O documento discute vários tipos de ataques cibernéticos, incluindo obtenção de informações (sniffing, port scanning, spoofing), interrupção de serviço (DoS, DDoS) e malware. Ele explica como cada ataque funciona e como pode ser realizado, destacando a importância de proteger sistemas e redes para prevenir invasões.
Códigos maliciosos, ataques e obtenção de informações
1. Centro Universidade Anhanguera
de Campo Grande – Unidade 1
Superint. CENTRO-OESTE
Tec. Em Redes de
Computadores
Aula 03 – Códigos Maliciosos
e tipos de Ataques
2. Questionário
• Como um Insider pode ser prejudicar uma organização?
• Qual é a definição de um Coder?
• Qual é a diferença entre um White Hat, Gray Hat e Black Hat?
• Qual é especialidade de um Phreaker?
• Cite um exemplo de um Coder que se tornou famoso citando suas
proezas.
• Defina um Lamer.
6. Spyware
• Spyware consiste num
programa automático de
computador, que recolhe
informações sobre o
usuário, sobre os seus
costumes na Internet e
transmite essa informação
a uma entidade externa na
Internet, sem o seu
conhecimento nem o seu
consentimento.
6
7. Bots
• Programa capaz de se
reproduzir através da
rede.
• O invasor consegue se
comunicar com o bot.
• Invasor pode orientá-lo a
realizar outros tipos de
ataques.
7
8. Key Logger
• Programas capazes de
gravar as suas ações
como senhas digitadas
(keyloggers ou estado
da tela e posição do
mouse em cada
instante (screen
logger)
8
9. Cavalo de Tróia
• Programa que faz mais
do que parece;
• Geralmente vem em um
anexo de e-mail;
• E-mail com texto
convincente;
• Instala outros programas;
• Atacante pode obter
acesso total ao
computador;
9
10. Backdoors
• Ponto de entrada não
autorizado;
• Pode ser criado por um
cavalo de tróia;
• Programas comuns
podem conter backdoors;
• => browsers, clientes e
e-mail, ICQ, IRC, etc;
10
11. Backdoors
• Falhas nos programas comuns abrem backdoors;
• Ex.: versões antigas do ICQ possuíam uma
vulnerabilidade que permitia a abertura de uma
backdoor;
• Para evitar isto, deve-se sempre usar versões
atualizadas do programas;
11
12. Backdoors
• Outra recomendação é utilizar os patches de
atualização.
• Os antivírus não detectam backdoors;
• Firewalls e Sistemas de Detecção de Intrusão são
úteis contra backdoors.
12
16. 0 planejamento de um ataque
• Obter de informações sobre o sistema a ser atacado
• o hacker pode atacar o sistema, por meio de uma das quatro
maneiras a seguir:
• Monitorando a rede.
• Penetrando no sistema.
• Inserindo códigos prejudiciais ou informações falsas no sistema.
• Enviando uma 'enxurrada' de pacotes desnecessários ao
sistema, comprometendo a disponibilidade do mesmo.
16
17. consequências de um ataque bem-
sucedido
• Monitoramento não autorizado.
• Descoberta e 'vazamento' de informações confidenciais.
• Modificação não autorizada de servidores e da base de dados da
organização.
• Negação ou corrupção de serviços.
• Fraude ou perdas financeiras.
• Imagem prejudicada, perda de confiança e de reputação.
• Trabalho extra para a recuperação dos recursos.
• Perda de negócios, clientes e oportunidades. 17
18. Ataques para a obtenção de informações
• Conhecer o terreno e coletar informações sobre o alvo, se possível,
sem ser notado ou descoberto, é o primeiro passo para a realização
de um ataque de sucesso.
• dumpster diving ou trashing,
• Engenharia social,
• Ataques físicos, informações livres,
• Packet sniffing;
• Port scanning;
• Scanning de vulnerabilidades;
• Firewallking; 18
19. Obtenção de Informações - Dumpster
diving ou trashing
• 0 dumpster diving ou trashing é a atividade na qual o lixo é
verificado em busca de informações sobre a organização ou a rede
da vítima, como nomes de contas e senhas, informações pessoais e
confidenciais.
• Essa técnica é eficiente e muito utilizada inclusive no Brasil. São
conhecidos os casos de incidentes em bancos, nos quais 'lixos'
foram verificados, à procura de informações importantes, que eram
trabalhadas e cruzadas com outras informações de clientes,
resultando no acess às contas desses usuários.
19
20. Obtenção de Informações – Engenharia
Social
• Método de ataque onde alguém faz uso da persuasão, explorando a
ingenuidade ou a confiança do usuário, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores
ou informações.
• Ex.: Ligação do suporte técnico solicitando informações;
• Ex.: Mensagem de e-mail, dizendo que o computador está
infectado por vírus. Ela sugere a instalação de uma ferramenta
disponível em um site para desinfecção. A real função da
ferramenta não é eliminar um vírus, mas permitir que alguém
tenha acesso ao computador e a todos os dados nele
armazenados.
20
21. Obtenção de Informações – Engenharia
Social
• Procedimento: desconfie e ligue VOCÊ para o suporte para verificar
a veracidade;
• Outros exemplos:
• Promoções;
• Convites;
• Solicitação de ajuda ou dúvida;
21
22. Obtenção de Informações – Phishing
• Mensagens falsas que se passam por determinadas instituições,
como bancos, empresas e sites de comércio eletrônico.
• Objetivo: Conhecimento de dados pessoais e financeiros dos
usuários.
• Geralmente leva o usuário a um site onde preencherá algum
formulário.
• Pode instalar “Malwares”.
• A palavra phishing (de "fishing") vem de uma analogia criada pelos
fraudadores, onde "iscas" (e-mails) são usadas para "pescar" senhas
e dados financeiros de usuários da Internet.
22
23. Obtenção de Informações – Phishing
• Principais situações envolvendo phishing:
• Mensagens que contêm links para programas maliciosos;
• Páginas de comércio eletrônico ou Internet Banking falsificadas;
• E-mails contendo formulários para o fornecimento de
informações sensíveis;
• Comprometimento do serviço de resolução de nomes (DNS).
23
26. Obtenção de Informações – Sniffing
• Técnica que consiste na captura de informações valiosas diretamente pelo
fluxo de pacotes. Também conhecida como passive eavesdropping.
• Realizado por um Sniffer;
• Sniffer – dispositivo ou programa de computador utilizado para capturar e
armazenar dados trafegando em uma rede de computadores.
• Há diversos softwares com essa capacidade, como o tcpdump, fornecido
com o Linux, o Ethereal e o Wireshark.
• Na rede ethernet todos podem ver as informações transmitidas;
• Fácil espionar as informações;
• Proteção: confidencialidade com criptografia;
26
27. Obtenção de Informações – Sniffing
• EX:. Roubo de senhas em uma conexão, no
mesmo segmento;
27
28. Obtenção de Informações – Firewalking
• O firewalking é uma técnica implementada em uma ferramenta
similar ao traceroute e pode ser utilizada para obtenção de
informações sobre uma rede remota protegida por um firewall.
• Essa técnica permite que pacotes passem por portas em um
gateway, além de determinar se um pacote com várias informações
de controle pode passar pelo gateway.
• Pode-se ainda mapear roteadores encontrados antes do firewall.
• Pode-se obter informações sobre as regras de filtragem e também
criar um mapa da topologia da rede.
28
29. Obtenção de Informações – Port Scanning
• Port Scanners – são ferramentas utilizadas para obtenção de
informações referentes aos serviços que são acessíveis e definidas
por meio do mapeamento das portas TCP e UDP.
• O intuito desse tipo de ataque é evitar o desperdício de esforço com
ataques a serviços inexistentes.
• O nmap é um dos port scanners mais utilizados e pode ser
empregado para realizar a auditoria do firewall e do IDS.
29
30. Obtenção de Informações – Port Scanning
• É o rastreamento de
portas;
• NMAP é um
programa que faz
este rastreamento;
• Atualmente
difundido em
Windows, Unix,
Linux e Mac OS;
30
31. Obtenção de Informações –
Scanning de Vulnerabilidades
• Após a identificação dos sistemas que podem ser atacados e dos
serviços que são executados, deve-se proceder à procura pelas
vulnerabilidades existentes, o que deve ser feito por um scanner de
vulnerabilidades.
• Scanners de Vulnerabilidades – são ferramentas que realizam
diversos tipos de testes na rede, à procura de falhas de segurança,
seja em protocolos, serviços, aplicativos ou sistemas operacionais. O
mapeamento anteriormente feito pelo port scanning é importante
porque a busca de vulnerabilidades pode ser realizada
especificamente para o que foi mapeado.
31
32. Obtenção de Informações – Ataque físico
• O ataque físico permite que o ataque seja realizado diretamente no
sistema, o que facilita as ações, pois não é necessário que técnicas de
ataques remotos sejam utilizadas.
• Com o acesso direto ao sistema, além do roubo do próprio
equipamento, é possível executar-se uma série de ações maliciosas ou
destrutivas, tais como copiar documentos confidenciais, ter e-mails de
terceiros, obter informações privilegiadas (como os salários de todos os
funcionários ou estratégia de novos produtos), modificar arquivos
importantes, implantar bomba lógicas, alterar configurações ou aumentar
os privilégios de alguns usuários.
• A imaginação e a intenção do atacante é que vai limitar as ações no
sistema a que ele obtém acesso físico, de modo que de pode
simplesmente destruir todas as informações, se assim desejar.
32
33. Obtenção de Informações – Man in the
Middle
• Ataque que envolve a conversação completa entre o atacante e o
atacado, tem controle sobre uma máquina no caminho entre atacado
e atacante, altera a rota entre atacado e atacante, usualmente estão
perto do atacado. Defesa: Evite ao máximo a liberação de serviços
perigosos em máquinas externas através de brechas em filtros.
• ETTERCAP é um exemplo de software que faz o ataque man-in-the-middle;
33
35. Ataque smurf
• Ataque smurf
• É um tipo de DoS;
• Atacante envia ping para broadcast;
• Com endereço de origem da vítima;
• A vítima recebe todas as respostas do ping;
35
37. Obtenção de Informações – Spoofing
• Spoofing é falsificação;
• Normalmente falsificam IP de origem;
• TCP IP não verifica a origem;
• Vários computadores podem se passar por uma única origem;
• Um computador pode se passar por várias origem;
37
38. Obtenção de Informações – Spoofing
• Atacante não recebe resposta sobre suas ações;
• Explora relação de confiança entre as máquinas;
• Prevenção: uso de filtro de ingresso e egresso nos gateways;
38
39. Obtenção de Informações – Spoofing
• DNS Spoofing:
• Ocorre quando um servidor de DNS retorna um nome falso para
um determinado IP;
• O usuário terá a sensação de esta acessando o site do nome
falso;
39
42. Ping Of Death
• Ele consiste em se enviar um pacote IP com tamanho maior que o
máximo permitido (65535 bytes), para a máquina que se deseja
atacar. O pacote é enviado na forma de fragmentos (a razão é que
nenhum tipo de rede permite o tráfego de pacotes deste tamanho) e
quando a máquina destino tenta montar estes fragmentos, inúmeras
situações podem ocorrer: a maioria da máquinas trava, algumas
reinicializam, outras abortam e mostram mensagens no console, etc.
42
43. DoS - Denial of Service (Interrupção de
Serviço)
• Ação que interrompe um serviço ou impede totalmente seu uso por usuários/entidades
legítimos
• Objetivo principal é “tirar do ar” (indisponibilizar) um serviço, apenas para causar o
transtorno/prejuízo da interrupção ou para eliminar uma proteção que assim permita
atingir outras formas de acesso não autorizado
• Tipos de ataques DoS
• Consumo de banda de rede: atacante tem banda maior que a da rede alvo ou
vários atacantes simultâneos para sobrecarga
• Consumo de recursos de sistema: criar situações de abuso ou sobrecarga que
ultrapassem o limite do recurso (buffer, HD...)
• Atingir falhas que levam à interrupção
• Adulteração de rotas/DNS: ao invés de desativar um serviço, impede o acesso ao
serviço legítimo (usa DNS Poisoning)
43
44. DoS e DDoS
• DOS distribuído, onde o invasor consegue utilizar maquinas
intermediarias para atacar uma vitima, disparando ataques
coordenados.
• Necessita instalar servidores e clientes nas maquinas intermediarias.
• Pode também apenas deixar o serviços lento;
• O serviço não precisa ser invadido;
• As informações do serviço não são roubadas ou modificadas;
44
45. DDoS e DDoS
• Ataque DDoS:
• Todos resolvessem usar o telefone ao mesmo tempo;
• O serviço telefônico ficaria fora do ar;
• Na computação, se todo resolvessem acessar um determinado site;
• O site ficaria indisponível;
45
46. DDoS e DDoS
• Personagens:
• Atacante;
• Master: máquina que comanda ou agentes;
• Agente: faz o ataque contra uma vítima;
• Cliente: aplicação instalada no Master;
• Daemon: aplicação que roda no agente, recebe
comandos do cliente;
• Vítima;
46
47. DDoS e DDoS
• Três fases do DoS:
• Fase 1: intrusão em massa;
• Fase 2: instalação de ferramentas, master e
clientes;
• Fase 3: início do ataque;
47
48. DDoS e DDoS
• Fase 1: Intrusão em massa:
• Escolhe as vítimas;
• Scan de vulnerabilidades;
• Cria lista de máquinas invadidas;
48
49. DDoS e DDoS
• Fase 2: Instalações de master e cliente:
• Instala ferramentas de DDoS;
• Master deve ser uma máquina pouco
monitorada;
• Agentes devem ser máquinas rápidas;
• Instalação de rootkit para evitar a descoberta do
ataque;
49
50. DDoS e DDoS
• Fase 3: Início do ataque:
• Envia comandos pelo Master;
• Agentes atacam a vítima;
50
52. DDoS e DDoS
• Sites já atacados:
• CNN, eBay, ZDnet, Time Warner, Amazon e
Yahoo.
• DoS atua nas vulnerabilidades do TCP IP;
• Ataque comum: TCP SYN Attack;
52
54. DDoS e DDoS
• Outros ataques DoS:
• UDP Flood Attack;
• Existem aplicações próprias para ataques de DoS e DDoS na
internet;
• TFN (tribe flood network)
• Trinoo;
• TFN2K;
54
55. DDoS e DDoS
• DDoS é um DoS em larga escala;
• É um ataque de alto risco e difícil defesa;
• Normalmente máquinas com grande poder de comunicação são
infectadas para serem agentes;
• Provedores são visados para agentes;
55
56. DDoS e DDoS - Prevenção
• Qual a prevenção para DoS e DDoS?
• Impedir que as máquinas sejam infectadas;
• Fazer scanner por ferramentas de DDoS para verificar a não
infecção;
• Verificar log´s;
• Desativar serviços não usados;
• Ter procedimentos de resposta a ataques;
• Usar Sistemas de Detecção de Intrusão;
• Filtrar pacotes suspeitos;
56
58. Quebra de Senhas
• Ataque por força bruta;
• Faz testes exaustivos para tentar descobrir
uma senha;
• Podem usar dicionários de palavras chaves;
• Podem usar heurísticas;
58
59. Quebra de Senhas
• Prevenção:
• Evitar senhas relacionadas ao usuário;
• Evitar seqüências;
• Usar maiúsculas, minúsculas, números e
caracteres especiais;
• Adotar política de troca de senhas;
59
60. Spam
• Envio de
mensagens não
solicitadas.
• Geralmente
enviadas para um
grande número de
pessoas
60
61. Falhas em aplicações e SOs
• Todo sistema computacional possui falhas.
• Os invasores criam “exploits” para explorar
essas falhas.
• Exploit: Programa malicioso projetado para explorar
uma vulnerabilidade existente em um software de
computador.
61