2. FUNDAMENTOS SEGURANÇA DA
INFORMAÇÃO
ROTEIRO
- Introdução;
- Etapas de um ataque;
- Tipos de ataque;
- Fontes de (in)segurança;
- Algumas medidas de segurança.
IFF wvianna@iff.edu.br 2
3. INTRODUÇÃO
Desde o surgimento da Internet, a busca por
melhores estratégias de segurança tem
aumentado consideravelmente, tendo em vista
milhares de ataques à segurança da
informação, causando perdas e pânico. Esses
ataques têm causado prejuízos financeiros e
de imagem para empresas, instituições e
pessoas físicas. Políticas de acesso e uso,
firewalls, sistemas de detecção de intrusos,
projetos de rede, backups, entre outros; têm
sido as “armas” defensivas nesta guerra da
informação.
IFF wvianna@iff.edu.br 3
4. INTRODUÇÃO
Conceito de segurança de computadores
Um computador (ou sistema computacional) é dito seguro se este atende a
três requisitos básicos relacionados aos recursos que o compõem:
confidencialidade, integridade e disponibilidade.
A confidencialidade diz que a informação só está disponível para aqueles
devidamente autorizados; a integridade diz que a informação não é
destruída ou corrompida e o sistema tem um desempenho correto, e a
disponibilidade diz que os serviços/recursos do sistema estão disponíveis
sempre que forem necessários.
IFF wvianna@iff.edu.br 4
5. INTRODUÇÃO
Conceito de incidente de segurança
Um incidente de segurança pode ser definido como qualquer evento adverso,
confirmado ou sob suspeita, relacionado à segurança de sistemas de
computação ou de redes de computadores.
São exemplos de incidentes de segurança:
* tentativas de ganhar acesso não autorizado a sistemas ou dados;
* ataques de negação de serviço;
* uso ou acesso não autorizado a um sistema;
* modificações em um sistema, sem o conhecimento, instruções ou
consentimento prévio do dono do sistema;
* desrespeito à política de segurança ou à política de uso aceitável de uma
empresa ou provedor de acesso.
IFF wvianna@iff.edu.br 5
6. INTRODUÇÃO
Conceito de vulnerabilidade
Vulnerabilidade é definida como uma falha no projeto, implementação ou
configuração de um software ou sistema operacional que, quando
explorada por um atacante, resulta na violação da segurança de um
computador.
Existem casos onde um software ou sistema operacional instalado em um
computador pode conter uma vulnerabilidade que permite sua
exploração remota, ou seja, através da rede. Portanto, um atacante
conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso
não autorizado ao computador vulnerável.
Fontes de pesquisa:
http://metasploit.com/
http://packetstormsecurity.org/
http://www.securityfocus.com/vulnerabilities
http://www.exploit-db.com/
IFF wvianna@iff.edu.br 6
7. INTRODUÇÃO
Conceito de malware
Código malicioso ou Malware (Malicious Software) é um termo genérico
que abrange todos os tipos de programa especificamente desenvolvidos
para executar ações maliciosas em um computador. Na literatura de
segurança o termo malware também é conhecido por "software
malicioso".
Alguns exemplos de malware são:
* vírus;
* worms e bots;
* backdoors;
* cavalos de tróia;
* keyloggers e outros programas spyware;
IFF
* rootkits. wvianna@iff.edu.br 7
8. INTRODUÇÃO
Vídeo sobre malware
CGI.br- Comitê Gestor da Internet no Brasil
videos/cgi-invasores-g.wmv
IFF wvianna@iff.edu.br 8
9. INTRODUÇÃO
Conceitos de segurança física e lógica
Lógica – Proteção dos dados utilizando: sistemas de
software (IDS, NIDS, filtros/firewall, anti-malware, etc),
senhas fortes, políticas de segurança, monitoração
constante do tráfego de rede, atualização dos
sistemas vulneráveis, controle de acesso lógico por
permissões, conscientização dos usuários, etc;
Física – Arquitetura de rede segura, restrição do acesso
físico, política e sistemas de backup, sistemas de
condicionamento do ar para os servidores, sistema de
fornecimento de energia elétrica initerrupta (geradores
e no-breaks), etc.
IFF wvianna@iff.edu.br 9
10. INTRODUÇÃO
Conceitos de segurança física e lógica
Segurança física
IFF wvianna@iff.edu.br 10
11. INTRODUÇÃO
O perfil dos invasores de sistemas
•Script Kid
•Larva
•Lammer
•Newbie, Noob ou a sigla NB
•Phreaker
•Hacker
•White hat (hacker ético)
•Gray hat
•Black hat
•Cracker
•Warez
•Virii
•Guru ou Coder
•Spammer
•
IFF wvianna@iff.edu.br 11
12. INTRODUÇÃO
Complexidade versus conhecimento
IFF wvianna@iff.edu.br 12
13. INTRODUÇÃO
Incidentes reportados ao CERT.br
IFF wvianna@iff.edu.br 13
15. INTRODUÇÃO
Considerações
● Segurança da informação tem que ser consideração permanente de
qualquer projeto de TI;
● Não existe segurança absoluta;
● A segurança é sempre uma questão de economia;
● A segurança é antagônico ao desempenho;
● O atacante não passa pela segurança, mas em torno dela;
● Organize suas defesas em camadas;
● Mantenha a coisa simples;
● Se não é usado um programa ou protocolo, não importa se eles têm
vulnerabilidades;
● A conscientização a respeito das vulnerabilidades é uma forma de defesa;
● Informações sobre (in)segurança são abundantes;
● A situação tende a ficar cada vez pior !
IFF wvianna@iff.edu.br 15
16. SEGURANÇA DE REDES E SISTEMAS
Etapas de um ataque
– Geralmente, as técnicas utilizadas para se planejar um
ataque, são:
– Footprinting - Obtenção de informações;
– Scanning - Identificação de serviços ativos;
– Enumeration - Identificação dos recursos que
fornecem os serviços
IFF wvianna@iff.edu.br 16
17. SEGURANÇA DE REDES E SISTEMAS
Footprinting
– “Footprinting” refere-se ao ato de coletar informações sobre o sistema alvo.
– Um atacante sempre irá recolher o máximo de informações
importantes sobre todos os aspectos de segurança de uma
organização.
– Seguindo uma metodologia estruturada os atacantes podem juntar
sistematicamente informações de uma grande variedade de fontes e
compilar esse “Footprinting”.
– Alguns recursos disponíveis:
– www.internic.net
– whois.nic.gov
– www.google.com
– www.registro.br
IFF wvianna@iff.edu.br 17
18. SEGURANÇA DE REDES E SISTEMAS
Ferramentas
•Distribuição GNU/Linux
•Backtrack
IFF wvianna@iff.edu.br 18
19. SEGURANÇA DE REDES E SISTEMAS
Scanning
– O scanning tenta identificar os serviços ativos:
– Identificam serviços TCP/UDP;
– Arquitetura do sistema;
– Faixas de IPs.
– Técnicas utilizadas:
– Ping sweeps;
– Port scans;
– Identificação de sistemas operacionais.
IFF wvianna@iff.edu.br 19
20. SEGURANÇA DE REDES E SISTEMAS
Ferramentas
•Distribuição GNU/Linux
•Backtrack
IFF wvianna@iff.edu.br 20
21. SEGURANÇA DE REDES E SISTEMAS
Ennumeration
– Processo de extrair dos sistemas alvos contas válidas,
recursos que estão expostos, falta de pathing;
– É mais intrusivo que o footprinting e o scanning;
– Técnicas:
– Coletas de nomes de usuários e grupos;
– Banners de sistemas;
– Tabelas de roteamento;
– Informações SNMP;
IFF wvianna@iff.edu.br 21
22. SEGURANÇA DE REDES E SISTEMAS
Ferramentas
•Distribuição GNU/Linux
•Backtrack
IFF wvianna@iff.edu.br 22
23. SEGURANÇA DE REDES E SISTEMAS
Tipos de Ataques
● Footprinting – Smurf Attacks
● Exploração de Bugs – IP Spoofing
● BackDoors – IP sequence prediction
● Arp cache poisoning – IP fragementation Flooding
● Denial of Service ( DoS ) – Port Scanners
● Distributed Denial of Service ( DDoS ) – Password Crackers
● SYN Flooding – Hijacking Attacks
● Syn sniping – Phishing
● XSS – Pharming – DNS
● Ping of death – Botnet
● Buffer overflow – SQL injection
● Stack overflow – Outros, muitos outros.
IFF wvianna@iff.edu.br 23
24. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (1/10)
Denial Of Service - DOS
– O objetivo principal de ataques do tipo DoS, é bastante simples:
indisponibilizar servidores de rede.
– Os ataques DoS afetam diretamente a implementação do IP, o que os
torna mais hosts, uma vez que a implementação do IP varia muito pouco
de plataforma para plataforma.
IFF wvianna@iff.edu.br 24
25. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (2/10)
Hijacking Attack
– O sequestro ( hijacking ) de TCP é oriundo de um descuido
fundamental do protocolo TCP. O TCP/IP permite que um
pacote falsificado inserido em um fluxo ative a execução de
comandos em um host remoto.
– Existem produtos disponíveis na Internet que colocam a teoria
do hijacking em prática, como o Juggernaut, Hunt e Ettercap.
IFF wvianna@iff.edu.br 25
26. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (3/10)
●Sniffers
Sniffers ou analisadores de tráfego como
também são conhecidos, são dispositivos
que capturam os pacotes que estão
trafegando pela rede.
Estes analisadores, a princípio, podem ser
utilizados para analisar o tráfego de rede e
identificar áreas que estão sofrendo com
problemas de tráfego.
Devem trabalhar em “promiscous mode”
IFF wvianna@iff.edu.br 26
27. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (4/10)
●Password Crackers
Password Crackers são ferramentas de
simulação que empregam os mesmos
algoritmos usados na criptografia de
senhas.
Estas ferramentas executam análises
comparativas para checar a validação das
senhas.
IFF wvianna@iff.edu.br 27
28. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (5/10)
● Buffer Overflow (estouro de buffer)
● É uma técnica utilizada para explorar bugs que
geram vulnerabilidade. Ocorre quando um
programa ou processo armazena mais dados
no buffer (área temporária para armazenamento
de dados) do que o previsto. O buffer é criado
para conter uma quantidade finita de dados.
Quando esta área é ultrapassada ocorre o
estouro possibilitando o desvio do programa
para operações não previstas. Esta técnica
pode ser utilizada pelos atacantes para
executar programa indevidamente em clientes e
até mesmo servidores.
IFF wvianna@iff.edu.br 28
29. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (6/10)
● Cross-site scripting (XSS)
● é um tipo de vulnerabilidade encontrada
normalmente em aplicações WEB que activam
ataques maliciosos ao injetarem scripts nos
clientes a partir de uma página WEB visitada.
Um script de exploração de XSS pode ser
usado pelos atacantes para:
- roubar sessões de usuário;
- introduzir um cavalo de tróia;
- etc.
IFF wvianna@iff.edu.br 29
30. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (7/10)
● Google Hacking - Dorks
● Muitos atacantes usam o Google para localizar
vulnerabilidades que posteriormente são
exploradas.
http://www.exploit-db.com/google-dorks/
IFF wvianna@iff.edu.br 30
31. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (8/10)
● SQL Injection
● A Injeção de SQL, mais conhecida através do
termo americano SQL Injection, é um tipo de
ameaça de segurança que se aproveita de
falhas em sistemas que interagem com bases
de dados via SQL. A injeção de SQL ocorre
quando o atacante consegue inserir uma série
de instruções SQL dentro de uma consulta
(query) através da manipulação das entrada de
dados de uma aplicação.
IFF wvianna@iff.edu.br 31
32. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (7-8/10)
A SEGUINTE DEMONSTRAÇÃO CONTÉM
IMAGENS FORTES, TÉCNICAS OBSCURAS
E MALICIOSAS. NÃO DEVE SER VISTA OU
REPRODUZIDA POR NINGUÉM.
IFF wvianna@iff.edu.br 32
33. SEGURANÇA DE REDES E SISTEMAS
Alguns tipos de ataque (9/10)
Engenharia social
– Phishing e variações
Em computação, phishing é uma forma de fraude eletrônica,
caracterizada por tentativas de adquirir fotos e músicas e
outros dados pessoais , ao se fazer passar como uma pessoa
confiável ou uma empresa enviando uma comunicação
eletrônica oficial. Isto ocorre de várias maneiras,
principalmente por email, mensagem instantânea, SMS,
dentre outros.
Atualmente esta técnica é utilizada em conjunto com outras
para promover a grande maioria dos ataques aos clientes da
Internet.
IFF wvianna@iff.edu.br 33
34. SEGURANÇA DE REDES E SISTEMAS
Nova anatomia de um ARTAQUE (10/10)
● Footpriting - who is, NSlookup, Dig, Google,
Enumeration;
● Email malicioso - customização de um malware;
● Execução do Payload;
● Dano - Black email, espionagem, destruição,
sequestro, roubo de seção, etc.
IFF wvianna@iff.edu.br 34
35. SEGURANÇA DE REDES E SISTEMAS
As fontes de (in)segurança
http://www.exploit-db.com http://packetstormsecurity.org
http://www.securityfocus.com http://www.securiteam.com/exploits
http://www.cert.org http://insecure.org/sploits.html
http://www.us-cert.gov
http://www.c4ads.org
http://nvd.nist.gov/home.cfm
http://www.nsa.gov
http://www.first.org/
http://www.gocsi.com/
http://cve.mitre.org/
http://xforce.iss.net/ http://www.technewsworld.com/perl/section
/security
http://www.securiteam.com
http://www.google.com
http://www.insecure.org
IFF wvianna@iff.edu.br 35
36. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (1/15)
●Definição da política de segurança e política de uso
aceitável;
Elaboração de uma arquitetura de rede segura;
●
Elevação do nível de segurança dos hosts;
●
●Monitoração contínua do tráfego da rede e dos
serviços;
●Definição de testes periódicos à procura de
vulnerabilidades;
Atualização periódica dos hosts;
●
Programação segura.
●
IFF wvianna@iff.edu.br 36
37. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (2/15)
Algumas característica da políticas de
segurança e política de uso.
●Definir regras para evitar a quebra de uma ou
mais de suas três propriedades fundamentais:
confidencialidade, integridade e
disponibilidade.
●Atribui direitos e responsabilidades às
pessoas que fazem uso dos recursos.
●Definir direitos e responsabilidades do
provedor dos recursos.
●Especificar ações previstas em caso de
violação da política.
IFF wvianna@iff.edu.br 37
38. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (3/15)
Arquitetura de rede segura, na medida do possível, deve
contemplar:
● Least Privilege;
● Choke Point;
● Defense In Depth;
● Weakest Link;
● Fail Safe;
● Universal Participation;
● Diversity of Defense;
● Simplicity;
● Type Enforcement (permissão).
IFF wvianna@iff.edu.br 38
39. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (4/15)
Firewall
O Firewall consiste em um conjunto de componentes
organizados de uma forma a garantir certos requisitos
de segurança. Os componentes básicos para a
construção de um firewall são:
●Packet Filters: são responsáveis pela filtragem
(exame) dos pacotes que trafegam entre dois
segmentos de rede.
●Bastion Host: computador responsável pela segurança
de um ou mais recursos (serviços) da rede.
IFF wvianna@iff.edu.br 39
40. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (5/15)
Filtro de pacotes (Packet Filters):
● Hardware;
● Software de interação (http://www.netfilter.org/);
IPTables - Linux 2.4 e 2.6.
IPChains - Linux 2.2 e 2.4.
IPFWADM - Linux 2.0.
O filtro de pacotes é apenas um dos elementos do
Firewall.
IFF wvianna@iff.edu.br 40
41. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (6/15)
Algumas distribuições GNU/Linux criadas
especialmente para implementar firewall de rede:
Astaro Security Gateway, CensorNet,
ClarkConnect, Coyote Linux, Devil-Linux,
Endian Firewall, Euronode, Gibraltar Firewall,
IPCop Firewall, Linux LiveCD Router,
m0n0wall, O-Net, pfSense, Phayoune Secure
Linux, redWall Firewall, Securepoint Firewall
& VPN Server, SmoothWall Express, Untangle
Gateway e Vyatta
IFF wvianna@iff.edu.br 41
42. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (7/15)
Algumas arquiteturas de Firewall.
A topologia física e lógica de uma rede deve ser
planejada e implementada para permitir a
implementação da política de segurança e uso
aceitável.
IFF wvianna@iff.edu.br 42
43. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (8/15)
Algumas arquiteturas de Firewall.
Existem várias topologias de redes que podem
aumentar a segurança da informação. Os seguintes
recursos geralmente são aplicados em conjunto com
uma rede bem planejada:
● Filtro de pacotes;
● Proxy;
● Filtro de conteúdo;
● Analisadores de tráfego de rede;
● Filtro de aplicação;
● Entre outros.
IFF wvianna@iff.edu.br 43
44. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (9/15)
Elevação do nível de segurança dos hosts:
●Particionamento adequado dos discos rígidos dos
servidores;
●Desativação de serviços desnecessários;
●Definição de senhas seguras;
●Atualização periódica dos servidores;
●Equipamentos e procedimentos Backup;
●Leitura periódica de logs;
●Configuração de filtragem de pacotes nos servidores;
●Definição da administração remota segura;
●Controle de acesso a proxies WEB;
●Controle de acesso a sites “indesejados”;
●Remoção de shell desnecessários;
●Segurança física dos servidores;
●Pentests periódicos e correção das vulnerabilidades.
IFF wvianna@iff.edu.br 44
45. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (10/15)
Técnicas de defecção de intruso.
IDS – Sistemas de Detecção de Intruso
Monitoração do sistema de arquivos:
Tripwire;
Aide.
HoneyPot (pote de mel)
DTK;
PortSentry;
NIDS – Sistema de Rede para Detecção de Intruso
Snort.
IFF wvianna@iff.edu.br 45
46. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (11/15)
LOGHOST
Um LogHost centralizado é um sistema
dedicado à coleta e ao armazenamento de
logs de outros sistemas em uma rede,
servindo como um repositório redundante de
logs.
IFF wvianna@iff.edu.br 46
47. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (12/15)
Leitura de Logs:
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/xferlog
last
lastlog
Outras formas de monitoração de logs:
Logcheck
LogWatch
Colorlogs
IFF wvianna@iff.edu.br 47
48. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (13/15)
Logs de comandos do Shell;
.bash_history
Detecção de sniffers;
AntiSniff
Detecção de rootkits;
Chrootkit; Aide;
Rkhunter; Tripware;
Lsat; Kem_check;
Lynis; Sam Hain;
Prelude.
IFF wvianna@iff.edu.br 48
49. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (14/15)
Verificar o que esta sendo executado:
ps –aux
netstat –vat
lsof
fuser –av porta/protocolo
who
w
IFF wvianna@iff.edu.br 49
50. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança (15/15)
Monitoração contínua do tráfego da rede e dos serviços.
●MRTG;
●Sarg;
●Webalizer;
●Snort;
●Nagios;
●Driftnet;
●Etherape;
●AutoScan.
Definição de testes periódicos à procura de vulnerabilidades.
●OpenVas/Nessus;
●Retina.
IFF wvianna@iff.edu.br 50
51. SEGURANÇA DE REDES E SISTEMAS
Medidas de segurança
Existem ataques que geralmente não são bloqueados pelo
firewall. Exemplos: XSS e SQL Injection. Estes ataques
exploram vulnerabilidades em serviços com códigos mal
escritos. Desta forma, um firewall bem configurado não
garante segurança total, pois uma porta aberta gera sempre
pelo menos uma possibilidade de ataque.
O projeto de qualquer sistema deve ter como base a
segurança da informação. Atualização periódica dos
desenvolvedores na área de segurança, uso de técnicas e
linguagens seguras são algumas ferramentas para combater
a insegurança.
IFF wvianna@iff.edu.br 51
52. SEGURANÇA DE REDES E SISTEMAS
Idiotices (1/2)
* Assumir que os usuários irão ler a política de segurança por uma
mera solicitação;
* Criar políticas de segurança que não podem ser garantidas;
* Praticar políticas de segurança que não foram devidamente
aprovadas;
* Executar testes de vulnerabilidade, mas não acompanhar os
resultados;
IFF wvianna@iff.edu.br 52
53. SEGURANÇA DE REDES E SISTEMAS
Idiotices (2/2)
* Adquirir produtos caros quando uma simples correção poderia
consertar 80% do problema;
* Banir o uso de discos USB externos e continuar sem restringir
acesso à Internet;
* Agir com superioridade frente aos colegas da área de redes,
administração de sistemas e desenvolvimento;
* Usar a mesma senha em sistemas que diferem quanto a
exposição ao risco ou criticidade de dados.
IFF wvianna@iff.edu.br 53
54. SEGURANÇA DE REDES E SISTEMAS
FIM
NÃO EXISTE PROTEÇÃO CONTRA IDIOTICE
FIM
Contato: wvianna@iff.edu.br
IFF wvianna@iff.edu.br 54