Tipos de Ataques Luiz Kacuta Luiz Romero Viviane Oliveira Plano de Trabalho Agenda Motivação Porque atacar? Quem são os atacantes? O que os ataques exploram? Qual o impacto para a organização? Tipos de Ataques: • IP Spoofing • Buffer overflow • Seqüestro de Sessão • Denial of Service Intrusion Detection System Objetivo Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns. 2 Novembro/2003 Motivação • 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003; 80% das empresas admitiram ter sofrido perdas financeiras; 44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000; 3 perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000); • pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque. • somente 61% das empresas utilizam Intrusion Detection Systems. Fonte: Computer Security Institute Novembro/2003 Porque atacar? • Curisiodade • Diversão • Obtenção de ganhos financeiros 4 • Espionagem industrial • Vingança (ex-funcionários, funcionários descontentes) • Desafio Novembro/2003 Quem são os atacantes? • Hackers • Crackers • White hat (hacker ético) 5 • Funcionários insatisfeitos • Ex-funcionários, ex-prestadores de serviço “Segurança é um problema social, não somente tecnológico” Novembro/2003 O que os ataques exploram? • Bugs no desenvolvimento • Senhas fracas • Mau uso de ferramentas/serviços legítimos 6 • Configuração inadequada de recursos • IDS mau implementado “Ferramentas existentes vão proteger somente contra os ataques conhecidos” Novembro/2003 Qual o impacto para a organização? • Vazamento de informações confidenciais • Modificação indevida de dados • Indisponibilidade de serviço 7 • Fraude, perdas financeiras • Reputação prejudicada • Perda de negócios, clientes e oportunidades “Algumas perdas são irreversíveis” Novembro/2003 Tipos de Ataques IP Spoofing Buffer Overflow Seqüestro de Sessão Denial of Service IP Spoofing - Definição O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. 9 A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote. Novembro/2003 IP Spoofing - Como é feito? •Exemplo 01: 10 Novembro/2003 IP Spoofing - Como é feito? •Exemplo 02: 11 Novembro/2003 IP Spoofing - Formas de exploração •Alteração básica de endereço nas configurações da rede •Utilização do roteamento de origem 12 •Exploração da relação de confiança Novembro/2003 IP Spoofing - Medidas Preventivas e Corretivas •Limitar o acesso as configurações da máquina; •Utilizar filtros ingress e egress; •Desabilitar o roteamento de origem; e 13 •Não utilizar relação de confiança nos domínios Unix. Novembro/2003 Buffer Overflow - Definição O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita. 14 Condições de buffer overflow podem geralmente resultar: - execução de códigos arbitrários nos sistemas; - modificação de dados e/ou perda de informações; - perda da controle do fluxo de execução do sistema. Novembro/2003 Buffer Overflow - Como é feito? Exemplificação: 15 Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer. Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do ataque. Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado. Novembro/2003 Buffer Overflow - Medidas Preventivas e Corretivas •Revisão nos códigos fonte; •Aplicação de patches; •Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO; 16 •Execução de sistemas com o menor privilégio; •Utilização de IPS - Intrusion Prevention System. Novembro/2003 Buffer Overflow - Ataques Conhecidos •Ping of Death; •Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas); 17 Novembro/2003 Seqüestro de Sessão - Definição Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente. 18 Também classificado como um ataque “man in the middle”. Novembro/2003 Seqüestro de Sessão - Como é feito? Atividades necessárias para seqüestro da conexão: - Encontrar o alvo - Encontrar uma sessão ativa - Executar a predição da sequência que são trocadas entre as máquinas - Tornar o computador offline - Assumir a sessão 19 Tipos de seqüestro: - Ativo - Passivo - Híbrido Novembro/2003 IP Spoofing x Seqüestro de Sessão 20 IP Spoofing Seqüestro de Sessão Novembro/2003 Seqüestro de Sessão - Medidas Preventivas e Corretivas •Utilização de criptografia •Utilização de um protocolo seguro •Limitar o número de conexões entrantes 21 •Minimizar acesso remoto •Adotar autenticação forte (menos efetivo) Novembro/2003 Denial of Service - Definição Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida. 22 Novembro/2003 Denial of Service - Como é feito? Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho: 23 - SYN Flooding - Fragmentação IP Novembro/2003 Denial of Service - SYN flooding SYN seq = x Explora o mecanismo de estabelecimento de conexão do TCP. Cliente Servidor SYN seq = y; ACK x+1 ACK y+1 24 Ações preventivas: - comparação das taxas de requisição e conexões em aberto - monitorar número de seqüência (faixa específica) - estabelecer time out da conexão - aumentar a fila de conexões Novembro/2003 Denial of Service - Fragmentação IP MTU: quantidade máxima de dados que podem passar em um pacote por meio físico. 25 Overflow da pilha TCP no momento do reagrupamento dos pacotes. Novembro/2003 Distributed Denial of Service - DDOS Diversos hosts sendo atacados simultaneamente 26 Ataque de difícil contenção Novembro/2003 Denial of Service - Medidas Preventivas e Corretivas Design robusto e efetivo da rede Limitar a largura de banda Manter os sistemas atualizados 27 Executar a menor quantidade de serviços ativo Permitir somente o tráfego necessário •Bloquear o endereço IP Novembro/2003 Intrusion Detection System - IDS Estratégias de Defesa Agenda Trinômio da Segurança IDS - Síndrome da “Bala de Prata” Conceitos Estratégias de Prevenção IDS x IPS Topologia de uma solução Política para DOS - Denial of Service Eventos de Intrusão Eventos Avaliados Outros Ataques Lógica de Funcionamento Conclusão Objetivos Descrever o funcionamento de IDS para os ataques descritos. 29 Novembro/2003 Trinômio da Segurança • Prevenção – Criptografia, – Firewall, – Vulnerabilidade 30 • Monitoração – IDS – Syslog Server • Reação Novembro/2003 IDS - Síndrome da “Bala de Prata” Intrusion Detection System A solução de todos os problemas de segurança 31 Novembro/2003 Conceitos Problemas de Gerenciamento IDS: • Altissima interação e constante monitoração. • Complexidade a detecção,monitoramento e respostas a incidentes. 32 • Falso Positivos (avalanche de informações imprecisas) • Integração com todo ambiente Novembro/2003 Conceitos Problemas de Gerenciamento IDS: 33 Novembro/2003 Estratégias de Prevenção Melhores práticas para gerenciar o IDS • Riscos, Ameaças e Vulnerabilidade; • Politica de Segurança; 34 • Estratégia de Implementação do IDS; • Auditória e Teste. Novembro/2003 IDS x IPS Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente gerar uma ação. 35 Novembro/2003 Topologia de uma solução 36 Novembro/2003 Política para DOS - Denial of Service 37 Novembro/2003 Eventos de Intrusão 38 Novembro/2003 Eventos Avaliados 39 Novembro/2003 Outros Ataques 40 Novembro/2003 Eventos Avaliados 41 Novembro/2003 Eventos Avaliados 42 Novembro/2003 Lógica de Funcionamento 43 Novembro/2003 Conclusão Cada vez mais torna-se evidente que nem tecnologia, nem políticas isoladas podem realmente oferecer proteção para sua 44 organização…as organizações que querem sobreviver necessitam desenvolver uma abordagem abrangente em relação a segurança da informação, a qual deve combinar pessoas, tecnologia e processo. Novembro/2003 Obrigado! Luiz Kacuta Luiz Romero Viviane Oliveira