de ganhar dinheiro fácil etc.

Cookies

Cookies são pequenas informações que os sites
visitados por você podem armazenar em seu
browser.
 Estes são utilizados pelos sites de diversas formas,
tais como:




guardar a sua identificação e senha quando você vai de
uma página para outra;
manter listas de compras ou listas de produtos
preferidos em sites de comércio eletrônico;
personalizar sites pessoais ou de notícias, quando você
escolhe o que quer que seja mostrado nas páginas;
manter a lista das páginas vistas em um site, para
estatística ou para retirar as páginas que você não tem
interesse dos links.
Mecanismos de segurança
Firewal
l
Anti-Vírus
Backup
Criptografia
PREVENÇÃO E COMBATE




Atualizar o computador periodicamente;
Antispywares - são programas utilizados para combater
spyware, keyloggers entre outros programas espiões.
Entre esses programas estão os: firewalls, antivírus entre
outros.
Antivírus;
Firewall - nome dado ao dispositivo de uma rede de
computadores que tem por objetivo aplicar uma política de
segurança a um determinado ponto de controle da rede.
Sua função consiste em regular o tráfego de dados entre
redes distintas e impedir a transmissão e/ou recepção de
acessos nocivos ou não autorizados de uma rede para
outra
Ataques

Geralmente divididos nos seguintes tipos:




Ataques Ativos


Pesquisa de vulnerabilidade, sniffing, ...
Ataques de Senha


DoS, DDoS, buffer overflow, inundação de SYN
Ataques Passívos


Pelo alvo geral do ataque (aplicações, redes ou misto)
Se o ataque é ativo ou passivo
Pelo mecanismo de ataque (quebra de senha, exploração de
código, ...)
Força bruta, Dicionário, “hackish”, Rainbow Tables
Código malicioso (malware)

Vírus, trojans, worms, ...
Ataques Ativos

DoS/DDoS






Reduzir a qualidade de serviço a níveis intoleráveis
Tanto mais difícil quanto maior for a infra-estrutura do
alvo
Enquanto DoS é de fácil execução e pode ser corrigido,
DDoS é de difícil e não pode ser evitado
“Zombies” e Mestres (Masters), ataque smurf
BOTs e BOTNets, ataques “massificados” por banda
larga
Tipos


Consumo de Recursos (largura de banda, cpu, RAM, ...)
Pacotes malformados (todas as flags ligadas)
Ataques Ativos (cont.)

Buffer Overflow




Ataques SYN



Sobrescrever o próprio código em execução
“Shell code”, escrito em assembler
Tem como objetivo executar algum código, ou
conseguir acesso privilegiado
Fragilidade nativa do TCP/IP
Conexão de 3-vias (Syn, Syn-Ack, Ack)
Spoofing


Se fazer passar por outro ativo da rede
MITM (Man-In-The-Middle)
Dsniff
Ataques Ativos (Cont.)

Lixeiros




Documentos sensíveis mal descartados
Informações em hardwares obsoletos
Falta de Política de Classificação da Informação
Engenharia social



Kevin Mitnick
Normalmente relevada nos esquemas de segurança
Utiliza-se do orgulho e necessidade de autoreconhecimento, intrínseco do ser humano
“Um computador não estará seguro nem
quando desligado e trancado em uma sala,
pois mesmo assim alguém pode ser instruído a
ligá-lo.”
[ Kevin Mitnick – A arte de enganar/The Art of Deception ]
Ataques ativos por código
malicioso

Malware
MALicious softWARE
 Não apenas Spyware ou Adware
 “Payload” Vs Vetor


Vírus
Auto replicante
 Interfere com hardware, sistemas operacionais
e aplicações
 Desenvolvidos para se replicar e iludir detecção
 Precisa ser executado para ser ativado

Ataques ativos por código
malicioso (cont)

Cavalos de Tróia (Trojans)





Código malicioso escondido em uma aplicação
aparentemente legítma (um jogo por exemplo)
Fica dormente até ser ativado
Muito comum em programas de gerência remota (BO e
NetBus)
Não se auto replica e precisa ser executado
Bombas Lógicas



Caindo em desuso pela utilização de segurança no
desenvolvimento
Aguarda uma condição ser atingída
Chernobyl, como exemplo famoso (26, Abril)
Ataques ativos por código
malicioso (cont)

Worms






Auto replicante, mas sem alteração de
arquivos
Praticamente imperceptíveis até que todo o
recurso disponível seja consumido
Meio de contaminação mais comum através
de e-mails e/ou vulnerabilidades em
aplicações de rede
Não necessita de ponto de execução
Se multiplica em proporção geométrica
Exemplos famosos:

LoveLetter, Nimda, CodeRed, Melissa, Blaster,
Sasser, ...
Ataques ativos por código malicioso
(cont)

Back Door

Trojan, root kits e programas legítmos




VNC, PCAnyware, DameWare
SubSeven, Th0rnkit
Provê acesso não autenticado a um sistema
Rootkit



Coleção de ferramentas que possibilitam a
criação “on-demand” de backdoors
Modificam rotinas de checagem dos sistemas
operacionais comprometidos para impedir
detecção
Iniciam no boot junto com os processos do
sistema
Ataques Passívos


Normalmente utilizado antes de um ataque ativo
Pesquisa de Vulnerabilidades

Pesquisa por Portas/Serviços


http://www.insecure.org – Nmap
Escuta (sniffing)




Extremamente difícil detecção
Não provoca ruído sensível
Senhas em texto claro, comunicações não encriptadas
Redes compartilhadas Vs comutadas


Switch Vs Hub
WireShark (Lin/Win), TCPDump (Lin)


http://www.wireshark.org
http://www.tcpdump.org
Ataques Passívos (cont)

Ataques de Senha

Muito comuns pela facilidade de execução e taxa
de sucesso



Compara Hash’s, não texto
Força Bruta



Teste de todos os caracteres possíveis
Taxa de 5 a 6 Milhões de testes/seg, em um P4
Ataques de Dicionário


Reduz sensivelmente o tempo de quebra
Já testa modificado para estilo “hackish”


Cain&Abel, LC5, John The Ripper, ...
B4n4n4, C@73dr@l, P1p0c@, R007, ...
Rainbow Tables

Princípio Time Memory Trade-off (TMTO)
Download