Prévia do material em texto
SISTEMAS DE INFORMAÇÕES GERENCIAIS Copyright © Todos os direitos desta obra são da Escola Superior Aberta do Brasil. www.esab.edu.br Diretor Geral Nildo Ferreira Secretário Geral: Aleçandro Moreth Diagramadores Felipe Silva Lopes Caliman Rayron Rickson Cutis Tavares Produção do Material Didático-Pedagógico Escola Superior Aberta do Brasil www.esab.edu.br 3 Sumário 1. Apresentação..........................................................................04 2. Conceituação de Segurança de Segurança e Ameaças Organizacionais ..................................................................... 05 3. Segurança Continuada .......................................................... 21 4. Port Scanning ........................................................................ 39 5. SNMP......................................................................................54 6. Plano de Contingência .......................................................... 66 7. Resumo ................................................................................. 75 8. Apresentação 2 ..................................................................... 76 9. NBR ISO/IEC de Segurança ................................................. 77 10. Medidas, Monitoramento e Riscos na Segurança ................. 92 11. Componentes de Segurança: Firewal ................................. 104 12. Gateway de Aplicação ......................................................... 120 13. Arquitetura e Projeto de Firewal .......................................... 132 14. Resumo 2 ............................................................................ 146 15. Apresentação 3 .................................................................. 147 16. NIDS e HIDS........................................................................148 17. IDS e Padronização..............................................................161 18. Fundamentos e Aprofundamento Sobre VPN......................170 19. Chaves Criptográficas ......................................................... 182 20. Autoridade Certificadora e Certificados ............................... 192 21. Resumo 3..............................................................................211 22. GLOSSÁRIO ....................................................................... 212 23. BIBLIOGRAFIA .................................................................... 213 www.esab.edu.br 4 Neste Eixo conceituaremos segurança, ameaças e o nome dos principais atacantes, Segurança Continuada, Conceituação de Segurança e Ameças e instruir como adotar uma política de segurança e contingência e Conhecer o universo de Riscos e Planejamento. www.esab.edu.br 5 INTRODUÇÃO Atualmente, as organizações por estarem acessíveis através da Web tornou-se vital e vantagem competitiva perante o concorrido mercado globalizado. Neste novo cenário, a informação torna-se o ativo mais importante da organização, pois é através de sua manipulação de forma rápida e precisa que milhares de pessoas realizem negócios em tempo real, provando a realização de transações comerciais a partir de um único clique. Para muitos o mundo atual é um sonho para conseguir acessar lugares distantes através de uma rede de computadores. Nem mesmo os inventores do TCP/IP e Internet poderiam imaginar a extensão deste projeto, bem como seu uso nos mais diversos segmentos mundiais, que causou em todo o mundo a propagação de uma nova cultura digital. Tecnicamente, alcançamos a era digital sem termos acoplados os conceitos de segurança para esta grande rede, pois o que seria apenas uma pequena rede militar tornou-se a grande rede mundial. Os protocolos não foram criados para serem utilizados em tão larga escala em termos de segurança, pois apresentam diversas vulnerabilidades. É complicado mudá-los, pois é um padrão mundial. Se de um lado, temos a necessidade das organizações em dispor seus negócios de forma rápida, fácil e acessível, de outro temos estes problemas técnicos. O objetivo desta matéria não é esgotar ao máximo o tema e, sim, fornecer conceitos importantes de segurança para serem aplicados em paradigmas do mundo real, como soluções a serem implantadas nos mais diversos níveis da Internet, para que de acordo com o www.esab.edu.br 6 valor dispensado a esta meta, seja feito o melhor aproveitamento possível da verba, direcionando os esforços a uma maior segurança das informações. Este esforço vem contrário aos objetivos da Internet, que é interligar todas as redes do mundo, porém, sem este trabalho teríamos receio de acessar a Web e disponibilizar informações pessoais ou comerciais. Este é um campo em ascensão e ainda muito restrito, porém promete grandes oportunidades para os que almejam atuar nesta área. CONCEITOS BÁSICOS DE SEGURANÇA Não adianta uma organização estar atuando virtualmente se as informações que alimentam o sistema estiverem vulneráveis. Da mesma forma que este é um fator diferencial para a globalização, a vulnerabilidade pode conduzir ao fracasso uma empresa. A Era da Informação trouxe consigo uma série de problemas pertinentes a vulnerabilidades de sistemas operacionais e protocolos, como o Code Red, que causou em torno de 2,9 bilhões de dólares de prejuízo por causar lentidão na rede devido aos sistemas operacionais Windows NT e 2000, e os diversos ataques a sites, como Yahoo, Amazon, CNN, UOL, entre outros. Também, a perda de privacidade de diversos clientes da CD Universe, devido a ataque no site bem-sucedido, onde foram roubados os números de cartão de crédito dos clientes. Porém, os maiores ataques que causam prejuízos às organizações não são os externos, mas os internos que ocorrem a partir da própria rede. Para complicar este cenário, antes queríamos que as pessoas externas a organizações não conseguissem enxergar as redes corporativas. Atualmente, o grande desafio das organizações é a disponibilização de serviços através das redes externas, Internet, www.esab.edu.br 7 como se os parceiros comerciais estivessem dentro da empresa, e para isto ocorre o acesso à rede interna. A Tecnologia da Informação (TI) no mercado globalizado Primeiramente, é preciso definir três palavras: • Dado: característica qualquer de um objeto, como um nome, data de nascimento de alguém ou a cor dos olhos de uma pessoa. Em informática, é uma seqüência qualquer de bits armazenados. • Informação: ao associarmos o nome a uma pessoa específica, com sua cor de olhos e pele, data de nascimento, temos uma informação, pois os dados começam a ter sentido. • Conhecimento: ao termos um conjunto de informações, dados pessoais, comerciais e religiosos de alguém, por exemplo, podemos traçar um melhor perfil da pessoa e dependendo deste conjunto de informações posso atuar de diferentes formas. Este agir diferente é o conhecimento, pois agrega valor ao ser humano e a organização, podendo trazer vantagem competitiva. Nas décadas 1970-1980, temos a informática como ferramenta de proteção da confidencialidade dos dados. É a época marcada pela chegada dos mainframes, das empresas com muitos funcionários que tinham dificuldades em realizar até mesmo a folha de pagamento e contabilidade. Nas décadas 1980-1990, com a chegada das redes corporativas, a TI é utilizada para guardar não mais dados, mas informações consistentes e processadas. A informática avança na administração e é parte da estratégia da empresa para minimizar seus custos. O importante é a integridade da informação. A partir da década de 1990, temos uma nova preocupação: disponibilidade. Temos as redes IP, tornando-se essencial aos negócios e são armazenadas nos sistemas informatizados não www.esab.edu.br 8 mais informações, mas conhecimentos – o objeto a ser protegido nos computadores. Atualmente, o mundo globalizado exige uma nova postura das empresas: alta competitividade na disputa de novos mercados. Mas, como conseguir atingir omaior número de mercado e ser mais eficiente do que o concorrente, oferecer um melhor produto, com maior eficiência e manter um bom relacionamento? Através de sistemas interligados via rede, que conseguem atingir clientes nos mais diversos pontos geográficos, com sistemas que provêem esta nova visão mercadológica e globalizada. Diante do exposto, para qualquer organização é necessário observar alguns requisitos, como infra-estrutura em telecomunicações e sistemas informatizados capazes de prover as necessidades do mundo atual, tornando a informática um acessório de auxílio na execução de atividades de forma centralizada e mais rápida e, principalmente, parte do negócio da organização que possibilita sua posição diante do cenário mundial. Desta forma, surge a necessidade da criação dos chamados ambientes corporativos, que nada mais é do que a interação de terceiros dentro da empresa, para que os parceiros de negócios consigam atuar de forma mais rápida e eficiente, maximizando o tempo entre a necessidade e o fechamento do negócio entre empresas, tornando-se, muitas vezes, peça fundamental e seletiva entre empresas. Como exemplo, citamos as montadoras de automóveis do Brasil. Ao ser solicitado um carro, todas as peças são solicitadas on-line aos parceiros comerciais, que as entregam dentro do prazo esquematizado, pois seguem um padrão de fabricação dependendo da demanda, e faz com que na data prometida o carro solicitado seja entregue ao cliente. Isto tudo oferece muitas vantagens às empresas, principalmente porque não é mais necessário trabalhar com grandes estoques. A tecnologia oferece ainda a possibilidade de dispor de acessos remotos a clientes externos e internos, www.esab.edu.br 9 usuários móveis e comunicação entre filiais. Do ponto de vista da segurança, temos algumas preocupações: • Diversidade de tecnologia: apesar da maioria das organizações utilizarem o TCP/IP, cada uma possui suas peculiaridades: cultura, políticas internas, perfil de usuário, que precisam ser estudadas com cuidado, pois extrapolam o lado técnico e operacional. • Preservação das informações: é vital para as organizações que possuem este tipo de transação, a confiabilidade na proteção das informações, especialmente em casos onde existe grande interação entre empresas, para que uma não consiga obter dados não permitidos, nem da própria empresa nem das empresas parceiras. • Acesso de informação: quanto mais níveis de acesso têm as informações disponíveis, maior é o custo e a complexidade do gerenciamento. Agora iremos refletir como poderemos minimizar estes impactos negativos dentro da organização, através de técnicas, metodologias e tecnologias de segurança. Ambiente corporativo – Diversidade de conexões Por que se proteger? A proteção de uma organização em TI não é apenas contra hackers, vírus e funcionários maliciosos, mas como www.esab.edu.br 10 uma garantia de que os negócios da empresa estarão disponíveis de forma fácil e flexível, favorecendo e concretizando as diversas tendências da globalização, como B2B (Business to Business), B2C (Business to Consumer) entre outros. Como exemplo, citamos o caso da Ford no Brasil que no ano de 2000, através do B2C, conseguiu realizar transações no valor de 3.311,00 milhões de dólares e do Banco do Brasil, que obteve o valor de transações on-line na ordem de 4.077,40 bilhões de dólares. Com valores tão expressivos, podemos mensurar o quanto é importante à instabilidade dos sistemas informatizados para estas e muitas empresas mundiais. Esta é uma das preocupações que temos que ter quando falamos em segurança. Outros dados que precisamos saber é que de acordo com pesquisas realizadas nos Estados Unidos (Computer Security Institute e FBI), temos um aumento substancial em incidentes de segurança, sendo que 70% envolvem a Internet, 31% sistemas internos e 18% acessos remotos. De acordo com Information Security, os números de servidores que sofreram ataques entre 2000 e 2001 dobraram e estão distribuídos da seguinte forma: 48% sofreram ataques, 39% ficaram indisponíveis e 32% ataque tipo overflow, podendo ter resultado em perda de confidencialidade. Apesar destes dados estatísticos, os ataques que mais atingem as organizações são os vírus, worms e Cavalo de Tróia, que chegou a um percentual de 89%. Estes dados estatísticos vêm reforçar a idéia da necessidade da segurança, pois em qualquer tipo de incidente, existem grandes probabilidades dos clientes não conseguirem realizar negócios devido à falta ou lentidão da instabilidade dos sistemas www.esab.edu.br 11 informatizados. Isto para a organização é perda de dinheiro e credibilidade, fator muito importante e buscado com afinco em empresas que oferecem este tipo de serviço. AS AMEAÇAS ORGANIZACIONAIS São divididas em cinco: • Ameaças físicas. • Ameaças lógicas. • Ameaça ocupacional. • Ameaça à confidencialidade. • Ameaça ambiental. Ameaças Físicas São aquelas que os recursos materiais utilizados no ambiente de informação estão expostos, colocando em risco a integridade operacional da organização. Infelizmente, em muitas empresas, se gasta muito em segurança das informações e terminam se esquecendo de proteger o patrimônio. Exemplos: • Catástrofes (momento de intensa e descontrolada distribuição): desabamento, explosões, incêndios, inundações, paralisações, sabotagem, espionagem, roubo; furtos, terrorismo, acidente, furacão, entre outros. • Supressão de serviços: infra-estrutura operacional da tecnologia vigente falha ou deixa de existir causando interrupção ou descontinuidade às organizações. • Falha de energia. • Falha de equipamentos: defeito de fabricação, má revisão, uso inadequado, tempo de vida útil do equipamento. • Temperatura do equipamento. • Queda de comunicação: por acidente natural ou erro operacional. www.esab.edu.br 12 Ameaças lógicas Ocorrem quando acontece uma modificação da capacidade funcional devido a dolo, acidente ou erro de recursos: • Hacker ou usuários que conseguem acesso e usam de forma ilegais sistemas corporativos. • Alteração e distribuição de dados de forma ilegal e destrutiva, através do uso intencional de programas maliciosos. De ponto de vista da segurança, este ato é tão criminoso quanto à destruição de bens tangíveis. • Vírus: São programas que se ocultam dentro de outros. • Vermes: Agem de forma independente, gerando cópias dele mesmo em outros sistemas. De modo geral, sua atuação consiste em distribuir programas e interromper o funcionamento da rede e sistemas computacionais. • Roubo de equipamentos portáteis, devido a informações restritas a organização. • Pirataria de software. Ameaças ocupacionais Ocorrem quando há uma desestabilização de recursos humanos, modificando a capacidade funcional da organização: • Espaço físico. • Layout. • Temperatura. • Iluminação. Ameaça à confidencialidade Ocorre quando intencional ou acidentalmente alguém consegue acesso a um recurso que não tem autorização de possuir. A privacidade é atingida por coletas ou mal uso de dados, como o recebimento de e-mails, propaganda indesejáveis, como convite ao uso de cartão de crédito em compras, tornando-se um grande problema quando acontece em excesso. www.esab.edu.br 13 Ameaça ambiental Acontece quando se aplicam os quatro itens anteriores à infra-estrutura do ambiente, ou seja, a rede de computadores: • Destruição de informação ou de outros recursos. • Modificação ou deturpação da informação. • Roubo, remoção ou perda da informação ou de outros recursos. • Revelação de informações. • Interrupção de Serviços. As ameaças podem ser acidentais, ou intencionais, podendo ser ambas ativas ou passivas: • Ameaças acidentais: não estão associadas à intenção premeditada, como os bugs de software e hardware. • Ameaças intencionais: estão associadas à intenção premeditada, como a observação de dados com ferramentas simples de monitoramento deredes e alteração de dados, baseados no conhecimento do sistema. • Ameaças Passivas: quando realizadas não resultam em qualquer modificação nas informações contidas em um sistema. • Ameaças Ativas: envolvem alterações de informações contidas no sistema, ou modificações em seu estado ou operação. www.esab.edu.br 14 OS ATACANTES CONHECENDO OS ATACANTES O Objetivo dessa unidade é fazer com que você tenha c onhecimento dos tipos de atacantes, seu perfil, como atacam e exemplos de incidentes ocorridos. Antes de conhecer como defender as organizações é preciso conhecer um pouco dos tipos de atacantes e ataques que as organizações estão sujeitas. De quem preciso me proteger? Hacker significa pessoas que utilizam seus conhecimentos para invadir sistemas de computadores, com intuito de desafiar suas habilidades. Esta definição possui denotação diferente daquela que muitas vezes empregamos: hacker é aquele que invade sistemas computacionais visando causar transtornos às vitimas. Podemos dizer que a maioria dos hackers são pessoas que colocam o conhecimento em informática como algo de destaque em suas vidas, uma forma de poder. Em geral, são excelentes programadores de linguagens de alto nível, como C, juntamente com assembler (que apesar de ser de baixo nível apresenta compatibilidade e versatilidade) e, conhecem muito bem redes de computadores. Antigamente, somente existiam hacker e cracker – aqueles que causavam danos a sistemas e roubavam informações – e, como curiosidade, os hackers não gostavam, pois acabavam sendo incorporados a eles esta característica. Atualmente, esta classificação foi alterada e de acordo com estudos realizados, temos diversas outras classificações para os diversos tipos e www.esab.edu.br 15 níveis de hacker. Os mais conhecidos: • Hackers. • Full Fledged ou Crackers. • Script kiddies ou Newbies. • Lammers. • Wannabe. • Cyberpunks. • Carders. • Phreakers. • Insiders. • Coders. • White hat. • Gray hat. • Cyberterrorista. Hackers: no mundo da Ciência da Computação ou Ciência da Informação, os hackers são analistas de sistemas que são especialistas em segurança e auditoria. Com técnicas estudadas e algumas próprias, eles procuram brechas e possíveis falhas no sistema, e relatam o que foi achado e se existe uma forma para consertar. Infelizmente este conceito de hacker mudou depois de Kevin Mitinick, que utilizava estas técnicas para roubar informações vitais principalmente do governo americano. Depois que Mitnick foi preso, a mídia mundial o chamou de hacker, e o termo ficou assim conhecido por todos como sendo a pessoa que invade e rouba informações de sistemas. Com a nova economia gerada pelos computadores e pela Internet, é comum que as empresas guardem suas informações em formato digital, e também é comum a contratação de hackers por outras empresas, para espionagem industrial. Um hacker não age somente na Internet. Para descobrir informações que possam levá-lo a conseguir completo controle sobre o sistema, faz um verdadeiro trabalho de detetive. Um livro que ilustra muito bem esta situação é “A Arte de Enganar”, do Kevin Mitnick. Hoje, ele é proibido de acessar qualquer computador e presta consultoria de segurança para diversas organizações mundiais, conforme a liberação do governo americano. No livro, ele narra vários episódios www.esab.edu.br 16 de acesso a informações sigilosas. Ele não diz que foi ele quem obteve o acesso, mas muita gente acredita que sim. Pelo sim ou pelo não, é válido ler para verificar como podemos ser enganados facilmente. Full Fledged ou Crackers: utiliza suas habilidades para invadir sistemas e roubar informações secretas das empresas, sendo os verdadeiros terroristas da Internet, com intuito de roubar e destruir dados. Não medem conseqüências, contanto que consigam o que querem. Não são de confiança e costumam ser desprezados pelos próprios hackers. É comum vender as informações para a própria vítima, ameaçando a divulgação do roubo, no caso da empresa não negociar. Este ato é chamado de blackmail. Citamos o exemplo da CD Universe que teve um cracker em seus sistemas. Ele capturou os dados de cartão de crédito dos clientes e exigiu 100 mil dólares para não divulgar. A CD Universe não atendeu a solicitação e houve a divulgação dos mesmos. Script kiddies ou Newbies: ou “novatos” são os principiantes e apesar de muitos descartarem este tipo, trazem diversos problemas para as empresa. Em geral, são pessoas inexperientes, que possuem conhecimento médio sobre como navegar na Internet, e utilizam pequenos programas para tentar invadir computadores (normalmente de usuários domésticos) disponíveis na Internet. Eles não entendem o que estão fazendo, nem o que significa o programa. São freqüentadores de salas de chat, onde procuram trocar informações com pessoas mais experientes. São perigosos para as organizações que não possuem uma política de segurança adequada, por isso apresentam algumas vulnerabilidades, como atualização de patch em servidor, sistemas operacionais e banco de dados. Porém, foi devido a este tipo de hacker que as organizações começaram a perceber o valor da segurança e realizarem procedimentos que minimizem os efeitos deste tipo de ataque, pois uma imensa maioria na Internet e também é o que www.esab.edu.br 17 mais causa incidente. Um fator interessante é que pelos conhecimentos dos scripts kiddies serem limitados, muitas vezes servidores Windows sofre ataques com comandos Unix. Lammers: são script kiddies que estão começando a entender como o programa de invasão funciona, e descobrem locais onde podem trocar informações e aprender alguma técnica de hackerismo. Gostam de falar em salas de chat que conseguem invadir sistemas, querendo se apresentar a Internet. Às vezes, em chat fazem “flood” (ou inundação de informações). Felizmente, para cada grupo de Lammers que aparecem hoje na Internet, somente uns poucos conseguem chegar a se tornar hackers propriamente ditos. Wannabe: são lammers que conseguiram invadir computadores com o uso de um programa ou parar os sistemas de um provedor pequeno ou empresa utilizando alguma técnica. O nome “Wannabe” surgiu devido ao número crescente de lammers, que “querem ser” hackers, e possuem algum conhecimento para isto. São aprendizes e se bem orientados, podem se tornar bons hackers. É comum escutar notícias de sites na Internet pichados pelos wannabe. Cyberpunks: são hackers que se dedicam à invasão por divertimento e desafio. Possuem profundos conhecimentos e preservam sua privacidade, utilizando criptografia em suas comunicações. Eles acreditam que o governo tenta captar as informações das pessoas na Internet, tornando-se um grande inimigo. São os mais extremistas que acreditam e divulgam as teorias de conspiração que, muitas vezes, encontramos na Web. Por terem um bom conhecimento e serem muito desconfiados, conseguem descobrir diversas vulnerabilidades em sistemas, serviços e protocolos, ajudando à comunidade e aos distribuidores a corrigir estes problemas. Infelizmente, as grandes empresas distribuidoras contam com esta ajuda externa e não adotam a www.esab.edu.br 18 política do desenvolvimento com segurança, caso contrário, não teríamos tantas correções em nossos sistemas computacionais. Carders: são especialistas em roubar números de cartões de crédito e utilizar estes números para comprar via Internet. Como os crackers, os carders são hackers que, ou conseguiram invadir um sistema de uma operadora de cartões de crédito, ou trabalhavam no setor de Informática de uma operadora. Este tipo de hacker costuma causar grandes prejuízos as operadoras e empresas, obrigando estas a revisar a segurança constantemente. Phreakers: são especialistas em telefonia e informática, com conhecimento suficiente para invadir um sistema utilizando o sistema de telefonia de um país, diferente daquele que está localizado. Insiders: são os responsáveis pelamaioria dos incidentes graves nas organizações. Este tipo de ataque é originário da própria organização, podendo ser realizado a partir da engenharia social ou até mesmo relação de funcionário com o chefe, através da espionagem industrial e suborno. Uma nova modalidade do crime organizado é a espionagem industrial, atribuída aos insiders. E a demanda para estes hackers é grande, pois vivemos numa sociedade baseada no conhecimento e informação. Muitas pessoas nas organizações não sabem do valor que possuem em suas mãos. Os ataques internos, apesar de ser em menor quantidade, apresentam maiores prejuízos às organizações. É o que diz uma pesquisa realizada pela Computer Crime and Security Survey – Computer Security Institute. A pesquisa mostra que os hackers são os maiores atacantes a empresas (81%) contra os funcionários internos (76%). Porém, o ataque realizado por funcionários internos resulta em maiores perdas financeiras, sendo o roubo de propriedade intelectual da organização. O valor do prejuízo por roubo destas informações correspondeu a 151 milhões de dólares e o segundo colocado – a www.esab.edu.br 19 fraude financeira – a 93 milhões de dólares. Os funcionários são as maiores ameaças para a empresa por possuírem fácil acesso a informações, por conhecer pessoas de outros setores, ou seja, a fonte de informações importantes e ter acesso a diversas informações da empresa. Insiders geralmente são funcionários insatisfeitos com a empresa ou chefe, pois são mais fáceis de ser manipulados por concorrentes, que sabem como persuadir as pessoas que se encontram neste tipo de situação. Os terceiros podem constituir um grave risco, por conhecerem a rotina da organização, informações sigilosas, hábitos e pontos fracos da empresa. É possível que aceitem suborno para transmissão destas informações, a fim de obter segredos industriais. Outro controle importante é das pessoas da limpeza e manutenção predial, pois possuem acessos a diversas áreas restritas. A engenharia social pode ser utilizada nestas pessoas para a obtenção de diversas informações importantes. Coders: são os hackers que compartilham seus conhecimentos escrevendo livros, ministrando palestras e seminários sobre sua experiência. É uma atividade lucrativa para os coders. Kevin Mitnick, mais uma vez, é um exemplo. White hat: “hackers do bem”, “hackers éticos”, samurais ou sneakers, são os que utilizam seus conhecimentos para descobrir vulnerabilidades nos sites, aplicando as correções necessárias. Trabalham de forma legal dentro da organização, exercendo a função de assegurar a segurança organizacional. Em suas atividades estão os testes de invasões, para que se possa mensurar o nível de segurança da rede, porém deve-se limitar este processo, para que dados sigilosos a empresa não sejam expostos. O serviço de um white hat é importante, mas deve-se tomar cuidado para que o mesmo não queira cobrar a mais do que o combinado a fim de aplicar a correção à www.esab.edu.br 20 vulnerabilidade. Infelizmente, é preciso constantemente realizar esta atividade, pois a cada nova implantação podemos estar disponibilizando novas brechas de segurança. Gray hat: são os black hats que fazem papel de white hats, exercendo função na área de segurança, tendo conhecimento em hacking. Empregar um gray hat é perigoso para a organização, pois muitas vezes provocam incidentes para ajudar na resolução – e receber por isto. Existem casos de gray hats que foram contratados para encontrar e corrigir vulnerabilidades, porém o serviço não foi feito. Cyberterrorista: são aqueles que realizam ataques a um alvo direcionado, escolhido cuidadosamente por questões religiosas, políticas ou comerciais, derrubando a comunicação entre a Internet e a empresa, principalmente com ataques DoS (Denial of Service). Podemos citar o ataque no site da SCO e Microsoft no ano de 2003, que devido a ataque coordenado ficou indisponível e obteve na mídia grande destaque. Vídeode segurança de redes: https://www.youtube.com/watch?v=XAsFhWIcA1I https://www.youtube.com/watch?v=XAsFhWIcA1I www.esab.edu.br 21 Segurança Continuada O mundo da segurança, seja pensando em violência urbana ou em hackers, é peculiar. Ele é marcado pela evolução contínua, no qual novos ataques têm como resposta novas formas de proteção, que levam ao desenvolvimento de novas técnicas de ataques, de maneira que um ciclo é formado. Não é por acaso que é no elo mais fraco da corrente que os ataques acontecem. De tempos em tempos os noticiários são compostos por alguns crimes “da moda”, que vêm e vão. Como resposta, o policiamento é incrementado, o que resulta na inibição daquele tipo de delito. Os criminosos passam então a praticar um novo tipo de crime, que acaba virando notícia. E o ciclo assim continua. Já foi comprovada uma forte ligação entre seqüestradores e ladrões de banco, por exemplo, na qual existe uma constante migração entre as modalidades de crimes, onde o policiamento é geralmente mais falho. Esse mesmo comportamento pode ser observado no mundo da informação, de modo que também se deve ter em mente que a segurança deve ser contínua e evolutiva. Isso ocorre porque o arsenal de defesa usado pela organização pode funcionar contra determinados tipos de ataques; porém, pode ser falho contra novas técnicas desenvolvidas para driblar esse arsenal de defesa. Veja alguns fatores que devem ser considerados para a preocupação com a segurança contínua: a. Entender a natureza dos ataques é fundamental: é preciso entender que muitos ataques são resultados da exploração de www.esab.edu.br 22 vulnerabilidades, as quais passam a existir devido a uma falha no projeto ou na implementação de um protocolo, aplicação, serviço ou sistema, ou ainda devido a erros de configuração e administração de recursos computacionais. Isso significa que uma falha pode ser corrigida, porém novos bugs sempre existirão; b. Novas tecnologias trazem consigo novas vulnerabilidades: é preciso ter em mente que novas vulnerabilidades surgem diariamente. Como novas tecnologias e novos sistemas são sempre criados, é razoável considerar que novas vulnerabilidades sempre existirão e, portanto, novos ataques também serão sempre criados. As redes sem fio (wireless), por exemplo, trazem grandes benefícios para as organizações e os usuários, porém trazem também novas vulnerabilidades que podem colocar em risco os negócios da organização; c. Novas formas de ataques são criadas: a própria história mostra uma evolução constante das técnicas usadas para ataques, que estão cada vez mais sofisticadas. A mistura de diferentes técnicas, o uso de tecnologia para cobrir vestígios a cooperação entre atacantes e a criatividade são fatores que tornam a defesa mais difícil do que o habitual; d. Aumento da conectividade resulta em novas possibilidades de ataques: a facilidade de acesso traz como conseqüência o aumento de novos curiosos e também da possibilidade de disfarce que podem ser usados nos ataques. Além disso, novas tecnologias, principalmente os novos protocolos de comunicação móvel, alteram o paradigma de segurança. Um cenário onde os usuários de telefones celulares são alvos de ataques e usados como porta de entrada para ataques a uma rede corporativa, por exemplo, é completamente plausível; www.esab.edu.br 23 e. Existência tanto de ataques direcionados quanto de ataques oportunísticos: apesar de a maioria dos ataques registrados ser oportunística, os ataques direcionados também existem em grande número. Esses ataques direcionados podem ser considerados mais perigosos, pois, existindo a intenção de atacar, a estratégia pode ser cuidadosamente pensada e estudada, e executada de modo a explorar o elo mais fraco da organização. Esses são, geralmente, os ataques que resultam em maiores prejuízos, pois não são feitos de maneira aleatória, como ocorre com os ataques oportunísticos. Isso pode ser observado também pelo nível deagressividade dos ataques. Quanto mais agressivo é o ataque, maior é o nível de esforço dispensado em um ataque a um alvo específico. É interessante notar também que a agressividade de um ataque está relacionada com a severidade, ou seja, maiores perdas; f. A defesa é mais complexa do que o ataque: para o hacker, basta que ele consiga explorar apenas um ponto de falha da organização. Caso uma determinada técnica não funcione, ele pode tentar explorar outras, até que seus objetivos sejam atingidos. Já para as organizações, a defesa é muito mais complexa, pois exige que todos os pontos sejam defendidos. O esquecimento de um único ponto faz com que os esforços dispensados na segurança dos outros pontos sejam em vão. Isso acaba se relacionando com uma das principais falácias do mundo corporativo: a falsa sensação de segurança. É interessante notar que, quando o profissional não conhece os riscos, ele tende a achar que tudo está seguro com o ambiente. Com isso, a organização passa, na realidade, a correr riscos ainda maiores, que é o resultado da negligência. Isso acontece com os firewalls ou com os antivírus, por exemplo, que não podem proteger a organização contra determinados tipos de ataques. www.esab.edu.br 24 g. Aumento dos crimes digitais: o que não pode ser subestimado são os indícios de que os crimes digitais estão se tornando cada vez mais organizados. As comunidades criminosas contam, atualmente, com o respaldo da própria Internet, que permite que limites geográficos sejam transpostos, oferecendo possibilidades de novos tipos de ataques. Além disso, a legislação para crimes digitais ainda está na fase da infância em muitos países, o que acaba dificultando uma ação mais severa para a inibição dos crimes. DICA O que é assinatura digital. http://www.jf.jus.br/cjf/tecnologia-da-informacao/ identidade-digital/o-que-e-assinatura-digital http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-assinatura-digital http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-assinatura-digital www.esab.edu.br 25 TIPOS DE ATAQUES E CLASSIFICAÇÃO CONHECENDO OS TIPOS DE ATAQUE Como os hackers agem para conseguirem invadir sistemas em ambientes cooperativos? Existe algum tipo de planejamento antes de um ataque? Se sim, quais os pontos que são monitorados? Qual é o pior tipo de ataque e o que mais compromete a disponibilidade da organização? Estas e outras perguntas serão respondidas neste capítulo. Como os hackers agem para conseguirem invadir sistemas em ambientes cooperativos? Há duas formas de um hacker conseguir informações de uma empresa: através da engenharia social e utilização de invasões técnicas. Ambas exploram as deficiências no projeto do sistema ou de seu gerenciamento. Inclusive, o gerenciamento de sistemas vem sendo algo muito pesquisado e está aumentando oportunidades de se trabalhar nas organizações nesta atividade. O maior problema para as organizações é que os softwares adquiridos não estão sendo desenvolvidos para atender o quesito segurança, mas por estratégia de marketing, que diz que o produto realiza determinada tarefa e irá estar disponível no mercado em determinada data, minimizando o tempo de desenvolvimento e teste. Construir sistemas seguros exige maior disponibilidade de www.esab.edu.br 26 tempo e uma metodologia que propicie este comportamento. Diversos testes devem ser realizados, mas a maior parte das organizações sequer testa suas aplicações devidamente, sistemas operacionais e ferramentas para gerenciamento. É fácil afirmar pela quantidade de atualizações que são necessárias no decorrer da vida útil dos softwares que utilizamos. Os hackers tentam explorar algumas condições: • As vulnerabilidades na implementação e no designer do sistema operacional, serviços aplicativos e protocolos. • Utilização de senhas de fácil dedução que podem ser obtidas através de capturas (packet sniffing). • Uso impróprio de ferramentas para gerenciamento, como sniffing – que serve para diagnosticar problemas na rede – e por scanning – identifica portas ativas do sistema, e serviços por porta. • Configuração, administração ou manutenção imprópria de sistemas coordenados por componentes de segurança, o que salienta a necessidade de se realizar as configurações dos componentes de forma apropriada. Ter um Firewall na rede não significa que a rede está protegida, e se aplica aos Sistemas de Detecção de Intrusão (IDS) mal configurados. A maior parte dos hackers na Internet são os newbies ou script kiddies e seus ataques são os mais simples (atacam vulnerabilidades do sistema operacional ou parecido, através de programas disponíveis da Web). Ao menos, este tipo de ataque deve não comprometer a continuidade dos negócios da empresa. As ferramentas de defesa, monitoração de rede, planos de contingência e política de respostas a incidentes vem a combater os hackers constantemente, porém é complicado disponibilizar defesas a novos tipos de ataques, por isso é importante que existam políticas e administradores de redes voltados à segurança. www.esab.edu.br 27 Existe algum tipo de planejamento antes de um ataque? Os motivos que levam um hacker a invadir um site são diversos. Os script kiddies nem sabem o que estão fazendo, mas querem realizar ataques. Os insiders ou black hats têm um perfil diferente, realmente querem roubar informações sigilosas e invadir sistemas causando prejuízos às vitimas, causando os maiores transtornos aos sites. Os cyberterroristas também são perigosos para seus alvos, pois podem comprometer a infra-estrutura até mesmo de uma nação. Se um hacker com a experiência deles decidem invadir algum sistema obtendo primeiramente a maior quantidade de informações de seu alvo. Após conseguir o levantamento dos dados, eles utilizam os seguintes recursos: • Monitoração de rede. • Penetração no ambiente corporativo. • Inserção de códigos prejudiciais e/ou informações falsas no sistema. • Envio de muitos pacotes com a finalidade de derrubar o sistema. As conseqüências são diversas, pois depende da segurança implementada na rede atacada. Exemplos: • Monitoração por parte dos hackers na rede corporativa. • Roubo de informações confidenciais a empresa. • Alteração em sistemas corporativos, especialmente em base de dados e servidores. • Negação de serviços a usuários com permissão de acesso. • Fraudes e perdas financeiras. www.esab.edu.br 28 • Perda da credibilidade perante o mercado. • Trabalho extra e indisponibilidade para clientes devido à recuperação dos recursos. Salienta-se o fato de que os hackers tentam esconder suas evidências de ataque, alterando logs do sistema operacional, trocando arquivos de configuração, entre outros procedimentos. Entretanto, existem formas de não permitir estes processos, através dos Sistemas de Detecção de Intrusão. Etapas básicas para a metodologia de ataque Extraído do site www.microsoft.com Tipos de Ataques O sucesso do ataque de um hacker está em obter informações de um sistema sem ser percebido. Relacionaremos os principais tipos de ataques e as técnicas utilizadas para obtenção de informações confidenciais, dividindo-os nos seguintes tipos: • Ataques para obtenção de informações. • Ataques físicos. • Ataques de negação de serviços ou Denial Of Service (DoS). http://www.microsoft.com www.esab.edu.br 29 • Ataques ativos contra o protocolo TCP. • Ataque no nível de aplicação. • War Dialing. Ataques para obtenção de informações: a. Dumpster diving ou trashing: várias empresas desconhecem o valor do lixo de sua empresa, ao contrário de um hacker que examina os lixos em busca de informações importantes para o ataque, e conseguem na maioria das vezes. No livro “A Arte de Enganar”, Kevin Mitnick mostra muitas situações semelhantes. No Brasil, esta técnica é muito utilizada pelos hackers, pois nossa cultura é menosprezar o valor do lixo. Para amenizar esterisco, é importante distribuir fragmentadoras de papéis, pra evitar que o cruzamento das informações, que constam em papéis descartados no lixo, sejam cruzadas e transformadas em acesso a informações de clientes ou usuários. Esta prática deve ser incorporada à política da empresa. b. Engenharia social: é a técnica que explora as fraquezas humanas e sociais, ao invés da tecnologia, com objetivo de persuadir as pessoas, enganando e empregando falsas identidades, a fim de obter informações como senhas, ou dados que sejam importantes para invadir o sistema. Muitas vezes, é utilizado termos da própria organização para obter êxito neste processo. De forma clássica, o hacker se passa por alguém da alta hierarquia da empresa e consegue as informações que precisam, ou usa novos funcionários contratados para conseguirem dados que de outra forma não conseguiriam. Exemplos: 1: Um desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor, e que sua conexão com a Internet está www.esab.edu.br 30 apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome. 2: Você recebe uma mensagem via e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados. 3: Você recebe uma mensagem via e-mail, onde o remetente é o gerente ou o departamento de suporte do seu banco. Na mensagem é mencionado que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado a mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso à conta bancária e enviá-la para o atacante. Os discursos apresentados nos exemplos mostram ataques típicos de engenharia social que procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas. Citamos o exemplo ocorrido à AOL em outubro de 1998, que através da engenharia social, um hacker conseguiu alterar o DNS e direcionar todo o tráfego para um outro servidor, que não era do provedor. www.esab.edu.br 31 Ataques físicos É caracterizado por roubo de equipamentos, softwares ou fitas magnéticas e é dos métodos de ataques mais comuns. Citamos o exemplo do famoso Kevin Poulser, que roubou diversos equipamentos do provedor de acesso de diversas organizações, quebrando o sigilo e confidencialidade de diversas empresas. Informações livres e disponíveis na Internet: distribuídas livremente na Internet e consideradas não intrusivas são valiosas para ataques direcionados. Citamos o exemplo das consultas ao DNS, análise de cabeçalhos de e-mail e busca de informações em lista de discussões. Baseado nestes tipos de dados é possível descobrir detalhes sobre sistemas, topologia e dados de usuários que podem servir num ataque, mesmo de forma inconsciente para quem o fornece. Citamos também as listas de discussões que muitas vezes constam informações da pessoa, como cargo e setor, e dos superiores em caso de mensagens mal formadas de ausência. Outros exemplos são os protocolos Simple Network Management Protocol (SNMP) e o Netbios, e serviços como finger, ruses, systat, netstat, todos os casos disponibilizam informações do tipo de sistema operacional e sua versão. Packet Scanning ou eavesdropping: consiste na captura de pacotes que trafegam pela rede. Diversos softwares realizam esta tarefa, como snoop do Solaris, tcpdump do Linux, utilizados para resolução de problemas de rede. As informações obtidas pelos sniffers são referentes a pacotes que trafegam pelo segmento que o software esta funcionando. Disponibilizam diversas ferramentas de filtros, que auxiliam na detecção de problemas e identificação de transações. Fazer sniffer na rede é muito importante para os administradores, porém em mãos de hackers é um grave problema para a organização. Para minimizar este problema, é recomendável segmentar a rede, através de switch ou roteadores, pois este procedimento dificulta o entendimento do tráfego. www.esab.edu.br 32 Outros tipos de informação capturada através de sniffers são as senhas sem criptografia, ou seja, que trafegam com FTP, Telnet ou Pop. Os e-mails também perdem sua confidencialidade através dos sniffers. Como medida de segurança, é recomendável o uso de criptografia, como SSH ou IPSec, ao invés do Telnet. É importante também, o uso de criptografia nos e-mails. Há técnicas diversas para descobrir se um sniffer está sendo executado. Um deles e mais simples é verificar se existe, em cada equipamento da rede, seu processo em execução, porém é comum que os hackers o inibam da lista, dificultando a percepção dos administradores. O mesmo ocorre com a verificação de equipamentos em execução de modo promíscuo. Uma forma de amenizar o problema de execução de sniffer por hackers é a utilização de tráfego com senha. A identificação do hacker é feita quando o mesmo tentar acessar recursos com uma senha não válida, porém ele consegue efetuar algumas transações de forma legítima, inclusive com os dados do usuário que ele roubou. . O Mac Detecction é uma forma de o hacker aproveitar a vulnerabilidade do endereço IP em equipamentos que não estão implementados o TCP/IP corretamente, utilizando um MAC Address falso, onde o IP não confere com o MAC Address de equipamentos em modo promíscuo. O DNS Detecction utiliza a característica de alguns sniffers de realizar o DNS Reverso onde um tráfego com endereço falso é colocado na rede e, o sniffer captura o tráfego e tenta resolver o nome através do DNS. O DNS consegue saber quantos sniffers estão na rede, porém não consegue localizar os segmentos. O Load Detecction é a detecção a partir do comportamento de um equipamento quanto a tempo de resposta, levando em consideração que o equipamento onde está sendo executado sniffer possui um tempo de resposta maior do que o normal. Em geral, é enviado um pacote teste para realizar a análise estatística. Entretanto, esta técnica não funciona com eficiência em redes de www.esab.edu.br 33 muito tráfego e banda considerável, pois torna-se semelhante o tempo de resposta com e sem sniffer. Um caso prático: Como proteger sua senha contra Sniffers: se o usuário possui uma senha adequada, a troca é realizada com certa regularidade e um dia é surpreendido por uma invasão em sua conta, por exemplo. As evidências indicam que invasões a contas de terceiros partiram de sua conta e você não tem a menor idéia do que está acontecendo. Isto é, alguém pode ter feito uso de sua conta e realizou estes atos como sendo você. Como isso pode ter acontecido? Uma forte possibilidade é que você tenha sido vítima de um ataque de sniffer. Mas, o que é isso? Sniffers são programas que permitem a um atacante roubar sua senha e assim utilizar a sua conta como se fosse você. Estes tipos de ataques são comuns. É muito importante que você, como usuário Internet, tenha consciência de como suas senhas são vulneráveis e como tomar medidas apropriadas para tornar sua conta mais segura. Selecionar uma boa senha e regularmente trocar de senha ajuda bastante, mas também é muito importante que se conheça quando se está vulnerável a sniffers e como lidar com eles. Os sniffers são programas que permitem monitorar a atividade da rede registrando nomes (username esenhas) sempre que estes acessam outros computadores da rede. Atuam monitorando o fluxo de comunicação entre os computadores. Estes programas ficam monitorando o tráfego da rede para capturar acessos a serviços de redes, como serviço de e-mail remoto (IMAP e POP), acesso remoto (telnet, rlogin, etc), transferência de arquivos (FTP), etc., com objetivo de obter a identificação de acesso à conta do usuário, caso esteja nas mãos de um hacker. Cada um destes serviços utiliza um protocolo que define como uma sessão é estabelecida, como sua conta é identificada e autenticada e como o serviço é utilizado, e ao ser disponibilizado solicita uma autenticação, usuário e senha, neste www.esab.edu.br 34 momento o hacker obtém sucesso na sua tentativa de saber dados alheios, ou seja, os dados que mais interessam no snifffer, neste caso, são os do inicio da sessão. A figura seguinte mostra o processo de “conversação” entre duas máquinas remotas, onde a identificação do usuário passa “abertamente” pela rede de uma máquina para outra. Transferência de arquivos via FTP A máquina A inicia a conexão com a máquina B, que solicita identificação do usuário. Este ao se autenticar na máquina remota B tem sua senha capturada pelo sniffer. Para entender como um “sniffer” funciona é preciso saber que cada computador em uma LAN compartilhada pode visualizar todos os pacotes de dados que transitam de um computador a outro desta LAN. Assim, cada computador desta rede pode executar um programa sniffer que verificará os pacotes, podendo os salvar em um arquivo. Basicamente, os seguintes passos são executados por atacantes: Passo 1: O atacante, ao penetrar em sua rede, quebrando uma determinada máquina. Passo 2: Instala um programa sniffer. Passo 3: Este programa monitora a rede em busca de acesso a www.esab.edu.br 35 serviços de rede, as capturas são realizadas e registradas em um log file. Passo 4: Em seguida, o arquivo de log é recuperado pelo atacante. Existem diversas razões que levam pessoas a roubar senhas, desde para simplesmente para perturbar alguém, desafiar conhecimentos ou praticar atividades ilegais (invasão em outros computadores, roubo de informações, etc). Um atrativo para os hackers é a capacidade de utilizar a identidade de terceiros nestas atividades. Uma das principais razões que atacantes tentam quebrar sistemas e instalar sniffers é poder capturar rapidamente o máximo de contas possível, a fim de ocultar seus ataques. Parece desesperador dizer tudo o que um sniffer pode fazer para uma rede, em mãos erradas. Mas, o importante é saber onde estão os riscos e tentar se proteger de forma adequada. Quando você tem seu cartão de crédito roubado ou desconfia que alguém pode estar utilizando-o indevidamente, você cancela o cartão e solicita outro. Da mesma forma, como senhas podem ser roubadas, é fundamental que você a troque regularmente. www.esab.edu.br 36 Esta precaução limita a quantidade de tempo que uma senha roubada possa ser utilizada por um atacante. Nunca compartilhe sua senha com outros. Este compartilhamento torna difícil saber onde sua senha está sendo utilizada (e exposta) e é mais difícil detectar uso não autorizado. Nunca forneça sua senha para alguém alegando que precisa acessar sua conta para corrigir algum problema ou quer investigar uma quebra do sistema. Este truque é um dos métodos mais eficazes de hacking, conhecido como “engenharia social”. Outro aspecto que você deverá levar em consideração é o nível de segurança da rede que você utiliza ou administra. Se você estiver viajando e necessita acessar computadores de sua organização remotamente. Por exemplo, pegar algum arquivo em seu home directory e você tem disponível um cybercafé ou uma rede de outra organização. Você tem certeza que pode confiar naquela rede? Você tanto pode estar sendo monitorado com sniffers quanto pode ter algum trojan fornecendo suas informações a algum hacker. Se você não tiver nenhuma alternativa para acesso remoto seguro e só tem disponíveis recursos como Telnet, por exemplo, você pode minimizar o efeito negativo trocando a senha ao final de cada sessão. Lembre-se que somente os primeiros pacotes (200 a 300 bytes) de cada sessão carregam informações de seu login. Portanto, ao trocar sempre sua senha antes de encerrar a sessão, esta não será capturada e a senha anterior que esteve exposta à rede não será mais válida. É claro que é possível se capturar tudo que passar pela rede, mas atacantes não tem interesse de lotar o sistema de arquivo rapidamente e com isso ser facilmente descobertos. As redes continuam vulneráveis a sniffers devido a diversos fatores. Podemos dizer que a maior parte do problema é que as empresas tendem a investir mais em novos recursos do que em adicionar segurança. Novas funcionalidades de segurança podem www.esab.edu.br 37 deixar os sistemas mais difíceis de configurar e menos convenientes para utilizar. Outra parte do problema está relacionada a custos adicionados por switches Ethernet, hubs, interfaces de rede que não suportam o modo especial promiscuous que sniffers podem utilizar. Os sniffers são aplicações passivas, não geram nada que possa ser sentido facilmente pelos usuários e/ou administradores. Em geral, não deixam rastros. Uma forma de detectar um sniffer é verificar todos os processos em execução. Isto não é totalmente confiável, mas é um bom ponto de partida. Comandos para listar processos em execução variam de plataforma para plataforma. Se você estiver em uma máquina Unix, o sniffer aparecerá em uma lista do comando ps, a menos que este ps seja um trojan (programa implementado pelo atacante que aparentemente funciona como o esperado, mas efetuar funções desconhecidas pelo usuário). No Windows, basta verificar na lista de processos em execução e para isto, basta teclar <CTRL><ALT><DEL>. Outra alternativa é procurar por um sniffer conhecido. Existe uma grande chance de o atacante estar utilizando uma versão freeware. Obviamente, existe a possibilidade de o atacante ter escrito o seu próprio sniffer e neste caso a busca fica mais difícil. É preciso gastar mais tempo em analisar o que pode ter sido alterado pelo atacante. Por exemplo, comparar backup de dias diferentes ou utilizar alguns programas que possam ajudá-lo nesta atividade, como TripWire, ATP e Hobgoblin que são programas interessantes para checagem da integridade do sistema e arquivos. Os sniffers podem ser disfarçados na listagem do ps (o próprio ps como a maioria dos programas também pode). Basta trocar o argumento do seu argv[0] (o primeiro argumento) para um nome qualquer e não parecerá ser um programa suspeito que esteja em execução. Alguns utilitários permitem identificar se o seu sistema encontra-se em modo promíscuo e levá-lo a encontrar uma máquina suspeita. www.esab.edu.br 38 Muitas organizações que estão atentas a este problema utilizam: • Placas de redes que não podem ser colocadas em modo promíscuo. Assim, os computadores não podem ser transformados em sniffer. • Normalmente, a interface Ethernet passa somente pacotes até o protocolo de nível mais alto que são destinados a máquina local. De modo promíscuo esta interface permite que todos os pacotes sejam aceitos e passados para a camada mais alta da pilha de protocolos, permitindo que a seleção do que se deseja. • Nos pacotes em trânsito pela rede, os dados são criptografados, evitando assim que senhas trafeguem às claras. Considerando o último item, a prática de utilizar criptografia em sessões remotas, ajuda a manter a segurança das informações e senhas. Porém, para uma segurança mais efetiva somente quando implementado em todos os computadores que você utiliza em sua empresa ou casa e nas organizações fora de sua empresa que eventualmente tenha conta. Uma das tecnologias de criptografia bastante comum atualmente na comunicação segura entre máquina remota é SSH (Secure Shell). O SSH encontra-se disponívelpara diferentes plataformas. O seu uso não impede que a senha seja capturada, mas como esta se encontra criptografada não servirá para o atacante. O SSH negocia conexões utilizando algoritmo RSA. Depois que o serviço é autenticado, todo o tráfego subseqüente é criptografado utilizando tecnologia IDEA. Este tipo de criptografia é bastante forte. www.esab.edu.br 39 PortScanning: é um conjunto de ferramentas utilizadas para obter informações dos serviços executados por um equipamento, através do mapeamento de portas, pelo qual portas ativas para um endereço IP são identificadas. Cada porta é designada para uma aplicação específica (SMTP 25, SSH 22, etc). Para um hacker, o port scanning favorece a redução de esforço quanto a ataques através de portas que não estão disponíveis nenhum serviço, podendo atacar de forma mais direcionada, conforme o serviço disponível e porta. Vídeo de scanner de porta: https://www.portalgsti.com.br/2013/06/41-video-aulas-de- seguranca-da-informacao-gratis.html https://www.portalgsti.com.br/2013/06/41-video-aulas-de-seguranca-da-informacao-gratis.html https://www.portalgsti.com.br/2013/06/41-video-aulas-de-seguranca-da-informacao-gratis.html www.esab.edu.br 40 Pesquisar e instalar um port scanner (não blues ou nmap) - Método O nmap é o port scanning mais utilizado, sendo empregado em auditorias de Firewall ou IDS, além de determinar falhas na pilha TCP/IP, que podem ser exploradas em ataques do tipo DoS. Através do método fingerpriting, ele consegue identificar o sistema operacional dos equipamentos scanneados. Existe ainda, a possibilidade de informar a seqüência de pacotes TCP, o que esta sendo feito em cada porta, por usuário, o nome DNS e se o endereço pode se tornar uma vítima do smurf. www.esab.edu.br 41 “Uma característica muito utilizada do nmap é o scanning paralelo que auxilia na detecção de estado de hosts pelos pings paralelos, filtragem de portas, decoy scanning, fragmentação de pacotes e flexibilidade na especificação de portas e alvo. Outra informação útil, é que o nmap informa o status de cada porta aberta, se aberta (aceita conexões), filtrada (o Firewall impede que seja especificado o estado da porta) e não filtrada. Muitos Firewalls podem protegê-lo contra o port scanning. O Firewall é um programa que monitora conexões de entrada e saída para o seu computador. Um Firewall pode abrir todas as portas do seu sistema de forma a interromper efetivamente o scan (varredura) de mostrar qualquer porta. Embora essa abordagem funcione em muitos casos, port scan avançou com novas técnicas como “ICMP port scan inacessível” e “Null scan”. Assim como é melhor tentar filtrar todas port scans para o seu computador, também é importante estar ciente de que qualquer porta que está aberta e na escuta precisa ser investigada.” • Scanning de vulnerabilidades: realiza diversos testes na rede, tanto em protocolos, serviços, aplicativos ou sistemas operacionais. Se o hacker conseguir realizar o port scanning, conseguirá direcionar melhor seu ataque, na porta e serviço disponibilizado correto, além de ter identificado o sistema operacional do alvo, diminuindo o tempo gasto para causar o incidente de segurança. Através do scanner, que examina roteadores, Firewalls, sistemas operacionais e outras entidades IP, são detectados alguns riscos existentes na rede: • Compartilhamento de arquivos não protegidos por senha. • Configuração incorreta de roteadores, Firewall, navegadores ou serviços. • Software com atualizações faltantes. • Número de pacote TCP com facilidade de hackers descobrir. www.esab.edu.br 42 • Buffer overflow em serviços, softwares e sistemas operacionais. • Falhas de protocolos utilizados na rede. • Roteadores mal configurados que expõe a rede. • Checagem de trojans. • Verificação de senhas fáceis de deduzir. • Possibilidade de ataque de negação de serviço, ou Denial of Service (DoS). O scanner consegue diagnosticar diversas vulnerabilidades de sistema, e é uma ferramenta poderosa para a análise de riscos, segurança e auditoria. Ele vem alertar a organização de suas fragilidades para que medidas de segurança sejam tomadas. Todo scanning resulta num relatório, que deve ser avaliado pelos administradores de rede ou segurança, para diagnosticar a existência de “falsos-positivos” (dedução do scanner de ataque quando na verdade não é). Outro fator é a necessidade de se atualizar constantemente com assinaturas de novos ataques, para que o scanning seja o mais preciso possível. Vê-se que através do scanning podemos obter dados importantes da rede. Isto é válido para administradores e para hackers. Por isso, é vital que exista na rede Sistema de Detecção de Intrusão (IDS) para não permitir www.esab.edu.br 43 que hacker exerça esta atividade. • Firewalking: O firewalking é um analisador de pacotes similar ao traceroute, que obtém informações de redes remotas protegidas por Firewall, através do protocolo ICMP. Obtém informações sobre uma rede remota protegida por um firewall, e tem o funcionamento similar ao traceroute. Os pacotes analisados são registrados mesmo que passem via gateways, permitindo o mapeamento dos roteadores antes dos Firewalls. Através destas informações, é possível gerar a topologia da rede e obter informações sobre filtragens de pacotes no Firewall. Uma das formas de se proteger contra o firewalking é proibindo o tráfego de pacotes ICMP na rede, utilização de proxy ou Network Address Translation – NAT no Firewall (o NAT faz com que um certo IP externo tenha receba uma tradução dentro da rede interna, outro IP e vice-versa). • IP Spoofing: é uma técnica onde o endereço real do atacante é mascarado, evitando do mesmo ser encontrado. É bem www.esab.edu.br 44 utilizado em sistemas autenticadores e em ataque de negação de serviço ou Denial of Service (DoS), nos quais os pacotes de respostas não são esperados. O IP Spoofing não consegue entregar a resposta das requisições, pois o IP na realidade não existe. Ilustração de ataque IP Spoofing (http://www.las.ic.unicamp.br/ edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf) Um administrador pode proteger a rede corporativa restringindo as interfaces de rede, através de filtros de acordo com o endereço utilizado na rede externa. Citamos o exemplo de que se a empresa tem endereços 200.246.200.0 disponíveis externamente, o Firewall deve negar conexão onde a origem é 200.246.200.0. O Land pode auxiliar na pesquisa da vulnerabilidade TCP/IP, fazendo com que a origem e destino tenham a mesma porta, caso estejam dentro da rede corporativa, evitando o IP Spoofing de endereços internos a rede. http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf www.esab.edu.br 45 Ilustração de ataque IP Spoofing (http://www.las.ic.unicamp.br/ edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf) Ataques de negação de serviços ou DoS SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service – DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo e, ao http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf www.esab.edu.br 46 atingirem um alvo, deixam o sistema indisponível os usuários legítimos. Na maioria das vezes, realizam o Syn Flood enviando grande número de conexões que não são completadas, somente para aumentar o uso dos recursos aos equipamentos alvos. Um exemplo, é o envio de Smurfs, que causam interrupção nos serviços. A condição propícia para este tipo de ataque está no mau desenvolvimento de aplicações, sistemas operacionais e protocolos, que fornecem brechas de segurança que podem ser exploradas. Citamos como exemplo, os servidores Unix e Linu, que aoreceberem um grande número de conexões sem conseguir responder, seu processo sobe para o total de 1500, causando uma parada no servidor. Do Windows, podemos citar o caso do mapeamento de DLL, que ao ser acessado, pode referenciar outra DLL, com o mesmo nome, podendo exercer atividade diferente. • Syn Flood: é o envio de conexões (Syn) em quantidade capaz de fazer com que o servidor não consiga responder. A pilha da memória sofre overflow, desprezando as requisições legítimas dos usuários. Pode ser evitado com a comparação com o número de conexões novas e em aberto, alertando quando o valor padrão for ultrapassado. Outra vulnerabilidade é o controle dos pacotes que trafegam pela rede e sua seqüência, que devem estar no padrão esperado. Para evitar este ataque deve-se aumentar a fila de conexões e diminuindo o time-out handshake. Esta opção não elimina, mas minimiza o problema. Fragmentação de pacotes: é preciso entender porque o protocolo IP permite a fragmentação de pacotes. Se o tamanho do pacote > MTU do meio, então ocorre fragmentação. É possível sobrescrever cabeçalhos durante a remontagem dos pacotes a fim de driblar as regras de filtragem do firewall. Existe a capacidade máxima de cada tipo de meio físico de tráfego de dados, denominada Maximun Transfer Unit ou MTU. A rede Ethernet limita a transferência a 1500 octetos e a FDDI a 4770 octetos, por exemplo. www.esab.edu.br 47 Como existem informações maiores que este tamanho, o endereço IP especifica que é permitido fragmentar em pacotes as mensagens com tamanho maior que o MTU, afim de que as mesmas atinjam o destino. Neste caso, o pacote é fragmentado de um tamanho que possa trafegar pela rede, após negociação entre os hosts, de forma que no host destino seja remontado. Existem alguns problemas neste processo: • O primeiro é que o pacote pode alterar a porta de conexão no meio da transmissão, facilitando o acesso a sistemas que não são permitidos ao usuário. • O segundo é que se o reagrupamento de pacotes for maior do que o permitido ocorre o chamado buffer overflow – causando indisponibilidade e travamento no sistema, um DoS. No fim de 1996, ocorreu o Ping O´Death que nada mais foi do que a exploração desta vulnerabilidade. Era enviado ping de tamanho grande, que gerava o travamento de sistemas. O problema é resolvido através de patch, que corrigiram o que fazer quando acontece overflow no kernel. • O terceiro é que por ser processado no host, é complicado saber se é um ataque ou não, para um Firewall ou sistema de detecção de intrusão, por melhor configurado que seja. • O quarto é que os filtros de pacotes não podem restringir a fragmentação. Usar NAT não resolve estes problemas, pois o mesmo encontra-se vulnerável a este ataque. www.esab.edu.br 48 Teardrop é uma ferramenta que explora a fragmentação de pacotes IP, auxiliando os administradores para a defesa de ataque por fragmentação de pacotes. • Smurf e fraggle: Smurf é uma técnica que gera tráfego na rede através de broadcast de ping (ICMPecho) na rede, a partir de um IP falsificado (IP Spoofing). Desta forma, a rede tenta responder à requisição e não consegue, afetando o seu desempenho. O fraggle seria a mesma técnica, porém utilizando o UDP echo. Ataque Smurf e fraggle (http://www.las.ic.unicamp.br/edmar/ Palestras/UFV/Seguranca_Vulnerabilidades.pdf) Para resolver este problema, o administrador deve configurar os roteadores a não permitirem broadcast, não permitindo desta forma o uso de ping na rede. Outra forma de minimizar problemas http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf www.esab.edu.br 49 com Smurf é o egress filtering. O método consiste em somente aceitar requisições de ping da rede corporativa, evitando que endereços desconhecidos trafeguem pela rede. A filtragem se torna fundamental, especialmente para ataques coordenados. Ataques ativos contra o TCP Uma conexão TCP é definida por quatro informações básicas: • Endereço de IP do cliente. • Porta de TCP do cliente. • Endereço de IP do servidor. • Porta de TCP do servidor. Todo byte enviado é identificado por uma seqüência de 32 bits, diferente em cada conexão e de forma seqüencial, que é reconhecida pelo receptor da mensagem. Aproveitando a desincronicidade do protocolo TCP, que não garante que a sequência ser preservada após estabelecida a conexão, dois hosts começam a trocar informações, então, um terceiro host (do hacker) coloca a seqüência certa em seus pacotes, interferindo no meio da comunicação, enviando pacotes válido, ocasionando o ataque chamado man-in-the-middle. O problema deste ataque é a quantidade de TCP ACK, pois ao receber um ACK invalido a seqüência é enviada a outro host sucessivamente, até que alguém o negue. Existem dois métodos que auxiliam na desincronização de conexões: early desyncronization (interrompe conexão e forma outra internamente com nova sequência) e null data desyncronization (envio de grande quantidade de dados para o servidor e clientes, de forma que os mesmos não percebam). Ataques coordenados ou DDoS Modalidade de ataque onde existem vários hosts que são coordenados por um hacker para atacar determinado site ou servidor. É muito eficiente, pois normalmente a vítima não tem como minimizar a situação, por não saber identificar a origem do ataque. www.esab.edu.br 50 Ataque DdoS (http://www.las.ic.unicamp.br/edmar/Palestras/UFV/ Seguranca_Vulnerabilidades.pdf) Os primeiros ataques DDoS utilizavam quatro níveis hierárquicos. O hacker coordena diversos servidores master. Através das vulnerabilidades de sistemas conhecidas nestes servidores, através de scannings, é instalado daemons – programas que irão atacar as vítimas. Este tipo de ataque utiliza alta tecnologia, inclusive de criptografia entre servidores master e daemons. A instalação de daemons é realizada de modo dinâmico e são implementadas diversas formas de se esconder as evidencias do ataque. Como exemplo de ferramentas utilizadas para ataques DDoS, podemos citar: • Trinoo: é um ataque DDoS para o protocolo UDP. Ele utiliza um reduzido número de servidor máster e grande número de daemons, instruídos para atacar certos IP’s. O trinoo não utiliza IP Spoofing e o tráfego com os servidores masters requerem senhas. Em 1999, este tipo de ataque tornou indisponível o site da Universidade de Missota. Porém, este tipo de ataque possui assinatura que pode ser colocada no IDS para sua detecção, além de outros pontos falhos que podem ser diagnosticados, mas existe aumento de complexidade de gerenciamento. • TFN: é um ataque DDoS para o protocolo TCP e implementa o IP Spoofing, TCP SYN Flooding e ICMP . O processo é http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf www.esab.edu.br 51 acionado quando o hacker dá especificação aos masters para iniciar o ataque através dos daemons. Neste tipo de ataque, as origens e os pacotes podem ser alterados de forma aleatória. Existe assinatura que ajudam sua detecção na rede para IDS. Ataque no nível de aplicação Exploram as brechas de seguranças dos protocolos, servidores e aplicativos, no nível de aplicação. Tipos mais comuns: • Buffer Overflow. • Ataque através de gateways da rede. • Vulnerabilidades no protocolo FTP e SNMP. • Vírus. • Trojans. • Worms. • Buffer Overflow: é um ataque onde o hacker envia mais dados do que o tamanho do buffer, preenchendo o espaço da pilha, com intuito de que os dados sejam perdidos devido a falha na camada de aplicação, sendo possível a execução de comandos que podem dar permissão, até mesmo de administradores do sistema, reescrevendo o código na pilha do sistema. É um dos ataques mais utilizados por hackers. Frames no cache da pilha (www.inf.ufrgs.br) http://www.inf.ufrgs.br www.esab.edu.br52 Um exemplo prático que pode acontecer é um hacker enviar uma string na URL com tamanho superior ao manipulável. Se a aplicação não estiver tratando esta situação, é possível acontecer pane no sistema, ajudando a acontecer um ataque buffer overflow. Por este ataque ser característico de cada aplicação sua prevenção é muito complicada – em geral, está resumida à correção em aplicativos. A maior parte destas correções são geradas a partir dos incidentes ocorridos, de forma reativa. É o famoso desenvolvimento voltado à venda e não a segurança, conforme expomos nesta disciplina. Há uma técnica que pode auxiliar neste processo, que na realidade vem localizar de forma aleatória o buffer overflow, não permitindo que o hacker venha a gravar as informações da maneira que lhe é interessante (seqüencialmente) e com conhecimento de sua localização na pilha. Um produto que oferece este recurso é o Secured da Memco. • Ataques a gateways da rede: é um ataque que se aproveita das vulnerabilidades de bugs em servidores, navegadores de Internet, Common Gateway Interface (CGI) e Active Server Pages (ASP). Ataques mais comuns: • Web defacement: alteração em conteúdo das paginas por hackers, chamadas “pixações” de sites. • Poison null: possibilita a visualização do conteúdo dos diretórios, muitas vezes permitindo a alteração e consulta através de servidores Web, utilizando o mascaramento dos comandos de checagem de segurança CGI (null byte – pacote de dados não detectados pelo scriptCGI). • Upload Bombing: ataque direcionado a sites com upload, cuja finalidade é enviar arquivos que preencham o disco rígido da vítima, já que não é realizada a checagem de espaço em disco disponível. • Web Spoofing ou Hyper Spoofing: são as famosas páginas falsas que muitas vezes são sugeridas por links em e-mails. www.esab.edu.br 53 Neste ataque, as pessoas pensam estar numa página legitima de uma organização, quando, na verdade, está fornecendo seus dados pessoais a um hacker. Como dica de segurança é sempre melhor a pessoa escrever a URL no browser, e não clicar em links – caso clicar, verificar se a página que está aparecendo é a que realmente ela pensa estar. Desabilitar o Javascript é bom, pois os scripts podem alterar características da página, porém muitos sites perderão funcionalidades. Conectividade http://www.linorg.cirp.usp.br/Guias_Conectiva/ Guias_V.10.0/servidor/pt_BR/ch14.html DICA http://www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch14.html http://www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch14.html www.esab.edu.br 54 Problemas com protocolo SNMP: o Simple Network Management Protocol (SNMP) fornece informações, como sistema, tabelas de rotas, tabela ARP (Address Resolution Protocol), conexões UDP e TCP, entre outras informações para gerenciamento de rede. Funcionamento do SMTP O problema deste protocolo é que existem muitas vulnerabilidades de segurança, principalmente quanto à facilidade de obter informações do sistema, motivo que é altamente recomendável este tipo de sistema estar devidamente protegido. O SNMP não possui mecanismo de travamento de senhas após x tentativas, possibilitando a hackers utilizar programas de senhas para conseguir acesso, sem ser percebido. É também um ponto de falha para softwares de segurança, como o TCP Wrapper. No entanto, o SNMP é um protocolo útil para o gerenciamento e na maioria das organizações são utilizados. Para minimizar os efeitos das vulnerabilidades, são adotados alguns procedimentos: • Habilitação somente de daemons e serviços específicos do SNMP, pois quanto maior o número de serviços e daemons disponíveis, maior a probabilidade de ataques – isto é valido não só para este protocolo, mas para qualquer tipo servidor e serviço. www.esab.edu.br 55 • Os nomes da comunidade devem ser manipulados como senhas, adotando políticas de senhas, para que hackers não consigam prever as mesmas e acessar informações secretas. • Permitir que somente hosts específicos consiga obter informações SNMP, com usuários específicos, como o administrador. • Vírus e Worm: os vírus de computador são programas altamente sofisticados e desenvolvidos em linguagens específicas de programação para infectar e alterar sistemas. Normalmente eles possuem tamanhos reduzidos e são projetados por programadores extremamente hábeis, visando afetar de forma adversa o seu computador. Portanto, não os subestime. Os worms se diferem dos vírus somente por se espalharem rapidamente, sem interação dos usuários. A prevenção é a melhor vacina para se evitar a contaminação de computadores por qualquer tipo de vírus. Uma das posturas preventivas a ser adotada é estar sempre alerta com documentos ou arquivos que são transmitidos pela Internet. Manter sempre cópias de segurança dos arquivos mais importantes é outro procedimento recomendável em qualquer situação, pois pode ser o último recurso para salvaguardar informações. Não existe computador, principalmente que esteja conectado à Internet, imune aos vírus. Centenas de novos vírus são detectados mensalmente. Portanto, é importante atualizar o programa de antivírus periodicamente, aumentando as chances de estar protegido dos vírus já conhecidos. Porém, quanto aos vírus recém criados, existe www.esab.edu.br 56 o perigo de ser atacado sem ter vacina disponível, mesmo com antivírus atualizado. Salienta-se que sua segurança perfeita está no seu hábito de prevenção. Os poucos minutos perdidos por dia podem valer horas, dias ou até meses de trabalho. • Trojans ou Trojan Horses: trojans são programas que são furtivamente instalados no computador sem o conhecimento do usuário. Geralmente, o usuário instala o programa no computador, sem saber, enquanto pensa estar instalando outro software que deseja. Com a disseminação da Internet, os trojans começaram a vir como anexos em e-mails, ao abrir o anexo automaticamente o usuário instala o programa em seu computador. Já existem trojans mais sofisticados que podem ser instalados sem ação do usuário, através de scripts em páginas web, aproveitando-se, principalmente das propriedades do ActiveX (em ambiente Microsoft). A origem do nome vem da mitologia grega, mais precisamente da odisséia de Ulisses, que para vingar-se dos Troianos, com quem já batalhavam por dez anos e resgatar sua amada Helena que por eles havia sido raptada, mandou construir um gigantesco cavalo de madeira para presentear os troianos. No interior do cavalo, soldados gregos entraram em Tróia e assaltaram a cidade. O elemento surpresa foi fundamental para o sucesso grego. Aliás, esta história deu origem à expressão “presente de grego”. Similarmente, os trojans se alojam no micro do incauto usuário que pensa estar acessando algo de seu interesse. Os trojans são programas que podem ter ações das mais variadas, dependendo apenas do código escrito pelo seu autor. Muitos podem danificar o sistema, apagar arquivos e causar outros danos maiores. Um tipo de trojan muito utilizado pelos crackers é o www.esab.edu.br 57 Backdor Trojan ou Remote Access Trojan (RAT’s). Este tipo de trojan executa ações que preparam o computador da vítima para ser invadido remotamente, através de programas que permitem uma conexão no sistema do micro onde se instalam que passa a funcionar como servidor do micro invasor que executa o programa cliente. Eles também podem conter programas keystroke-logging, para capturar senhas e outras informações confidenciais. Os mais famosos trojans são: • Back Orifice, NetBus (RAT); • K2pS (RAT+Keystroke-logging); • Portscan, Xitame: Busca portas abertas no micro. O motivo para o surgimento de tantos trojans é a facilidade e rapidez de sua criação, principalmente se comparado aos vírus, e não exigirem tanto conhecimento técnico para desenvolvê-los. A grande maioria é desenvolvida em linguagens de alto nível, como Visual Basic ou Delphi. Além disto, os trojans