Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 1 Segurança da Informação em Redes de Computadores SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 2 Introdução à Segurança da Informação em Redes de Computadores Segurança da Informação National Security Telecommunications and Information Systems Security Committee (NSTISSC): “A segurança da rede é a proteção da informação, dos sistemas, hardware utilizados, armazenamento e a transmissão dessa informação.” National Security Telecommunications and Information Systems Security Committee (NSTISSC): “A segurança da rede abrange as medidas que são tomadas para garantir a confidencialidade, integridade e disponibilidade de dados ou recursos.” Objetivos Primários da Segurança de Redes: Confidencialidade – garantir acesso à informação somente por pessoas autorizadas. Integridade – garantir a completude e a exatidão da informação e os métodos de processamento seguros. Disponibilidade – garantir o acesso à informação ou a ativos de redes, quando necessário. Expansão desses Objetivos Primários: Autenticidade – garantir a identidade dos membros de uma comunicação, bem como quem gerou a informação. Legalidade – garantir a conformidade da informação com a legislação em todas as esferas. Não repúdio – garantir que o gerador da informação não possa negar sua autoria ou alteração. Auditoria – garantir o rastreamento dos fatos de um evento e identificar os envolvidos. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 3 Qualquer Dispositivo de Rede pode ser Invadido ou Infectado por meio de: Falhas de configuração. Ação de códigos maliciosos. Exploração de vulnerabilidades. Ataques de força bruta. Equipamentos ‒ Segurança da Informação Equipamentos de rede-alvo e ataques potenciais: Routers Ataque de acesso – obter acesso ao router ou à rede. Ataque de negação de serviço: DoS ou distributed DoS – derrubar o roteador. Alterar o roteamento ‒ redireciona o tráfego, negando o serviço à rede. Firewalls Ataques semelhantes ao dos roteadores. Dependendo do tipo e do tamanho do firewall, as técnicas são diferentes. Switches Qualquer ataque afeta o fluxo do tráfego da LAN no segmento; o tráfego fica concentrado no switch (concentrador). No caso de switch L3 a situação fica mais crítica. Servers Podem ser um grande alvo para os atacantes, porque são usados para armazenamento de dados e podem fornecer acesso à rede. Se o servidor foi explorado, muitos outros equipamentos da rede devem estar vulneráveis, além de as informações contidas no server poderem ser usadas para ataques aos outros equipamentos. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 4 Pilha TCP/IP – Segurança da Informação Aplicação Plugins para Browsers (ActiveX, Applets Java) Senhas enviadas sem criptografia (Telnet, POP) Vírus, Worms, Trojans Vírus são programas maliciosos que se replicam Trojan horse é um programa malicioso disfarçado de benigno Worms são vírus autorreplicáveis Bugs de software vulnerabilidade Serviços “startados” como root (administrador do sistema) Vulnerabilidades em SNMP, SSH, FTP etc. Falha na configuração de serviços (FTP, HTTP) Transporte Aplicações TCP, UDP (varredura de portas) Port scan permite “mapeamento da rede” Porta aberta = serviço rodando Negação de Serviço (Dos) SYN flood TCP session hijacking Internet Vulnerabilidades em roteadores Senha de administração fraca ou default ou em “branco” (sem senha) SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 5 Bugs no OS permitem “buffer overflow” (IOs) IP – Internet Protocol IPv4 não oferece confidencialidade Pacotes atravessam redes públicas ou do ISP IP spoofed (IP de origem falso) DoS (ping da morte) Firewalls malconfigurados(filtro de pacotes, ACL) Vulnerabilidades nos protocolos de roteamento (RIP, BGP, OSPF etc.) Rede de Acesso (camadas física e enlace de dados) Vandalismo Acesso cabos lógicos e de força, disjuntores Acesso a equipamentos e racks distribuídos no prédio Manutenção na rede elétrica interfere na rede Picos de energia afetam equipamentos de rede ARP cache poisoning (gera respostas ARP falsas, Man-In_The_Middle) Redes sem fio: Frequência do IEEE 802.11 é 2.4GHz (ISM) Interferência (p. ex., fornos de micro-ondas, Bluetooth) pode acarretar DoS Sniffing captura de quadros (modo promíscuo) Criptografia de nível físico deve estar habilitada Segurança da Informação Garantir a sobrevivência de negócios em que suas atividades são totalmente dependentes dos processos informatizados requer uma atenção MAIOR à segurança da informação. Não deixe de assistir à reportagem do fantástico no link: SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 6 http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e- celulares-e-sequestram-dados.html Ransomware – Sequestro de Dados A reportagem retrata três casos: 1º Farmácia – cidade de Vera Cruz 430 km de São Paulo. 2º Fábrica de móveis sob medida – Goiás – cadastro, folha de pagamento de empregados e os programas que controlam a linha de montagem, resultado 15 dias parada. 3º Prefeitura Municipal de Japorã – a 500 km de Campo Grande (MS), sem acesso a informações de licitação, recursos humanos, tributários e sistema financeiro. Ransomware – Sequestro de Dados Recomendações da McAfee para reduzir os impactos: Faça backup dos dados Backup do backup Armazenamento fora da empresa em local seguro Sistema de backup fica desconectado da rede Constantemente testado Bloqueie o tráfego e programas indesejados ou desnecessários Bloquear TOR, aplicativo e tráfego TOR bloqueado impede acesso à chave pública RSA Sistemas de patch Vulnerabilidades mais exploradas em 2014: possuíam mais de sete anos Aplicar os patches do SO, Java, Adobe Reader, Flash e aplicativos Verificar a aplicação dos patches Proteja os endpoints SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 7 Implementar alguns recursos avançados, como, por exemplo, “impedir executáveis de ser executado a partir da pasta Temp” Ative o antispam Ataques de phishing podem conter o ransomware em arquivos .scr ou qualuqer outra extensão Arquivos .zip não são bloqueados, porém faça a varredura em no mínimo dois níveis Conscientização dos usuários Considerando-se que a maioria dos ataques de ransomware é disseminada por e-mails de phishing, é imprescindível conscientizar os funcionários Conscientização frequente e ininterrupta quanto aos assuntos de segurança Perdas Relatadas – IC3 Os crimes cibernéticos são ameaças muito sérias e geram um grande prejuízo financeiro entre outros. O Intenet Crime Complaint Center publicou em seu relatório anual de 2014 os TOP 50 dos países com a maior quantidade de perdas reportadas. Fonte: http://www.ic3.gov/media/annualreport/2014_IC3Report.pdf SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 8 Galeria do Crime – FBI O FBI mantém publicada lista dos suspeitos de cyber crimes mais procurados. Fonte: https://www.fbi.gov/wanted/cyber Ferramentas de Log e Auditoria Nos sistemas UNIX e LINUX os arquivos de log são, por padrão, armazenadosno diretório “/var/log” Podemos enumerar diversas ferramentas: UTMP E UTMPX Registra os usuários locais que estão conectados atualmente no sistema Formato armazenamento: binário Comandos exibição das informações: who, whodo, write, finger e ps WTMP E WTMPX Registra detalhes da sessão aberta pelo usuário SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 9 Formato armazenamento: binário Comandos exibição das informações: last, acctcom LASTLOG Registra o horário da última tentativa do usuário acessar o sistema Formato armazenamento: binário Comandos exibição das informações: lastlog – u aluno (último logon desse usuário) lastlog – t 3 (últimos 3 dias) MESSAGES Registrar todas as operações do sistema (kernel) ou algum mecanismo de log (programas), exemplo mensagens enviadas ao console Formato armazenamento: texto Comandos exibição das informações: cat, tail etc. SULOG Registra tentativas de execução do comando su, tenham sido estas bem ou malsucedidas. Formato armazenamento: texto Comandos exibição das informações: cat, tail etc. XFERLOG Registrar todas as operações logon/logoff realizadas pelo daemon de ftp. Formato armazenamento: texto Comandos exibição das informações: cat, tail etc. SECURE (tcp-wrappers) Registrar todas as operações realizadas por tcp-wrappers (alteração de senhas, criação de usuários e grupos) Formato armazenamento: texto SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 10 Comandos exibição das informações: cat, tail etc. MAILLOG (e-mails) Registrar os envios e recebimentos de e-mails no sistema Formato armazenamento: texto Comandos exibição das informações: cat, tail etc. BASH_HISTORY Localização: /home/user ou /root Armazena os últimos 1.000 comandos digitados pelo usuário. Formato armazenamento: texto Comandos exibição das informações: cat, tail etc. ANÁLISE DE LOGS O problema não está nas ferramentas para acessar os LOGs O PROBLEMA está no grande volume de dados gerado diariamente por eventos relacionados com o sistema. Como identificar as informações RELEVANTES? Auditoria/Análise de Dados DADOS – é a observação de outras informações dentro de um sistema computadorizado ou não; Os DADOS necessitam estar íntegros, confiáveis e em conformidade com as regras de negócio; Podemos encontrar alguns PROBLEMAS com os DADOS PROBLEMAS com os DADOS: Erro de formato. Incompletos. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 11 Inválidos ou incorretos. Dimensão. Extração dos dados. Interpretação dos resultados. CAATs Técnicas de Auditoria Assistidas por Meios Computacionais Computer Assited Audit Techiniques São ferramentas para utilização de computadores para automatizar e simplificar o trabalho de AUDITORIA de DADOS As CAAT praticamente incorporam os DADOS analíticos no processo de AUDITORIA. Permitem manipular os dados simulando as regras de negócio, checando sua integridade e conformidade, prevenindo fraudes. Tipos de CAAT Software de Auditoria Generalizado (GAS) – como seu nome define, é de uso geral, podendo ser utilizado para testes de controle. Software de Auditoria Customizado(personalizado) (CAS) – desenhados pelos auditores para tarefas específicas de auditoria, não realizadas pelo GAS. Dados de teste – o teste é realizado com dados simulados, válidos ou não, com o objetivo de testar a precisão do sistema, verificar a validação dos dados, a detecção de erros etc. Simulação paralela – objetiva imitar o programa de produção do cliente. Facilidade de Teste Integrado – a execução da aplicação com dados de teste e dados reais. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 12 Análise do código do programa – comparar documentação do sistema com o código do programa (sistema). Tipos de Software de Auditoria 1. Planificação de auditoria 1.1. Planning Advisor 2. Execução – SUPERVISÃO 2.1. COBIT Adivisor 2.2. Pro Audit Advisor 3. Análise de risco 3.1. RISK2K – Pilar – Chinchón 3.2. Enterprise Risk Assessor (ERA Lite) 3.3. Risk Assement Program – RAP 3.4. Audicontrol 4. Análise e avaliação de base de dados 4.1. ACL: (Audit Command/Control Language) 4.2. IDEA: (Interactive Data Extraction and Analysis) 5. Ferramentas Integradas 5.1. Gestor F1 Audisis 5.2. Auditor 2000 5.3. TeamMate 6. Programas para propósitos específicos 6.1. Sistema de Auditoria e Segurança – SAS 6.2. Statistical Techiniques of Analytical Review 6.3. DATAS – Digital Analysis Tests And Statistics SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 13 Auditoria Tradicional VS CAATS O que fica melhor em um relatório de auditoria? “A auditoria analisou 50 TRANSAÇÕES, tendo detectado uma transação processada de forma incorreta”. OU “A auditoria analisou TODAS AS TRANSAÇÕES, de um determinado período de uma unidade de negócios e após testes identifica as possíveis anomalias”. Vantagens e Desvantagens do uso das Caat Processamento de rotinas. Manipulação extensiva de fórmulas. Importação e exportação de dados. Importação de grandes volumes de dados. Codificação avançada de dados. Operações de bases de dados apoiadas em SQL. Geração de dados estatísticos. Análise funcional. Critérios avançados de busca. Gestão de arquivos. Ligação a bases de dados. Perca de informação no processo da extração. Alocação de tempo adicional na organização dos dados. Limitação da informática. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 14 Controle de Acesso e Gerência de Identidade Desafio Controlar o acesso de usuários/colaboradores Autenticação, Autorização e Auditoria. Controle de Acesso Usuários/Colaboradores: Funcionários Estagiários Terceiros Gerenciamento de Usuários/Colaboradores e Permissões Privacidade Segurança Eficiência Controle de Acesso (CA) – 1ª GERAÇÃO Login de usuário e senha Características Requer senha forte (mínimo 8 caracteres) Suscetibilidade à engenharia social Política de senhas (periodicidade e repetitividade) Par login/senha para cada sistema SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 15 Controle de Acesso (CA) – 2ª GERAÇÃO Dispositivos físicos para autenticação Smartcards – cartão plástico com chip Cartão por contato – similar cartão de crédito, necessita de leitor Cartão sem contato – crachá RFID Cartão híbrido – com ou sem contato com chip único ou um para cada função Token – utilizado por alguns bancos, gera uma nova senha a cada acesso Dispositivos Físicos para Autenticação Smartcards e Token Características Custo do dispositivo Reposição por perda Expiração do dispositivo, acarretando a troca Permissões emergenciais Controle de Acesso (CA) – 3ª GERAÇÃO Autenticação por Biometria (características físicas): Impressão digital: Verifica as terminações e bifurcações dos sulcos. Sistemas mais modernos verificam os arcos e voltas que aparecem nos dedos. O leitor deve minimizar a rotação da imagem e compensar pequenas variações em relação à imagem armazenada. Utilizado para controle de acesso e caixas eletrônicos. Problemas na identificação quando ocorrem pequenos cortes no dedo, pele ressecada ou ambiente de trabalho com excesso de sujeira. Método rápido e confiável. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 16 Custo acessível, por ser muito difundido e utilizado, aumento de oferta desses leitores. Menos intrusiva. Reconhecimento Facial: Verifica os vários pontos identificadores e delimitadores da face. Define distâncias, tamanhos e formas de cada componente da face (nariz, olhos, orelha etc.). Problemas na identificação acarretados pelas transformações faciais (adolescência, fase adulta, terceira idade etc.). Problemas de identificação acarretados pelo uso de óculos de sol, bigode, barba e expressões faciais. Retina Íris: Verifica imagem da íris (extremamente complexa). Método bastante seguro. A íris é única e diferente de seu par. Pequena margem de erros. Praticamente imutável durante a vida. Lente de contato não compromete o reconhecimento da íris. De fácil implementação, unidade óptica (câmera monocromática de alta precisão). As cores não são significativas para a identificação. Problema é a resistência de algumas pessoas em realizar a fotografia da íris. Geometria da Mão: Não tão confiável quanto à impressão digital. Problema relacionado ao posicionamento correto da mão na superfície do leitor. Outro problema é a utilização de acessórios, anéis, alianças etc. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 17 Gerência de Acesso Gestão Tradicional de Usuários Duração de aproximadamente 5 dias para conceder acesso a todos os ativos computacionais, para o colaborador desempenhar suas funções. Além do acesso inicial, o colaborador pode ser transferido ou promovido, com a mudança de função, há a necessidade de rever suas permissões, evitando atrasos no desempenho da nova função e impedindo acessos indevidos à função anterior. Solução – Role Based Access Control (RBAC) Controle de Acesso Baseado em Função (papéis) Projeto detalhado das permissões de acesso de cada cargo ou função. Criar perfil do cargo ou função. Atribuir permissão (acesso) ao cargo (perfil) e não ao usuário Alteração de função do usuário: Revogar o perfil antigo; Conceder acesso ao novo perfil. Sistema de Gerenciamento de Identidade (SGI) Filosofia de usuário único, liberar todo acesso a todas as aplicações destinadas ao cargo ou função. Segurança de dados da organização sem comprometer o desempenho funcional do colaborador. Agilidade e segurança na liberação ou revogação de acesso. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 18 SGI – Principais Operações Identificação ‒ a entidade fornece uma identidade ao sistema. Autenticação ‒ o sistema verifica se a identidade é legítima. Autorização – o sistema concede privilégios a uma entidade, após sua autenticação. Auditoria – por logs, o sistema registra as ações da entidade, que é responsável por suas ações. SGI – Modelos Tradicional Centralizado Federado Centrado no usuário SGI – Modelo Tradicional Fácil implementação É Provedor de Serviços – SP e Provedor de Identidade – IdP – SP + IdP O usuário possui uma identidade digital para cada SP Os SP trabalham isoladamente, NÃO compartilhando as identidades Fonte: http://www.gta.ufrj.br SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 19 SGI – Modelo Centralizado Um IdP para vários provedores de serviços Autenticação única – Single Sign-On (SSO) É a identidade única de mais simples implementação Confiança plena no provedor de identidades Vantagem Ao se autenticar recebe credenciais para todos os SP Desvantagem Ponto de falha único O IdP possui controle total das informações, fato que acarretou o insucesso do Microsoft Passport Network Fonte: http://www.gta.ufrj.br SGI – Modelo Federado Um IdP para cada domínio Administrativo diferente Acordo entre os IdP, para que uma identidade emitida por um IdP seja reconhecida por Outros SP de outros domínios Garante o conceito de Single Sign-On (SSO) Vantagem SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 20 Amplia a vantagem do CENTRALIZADO, ao se autenticar recebe credenciais para todos os SP de todos os domínios administrativos da FEDERAÇÃO (acordo entre os IdP). Desvantagem A mesma do CENTRALIZADO Utilizados pelos sistemas: • Liberty Alliance, • OpenSSO e o • Shibboleth. Fonte: http://www.gta.ufrj.br SGI – Modelo Centrado no Usuário • O usuário tem total controle de suas informações. • Com base em algum dos outros modelos. • Armazena identidades e se autentica em dispositivos: físico (smartcard ou celular) ou lógico. Utilizados pelos sistemas: • Higgins, • Microsoft CardSpace e • OpenID. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 21 Fonte: http://www.gta.ufrj.br SGI – Principais Focos e Motivações Área acadêmica no Brasil – Fundação CAFe da RNP: A Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) disponibiliza por meio da federação, acesso remoto ao seu Portal de Periódicos. Setor Privado SGI – Apresentações de Ferramentas Vídeos: Fonte: https://www.youtube.com/watch?v=EXeOxjccfHc Fonte: https://www.youtube.com/watch?v=CqvJcTvhCBw SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 22 Stateful Firewall e Next Generation Firewall Segurança Lógica Firewall Packet filtering Stateless packet filter Stateful packet filter Application Proxy Deep packet inspection Firewall É uma solução de segurança baseada em hardware ou software, também conhecido como “parede corta-fogo”, separando por critérios, materializado por regras, a rede interna da externa (INTERNET). Boa Prática – Firewall Uma boa prática é a rede interna ficar atrás do firewall, para obrigar todo o tráfego entrando ou saindo da rede ser submetido a analise, com a finalidade de bloquear o tráfego indesejado e liberar o tráfego desejado e autorizado. Linux – Firewall O firewall mais popular do LINUX é o netfilter, popularizado por sua interface iptables. Configuração Manual – Firewall 1º Passo – Definir a Política de Segurança (security policy): RESTRITIVA – todo tráfego é bloqueado, exceto o que está explicitamente autorizado. PERMISSIVA – todo tráfego é permitido, exceto o que está explicitamente bloqueado (negado) 2º Passo – Pensar as regras levando em conta o sentido do fluxo. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 23 3º Passo – Ordenar as regras da mais específica para a mais genérica. Packet Filtering (Filtro de Pacotes) Surgiu na década de 1980, também conhecido como filtragem estática. Analisa as informações do cabeçalho dos datagramas IP (pacotes), como endereço IP de origem, destino, tamanho, tipo de serviço etc. Dificuldade em filtrar protocolos que utilizam portas dinâmicas. PERMITE explorar vulnerabilidades de protocolos e serviços da camada de aplicação. Stateless Packet Filter Evolução do filtro de pacotes. Desempenha todas as funções do filtro de pacotes. Analisa mais detalhes que o filtro de pacotes (flags TCP); Metodologia intermediária entre o filtrode pacotes e o stateful firewall. IPCHAINS é sua implementação no Linux. Conhecido como filtro dinâmico. Utiliza um conjunto de regras de filtragem e informações de estado das conexões. A primeira filtragem ocorre com o primeiro pacote (SYN), depois o filtro SPF cria uma entrada para essa conexão (sessão) na tabela de estados. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 24 Cabeçalho IPv4 Cabeçalho TCP Packet Filter Trata todo o cabeçalho IP (20 bytes) e as portas de origem e destino (4 bytes). SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 25 Stateless Trata todo o cabeçalho IP (20 bytes), as portas de origem e destino (4 bytes) e, em geral, analisa os FLAG de conexão do TCP. NÃO trata o estado da conexão. Stateful Trata todo o cabeçalho IP (20 bytes), todo o cabeçalho TCP (20 bytes) ou UDP (8 bytes) ou ICMP. TRATA o estado da conexão. O STATEFUL pode realizar o tratamento como se fosse PACKET FILTER ou STATELESS SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 26 Comparação dos Tipos Firewall Packet Filter – trata 20 a 24 bytes Stateless – trata pouco mais de 24 bytes (FLAGs) Stateful – trata no mínimo 40 bytes (H IP e H Transporte) Ferramentas de Firewall Exemplos de firewalls: Linux Kernel 2.0.x IPF – Packet FilterB IPFWADM – Packet Filter Linux Kernel 2.2.x Ipchains – Stateless Sinus – Packet Filte Linux Kernel 2.4.x/2.6.x Netfilter (iptables) – Stateful Outras soluções Open Source: IPFW – FreeBSD PF – OpenBSD e FreeBSD 5.x IPFilter – Solaris 10 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 27 Arquitetura de Firewall Dual-homed host Screened Host Screened Subnet Dual-homed host Screened Host SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 28 Screened Subnet SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 29 Segurança Lógica Firewall Application Proxy – Métodos de Utilização Conexão direta – configurando o navegador. Proxy de Autenticação – usuário se identifica e autentica. Proxy Transparente – NÃO configura o navegador, o usuário não tem o conhecimento da existência do proxy ou que o utiliza. Application Proxy Conhecido como firewall de aplicação, proxy de serviços ou simplesmente proxy. Permite análise e filtragem até a camada de aplicação. Necessita de 2 conexões: Cliente – Proxy Proxy – Servidor Application Proxy – Vantagens Impor restrições com base em: Horários, Login, Endereço IP etc. Cache de páginas e arquivos. Registra todos os acessos (LOGs). Application Proxy – Desvantagens Pode utilizar servidores diferentes para cada aplicação (serviço). Aumenta o atraso ao acessar um serviço. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 30 Deep Packet Inspection (DPI) Considerado a evolução do FIREWALL e pode ser visto como a integração de: Intrusion Detection (IDS), Intrusion Prevention (IPS) e Stateful firewall. Anteriormente acompanhamos a linha do tempo: Filtro de pacotes – todo o tráfego (ambos os sentidos) tem uma regra para permitir ou negar. Stateless firewall – passou a analisar as portas. Stateful firewall – criava regras dinamicamente utilizando como base a reação prevista dos protocolos (inspeção inteligente). Anteriormente acompanhamos a linha do tempo: Application proxy – não foram capazes de controlar as novas ameaças. A multiplicidade de aplicações a serem controladas, agregada à latência adicionada pelo proxy, diminuiu a demanda por esse serviço. Novas Demandas Aplicações emergentes necessitam verificação em wire-speed, utilização de XML e Simple Object Access Protocol (SOAP). Aplicativos que modificam suas portas de comunicação. Utilização de tunelamento em protocolos normalmente autorizados (TCP porta 80 – HTTP). Visão do DPI Verificar o conteúdo do payload da aplicação, para tomar decisão baseado no conteúdo desses dados. Técnicas do DPI (herdadas dos IDS) Análise baseada em assinaturas. Estatísticas. Anomalias. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 31 WIRE-SPEED – DPI ASIC – Application Specific Integrated Circuits ou NPU – Network Processing Units EXEMPLO NECESSIDADE DPI O cliente 200.0.0.1 acessa O servidor de e-mail 200.10.10.1, Acesso permitido. Exemplo Necessidade DPI SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 32 Levantamento de Contas E-Mail Válidas VRFY – confirma nomes de usuários válidos EXPN – revela os endereços de entrega reais de apelidos e listas de distribuição Negar esta conexão. Negar o cliente totalmente. Outro Exemplo: Explorar Remote Buffer Overflow in Sendmail CERT Advisory CA-2003-12 http://memoria.rnp.br/cais/alertas/2003/ca200312.html SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 33 Análise de Vulnerabilidades em Redes de Computadores O Que é Vulnerabilidade? Segundo a NORTON by Symantec, “são falhas no software de computador que criam deficiências na segurança geral do computador ou da rede. As vulnerabilidades também podem ser criadas por configurações incorretas do computador ou de segurança. As ameaças exploram as vulnerabilidades, o que resulta em possíveis danos para o computador ou dados pessoais”. Segundo a CERT.ORG, “é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança”. É uma condição quando explorada por um atacante, pode resultar em uma violação de segurança. Vulnerabilidades – Exemplos Falhas no projeto, na implementação ou Falhas na configuração de programas, serviços ou Equipamentos de rede Vulnerabilidades – Fragilidades Da tecnologia De configuração Da política de segurança Do equipamento de rede Vulnerabilidades – Fragilidades Da tecnologia TCP/IP SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 34 Sistema Operacional Equipamentos de rede De Configuração Produtos com configurações default inseguras. Erro na configuração de equipamentos de rede. Contas de sistema com senhas fracas, previsíveis ou utilizadas em outros serviços menos seguros. Da Política de Segurança Falta de uma política escrita e implementada. Não implementação ou falha em monitoramento e auditoria. Falta de conhecimento ou acompanhamento sobre ataques. Falta de contingência. Alteração e instalação de software e hardware sem uma política ou não seguindo a política definida. Falha no desenvolvimento e na implementação da política de segurança. Do Equipamento de Rede Proteção das senhas. Falhas de autenticação. Protocolos de roteamento. Brechas no firewall. Vulnerabilidades Ataque – é a exploração de uma VULNERABILIDADE, com a finalidade de executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 35 Pentest – identifica e explora vulnerabilidades, utilizando os mais diversos métodos. Seu principal objetivo é de rapidamente identificar as vulnerabilidades e calcular seus riscos. Não procure solução milagrosa. A Hewlett Packard (HP) realizou um levantamento de incidentes e apresenta um resultado surpreendente mas totalmente plausível. Vulnerabilidades conhecidas ainda são as mais exploradas por hackers, afirma a HP: 44% das brechas conhecidas são de vulnerabilidades descobertas há 2-4 anos. Configurações incorretas de servidor representam a principal vulnerabilidade. Novos caminhos de ataque surgiram com o aumento dos dispositivos móveis conectados. As principais vulnerabilidades de software exploradas são defeitos, bugs e falhas lógicas. A HP constatou o problema e propôs uma possível solução. Principais Recomendações do Artigo da HP Uma estratégia de patches abrangente e oportuna. Testes regulares de penetração e verificação das configurações. Reduza o risco introduzido a uma rede antes de adotar novas tecnologias. A colaboração e o compartilhamento de inteligência de ameaças. Estratégias de proteção complementares devem ser adotadas (presunção de brecha). Leitura do Artigo da HP Completo: http://www.brasscom.org.br/brasscom/Portugues/detNoticia.php?codArea=6&codCat egoria=57&codNoticia=888 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 36 Vulnerabilidades – Entidades de Segurança CVE – Common Vulnerabilities and Exposures. CERT – Computer Emergency Response Team. SANS – System Administration, Networking, and Security Institute. CIS – Center for Internet Security. SCORE –Security Consensus Operational Readiness Evaluation. ISC – Internet Storm Center. NVD -National Vulnerability Database (antiga ICAT Metabase). Security Focus (Symantec). CVE – Common Vulnerabilities and Exposures: • http://www.cve.mitre.org. • Mantida e moderada pela Mitre Corporation. • CVE é um grande dicionário de exposições e vulnerabilidades de segurança da informação, publicamente conhecido e livre para uso público. • Identificadores CVE permitem a troca de dados entre os produtos de segurança e fornece um ponto de referência para avaliar o índice de cobertura de ferramentas e serviços. Exemplo de CVE-ID = CVE-2015-7110 • Lista de nomes padronizados para vulnerabilidades e outras informações de exposição de segurança. • Variedade de artigos, grupos de e-mail, fóruns, discussão, alertas e melhores práticas de segurança. CERT – Computer Emergency Response Team • http://www.cert.org. • Centro de excelência em segurança na internet. CERT/CC – CERT/Coordination Center: SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 37 • É um componente da divisão CERT. • Está situado no Software Engineering Institute (SEI). • Estuda vulnerabilidades de segurança de internet. • Fornece serviços para sites que foram atacados. • Publica alertas de segurança. • Atividades de pesquisa nas áreas de computação na WAN e desenvolvimento de melhoria da segurança na internet; • Oferece treinamento para profissionais de resposta a incidentes. • Computer Security Incident Response Teams (CSIRT). SANS – System Administration, Networking, and Security Institute: • http://www.sans.org. • Líder em pesquisa de segurança da informação. • Compartilhamento de conhecimentos entre mais de 156.000 profissionais de segurança em TI. • Permite também a elaboração de novas soluções para problemas encontrados. CIS – Center for Internet Security; • http://www.cisecurity.org. • Sua missão é ajudar organizações ao redor do mundo a gerenciar efetivamente os riscos relacionados com a segurança da informação. • Para defesa cibernética atualmente é recomendado utilizar Critical Security Controls (CSC) Esses controles são eficazes porque são derivados dos padrões de ataque mais comuns destacados nos principais relatórios de ameaças e controlados por uma ampla comunidade de praticantes do governo e da indústria. Top 20 CSC: CSC 1: Inventário de dispositivos autorizados e não autorizados CSC 2: Inventário de software autorizados e não autorizados SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 38 CSC 3: configurações de segurança para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores CSC 4: Avaliação de vulnerabilidade contínua e remediação CSC 5: Uso controlado de privilégios administrativos CSC 6: Manutenção, monitoramento e análise dos registros de auditoria CSC 7: Proteção de e-mail e web browser CSC 8: Defesas de malware CSC 9: limitação e controle de portas, protocolos e serviços de rede CSC 10: Capacidade de recuperação de dados CSC 11: configurações de segurança para dispositivos de rede, tais como firewalls, roteadores e switches CSC 12: Defesa de fronteira CSC 13: Proteção de dados CSC 14: Acesso controlado com base no Need to Know CSC 15: Controle de acesso sem fio CSC 16: Monitoramento e controle de conta CSC 17: Avaliação de habilidades de segurança e de treinamento adequados para preencher lacunas CSC 18: Aplicação de Software Segurança CSC 19: Resposta e Gestão de incidentes CSC 20: Testes de Penetração e Exercícios Red Team Um estudo realizado pelo governo australiano indica que 85% das vulnerabilidades conhecidas podem ser paradas por meio da implantação dos CSC Top 5 da CIS. Isso inclui a confecção de um inventário de ativos de TI, implementação de configurações de segurança, correção de vulnerabilidades, e restringir usuários não autorizados. SCORE –Security Consensus Operational Readiness Evaluation: • http://www.sans.org/score/. • Esforço cooperativo entre SANS/GIAC e o Center for Internet Security(CIS). SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 39 • Tem o objetivo de promover, desenvolver e publicar verificações (checklists) de segurança. • Desenvolver um consenso sobre normas mínimas e informações sobre melhores práticas, essencialmente agindo como o motor de pesquisa para o CIS. ISC – Internet Storm Center: • http://isc.sans.edu. • É apoiado pelo Instituto SANS. • Reúne milhões de entradas de log de detecção de intrusão diariamente, a partir de sensores que cobrem mais de 500.000 endereços IP em mais de 50 países. • Está se expandindo para realizar uma busca mais rápida por tempestades, identificando os locais que são utilizados para ataques e oficializar os alvos e os tipos de ataques; • É um serviço gratuito para a comunidade da internet. NVD ‒ National Vulnerability Database (antiga ICAT Metabase): • https://nvd.nist.gov/. • Define-se como índice pesquisável de informações das vulnerabilidades dos computadores. • Vincula vulnerabilidade ao usuário e disponibiliza informações de atualização. • O NVD oferece aos usuários um mecanismo de busca full-featured com opções para selecionar vulnerabilidades e exposições de acordo com qualquer um ou todos os critérios, a seguir veremos a lista desses critérios. Lista de Critérios: Data de entrada Vendor Produto Versão Por palavra-chave SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 40 Gravidade Fontes comuns Explorar relacionado Consequência vulnerabilidade Tipo de vulnerabilidade Tipo de SO Tipo de entrada Tipo de componente Data inicial Security Focus (Symantec) No Brasil CAIS – Centro de Atendimentoa Incidentes de Segurança https://www.rnp.br/servicos/seguranca CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil http://www.cert.br/ Ferramentas & Diferentes Tipos de Ataque Fases de um Ataque Descoberta Enumeração Mapeamento de vulnerabilidades Exploração Descoberta Coletar informações, servidor web, e-mail, registros DNS etc. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 41 Enumeração Tentativa de obter nome de usuários, os recursos compartilhados pela rede, informações dos aplicativos, plataforma, infraestrutura e principalmente as versões dos serviços. Mapeamento de vulnerabilidades Traçado o perfil pelas fases anteriores, busca as vulnerabilidades publicamente conhecidas. Exploração Tentar obter acesso privilegiado ou escalar privilégios, dos alvos, utilizando ferramentas para explorar as vulnerabilidades esperadas (exploits). Conceitos Básicos para um Ataque Packet Sniffing ARP Spoofing IP Spoofing Fragmentação de pacotes IP Packet Sniffing É um ataque passivo, também chamado de passive eavesdropping. Executa a captura de pacotes, de todos os hosts (promiscuous mode), que estejam no mesmo segmento de rede. Switches podem dividir a rede em mais segmentos, dificultando a captura de pacotes. Para realizar a captura em redes segmentadas, podem ser utilizadas configurações de SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 42 “mirror port” ou “SPAN Switch Port Analizer”, que é a porta para a qual o switch enviará cópia de todo o tráfego. Outra possibilidade para captura em redes segmentadas por switch seria gerar tráfego com MAC de origem falso para comprometer a MAC address table, quando o switch não sabe a interface do destino envia o frame para todas as interfaces. Softwares: tcpdump (Linux) e wireshark ARP Spoofing Enviar um frame com uma solicitação ou resposta ARP falso, desviando o tráfego para o host invasor (apropriação de identidade). Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego válido chegue ao seu destino. IP Spoofing Consiste na técnica de falsificar o endereço IP de origem de um pacote. Fragmentação de Pacotes IP A figura ilustra como entender a fragmentação de pacotes IP. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 43 É uma técnica utilizada cujo objetivo é dificultar a detecção de um ataque ou realizar uma negação de serviço (DoS). A seguir entenda as possibilidades de ataque com a fragmentação. Possibilidades de Ataque com a Fragmentação Normalmente os hosts não tentam processar o pacote até receber todos os fragmentos, possibilitando um overflow na pilha TCP/IP, se o buffer reservado for menor que o tamanho do pacote a ser reagrupado. Em geral trava o sistema, caracterizando um ataque de DoS. Possibilidades de Ataque com a Fragmentação Outra possibilidade é offset negativo, podendo acarretar resultados inesperados do host. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 44 Exemplos: Ping da Morte – pacotes com 65535 bytes, sobrecarga do buffer, trava o sistema. Protocolo ICMP. Teardrop – mesma técnica do Ping da Morte, só que para os protocolos UDP ou TCP. A maioria dos sistemas atuais já corrigiram esses problemas. Atualmente, a fragmentação é utilizada para tentar dificultar a ação dos firewalls ou sistemas de detecção de intrusão (IDS), já que alguns desses equipamentos não suportam fragmentação. A ferramenta NMAP é um exemplo; pode utilizar a técnica de fragmentação para fazer varreduras. Ataque Abordados na fragmentação IP: Ping da morte (fragmentação – ICMP) Teardrop (fragmentação – TCP UDP) Abordaremos a seguir: SYN flood (TCP) Smurf (ICMP) Fraggle(UDP) Varredura ARP poison Buffer overflow SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 45 Syn Flood – Ataque Ataque baseado no three way handshake do TCP, utiliza as características de abertura de conexão onde quem inicia a conexão utiliza a flag SYN ligada. Realiza envio de uma GRANDE quantidade de segmentos TCP com o flag SYN ligado em conjunto com falsificação de IP de origem (IP Spoofing). Resultado ao atingir a quantidade máxima de conexões: incapacita a vítima de atender às conexões legítimas. Smurf – Ataque Ataque baseado no protocolo ICMP mensagem do tipo ECHO REQUEST. Realiza uma grande quantidade de pings destinados ao endereço de broadcast da rede e a origem é o endereço IP do host vítima (IP Spoofing). Fraggle – Ataque Ataque Fraggle é uma variação do ataque smurf. O smurf utiliza ICMP – echo request e o fraggle UDP echo. Varredura – Ataque A varredura (scanning) é uma técnica utilizada na fase enumeração, para obter diversas informações como IP, porta, estado e serviço, podendo obter também versão do SO e dos Serviços. Arp Poison – Ataque Esse ataque se aplica somente a redes ethernet, sendo a forma mais eficiente de executar um ataque de Man-In-The-Middle, em que o atacante se interpõe SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 46 (logicamente) entre uma conversação de duas ou mais estações, utilizando o ARP Spoofing. Buffer Overflow (Estouro de Buffer)- Ataque Para entender esse tipo de ataque inicialmente é necessário relembrar a definição de buffer: Buffer – são áreas de memória criadas pelos programas para armazenamento de dados, que se encontram em processamento. Esse buffer tem tamanho definido baseado na quantidade e tipo dos dados a serem armazenados. O BUFFER OVERFLOW (estouro do buffer) pode ocorrer ao programa receber mais dados que o buffer suporta armazenar. Se o referido programa não tratar essa possibilidade, pode ocorrer o armazenamento em áreas de memória próximas, corrompendo os dados ou travando o sistema e na pior das hipóteses, executar um código explorando alguma vulnerabilidade. Ferramentas Abordaremos as seguintes ferramentas: NMAP HPING METASPLOIT MEDUSA THC-Hydra SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 47 NMAP – Ferramenta Realizar uma varredura com objetivo de identificar as portas de serviços que estão abertas em um host ou uma rede. Com a utilização de parâmetros, pode retornar a versão do sistema operacional e a versão dos serviços em execução. Exemplo: Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e serviço. Com alguns parâmetros podemos: - O – tentar detectar o SO. - P0 – realizar a varredura do host mesmo que não responda ao ping. Possui uma interface gráfica a ZENMAP para diversas plataformas de SO (Windows, Linux, MacOS, BSD etc.). HPING – Ferramenta É uma ferramenta que gera e analisa pacotes. Dá suporte aos protocolos ICMP, UDP e TCP. Permite alteração do cabeçalho e do payload do pacote. Funcionalidades: Teste de firewall. Port scanning avançado. Teste de diferentes protocolos e fragmentação na rede. MTU Discovery manual. Traceroute avançado. OS Fingerprinting Auditoria da pilha TCP/IP SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 48 METASPLOIT – Ferramenta A partir de 2009 diversas variantes comerciais foramdesenvolvidas. A versão livre e open source, possui algumas limitações em relação comercial. É um framework, open source, que foi criado por H.D.Moore, com o objetivo de acelerar o desenvolvimento, testes e utilização de exploits, além de permitir a criação de seus próprios módulos de exploits. Possui um número considerável de exploits, payloads e ferramentas para teste de vulnerabilidades em diversas plataformas, sistemas operacionais e servidores. Medusa – Ferramenta É uma ferramenta usada para ataques de força bruta para descobrir login/senha remotamente. É uma ferramenta que obtém enorme sucesso, quando os usuários utilizam senhas fáceis (fracas). Resumindo não há uma política de senhas implementada, permitindo senhas fracas, como sequencias numéricas, datas, palavras do dicionário etc. Além da política de senhas, o administrador deve bloquear usuários com falhas de logon sucessivas, implementar um Sistema de Detecção de Intrusos (IDS) e realizar auditoria nos logs. THC HYDRA – Ferramenta Ferramenta muito semelhante a MEDUSA. Ataca login/senha nos diversos protocolos, incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros. 3º Fórum Brasileiro de CSIRTS SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 49 Ataques mais Frequentes Força Bruta – SSH, POP3 Força Bruta – FTP, WordPress Ataques a Servidores Web com CMS Defacement, hospedagem de malware/phishing, DDoS Exploração de senhas por força bruta CMS desatualizados (pacotes/plug-ins prontos) DDoS – plug-ins WordPress e Brobot no Joomla Ataques Partindo de Provedores de “Cloud” Clientes comprometidos hospedando phishing/malware VM compradas por atacantes gerando ataques diversos: Enviando spam via proxies abertos Ataques de força bruta Realizando ligações abusando servidores SIP/VoIP Hospedando servidores DNS maliciosos Ataques Envolvendo DNS Em “modems” e roteadores banda larga(CPE), comprometidos Infraestrutura de DNS de provedores de banda larga comprometida Servidores DNS recursivos respondendo incorretamente Fraudes Boletos alterados 2ª via de boleto falso, DNS malicioso Phishing Clássico Centenas de variações para a mesma URL Ataques com amplificação Distributed Reflected Denial-of-Service (DrDoS) SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 50 Protocolos mais usados: DNS, SNMP, NTP, Chargen. Sistemas de Detecção e Prevenção de Intrusão Características Comuns dos IDS e IPS Ambas as tecnologias são implantadas por sensores. Ambas as tecnologias usam assinaturas para detectar padrões de uso indevido de tráfego de rede. Ambos podem detectar padrões atômicos (single-packet) ou padrões compostos (multi-packet) Ambos devem ter uma Política de Segurança bem planejada Singularidades dos IDS e IPS IDS – Promiscuous Mode VANTAGEM Não gera impacto de latência ou jitter na rede. Se houver FALHA no sensor NÃO afetará a rede. Se houver SOBRECARGA no sensor NÃO afetará a rede. DESVANTAGEM Ação de resposta não pode parar o pacote que a desencadearam. Ação de resposta necessita de um ajuste fino e preciso. Singularidades dos IDS e IPS IPS – Inline Mode VANTAGEM Pode parar os pacotes que a desencadearam SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 51 Pode usar técnicas de normalização de fluxo contínuo DESVANTAGEM Questões do sensor podem afetar o tráfego de rede Se houver SOBRECARGA no sensor, isso AFETARÁ a rede Gera algum impacto de latência e jitter na rede Ids Promiscuous Mode SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 52 Ips Inline Mode Comparando HIPS X NIPS Hips VANTAGEM É específico do host. Protege host após descriptografia. Fornece proteção de criptografia em nível de aplicativo. DESVANTAGEM Dependente do Sistema Operacional. Eventos inferiores ao nível de rede NÃO serão vistos. O Host é visível para atacantes. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 53 Nips VANTAGEM É custo-efetivo. Não é visível na rede. Independe do Sistema Operacional. Eventos inferiores ao nível de rede serão vistos. DESVANTAGEM Não pode examinar o tráfego criptografado. Não sabe se um ataque foi bem-sucedido. Características da Assinatura: Um sensor IDS ou IPS realiza a correspondência entre uma assinatura e um fluxo de dados. O sensor toma ações. Assinaturas têm três atributos característicos: Tipo de assinatura, Trigger da assinatura (disparo), Ação da assinatura. Ids Baseados em Host – HIDS OSSEC Código aberto. Capaz de analisar registros, verificar integridade, detectar rootkits. Executa alertas em tempo real e resposta ativa. Sua funcionalidade se deve às ferramentas de correlação e ao motor de análise. OSIRIS Pode monitorar uma ou mais máquinas periodicamente, mantendo log; SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 54 Pode enviar mensagens de monitoramento e de possíveis ataques ao administrador da segurança da rede; Opensource; HP-UX HIDS Pode realizar monitoramento, gerar alerta da possível invasão; Detecção baseada em áreas de vulnerabilidades: Os dados de auditoria são correlacionados para determinar em qual delas houve exploração Quase real-time. Ids Baseados em Rede – NIDS SNORT Baseado em regras que são processadas na análise dos pacotes Modos de operação: Sniffer, Registrador de pacotes, Detecção de intrusos e Snort Inline, que é um IPS Untangle Pode ser instalado em um computador servidor; Não requer um sistema operacional para funcionar, por ser um programa servidor. BRO Intrusion Detection System Pode realizar monitoramento passivo do tráfego de rede. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 55 Pode analisar a ocorrência de atividades suspeitas por meio de eventos em semântica de aplicações, verificando o que é considerado um ataque. Prelude Hybrid IDS Opensource similar ao Snort. Pode gerenciar as informações de segurança. Integrável a outras ferramentas de redes e a outros sistemas detectores de intrusões. Cisco Secure IPS Versão atualizada do NetRanger. Possui as funcionalidades de segurança de redes combinada a um sistema de prevenção contra intrusos. Tipos de Assinaturas: Atômico Composto ou Stateful Atômico Forma mais simples Consiste em um único pacote, atividade, ou evento Não necessita de sistema de intrusão para manter informações de estado Fácil de identificar Composto ou Stateful Identifica uma sequência de operações distribuídas em vários hosts Assinatura deve manter um estado conhecido SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 56 Triggers de Assinaturas (Disparos): Detecção baseada em padrões. Detecção baseada em anomalia. Detecção baseada em política. Detecção baseada em Honeypot. Detecção baseada em padrões VANTAGENS Fácil de configurar Poucos falsos positivos Bom design de assinatura DESVANTAGENS NÃO detecta assinaturasdesconhecidas Inicialmente grande quantidade de falsos positivos Assinaturas devem ser criadas, atualizadas e sofrer um ajuste fino Detecção baseada em anomalia VANTAGENS Simples e confiável Políticas personalizadas Pode detectar ataques desconhecidos DESVANTAGENS Saída genérica Deve ser criada uma política SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 57 Triggers de Assinaturas: padrões Detecção baseada em política VANTAGENS Fácil de configurar Pode detectar ataques desconhecidos DESVANTAGENS Perfil de tráfego deve ser constante Triggers de Assinaturas: padrões anomalia Detecção baseada em Honeypot VANTAGENS Janela para visualizar ataques Distrair e confundir os atacantes Diminuir a velocidade e evitar ataques Coletar informações sobre o ataque DESVANTAGENS Servidor de honeypot dedicado Servidor de honeypot não deve ser confiável Boas Práticas Grandes redes devem atualizar os pacotes preferencialmente de forma automática. Quando a atualização dos pacotes de assinatura for necessária, deve ser baixada para um servidor seguro na rede de gerência, com um HIDS/HIPS instalado. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 58 Criar uma nova assinatura para detectar e mitigar um ataque específico, se a atualização não existir. O pacote de assinaturas deve ser disponibilizado em um servidor FTP dedicado e seguro. Com acesso somente para leitura, garantido às contas que os sensores utilizarão par ao download interno. Agendar a hora do dia em que os sensores deverão verificar as atualizações, de maneira automática no servidor FTP interno, priorizando o horário de menor atividade momentânea. Sensores e consoles de gerenciamento devem dar suporte aos mesmos níveis de assinatura. Técnicas de Criptografia e Autenticação Criptologia Criptografia Criptoanálise Esteganografia Criptografia Kryptós (cripto): “escondido” Gráphein (grafia): “escrita” Ocultar informação de pessoas não autorizadas Encriptação – torna a mensagem incompreensível Criptoanálise Decodificar mensagens sem conhecer a chave secreta Esteganografia Ocultar mensagens dentro de outras SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 59 Organograma Básico da Escrita Secreta Criptografia – Serviços de Segurança Confidencialidade/privacidade/segredo • Garantir que a mensagem somente possa ser lida pelo receptor desejado Autenticação de origem • Garantir quem originou a mensagem Integridade da mensagem • Garantir que a mensagem não tenha sido alterada Criptografia – Tradicional ou Clássica Categorias: Cifras de Transposição (rearranja as letras) Cifras de Transposição reordenam os símbolos, mas não os disfarçam SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 60 Cifras de Substituição (substitui as letras) As cifras de substituição preservam a ordem dos símbolos no texto claro, mas disfarçam esses símbolos Cifras Transposição – Cerca de Estrada de Ferro Criada na Guerra Civil As letras alternadas do texto puro são alternadas para formar o texto criptografado Cerca de Estrada de Ferro – Funcionamento Cifrar o texto Universidade Estácio de Sá SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 61 Cifras de Substituição – Cifra de César Monoalfabético; Cifra de César: Cifrar – E(x)=(x+3) mod 26 Decifrar – D(x)=(x-3) mod 26 http://crypto.interactive-maths.com/caesar-shift-cipher.html#act Cifra de César – Funcionamento Alfabeto inglês com 26 caracteres Deslocamento de 3 – primeiro deslocamento Deslocamento de 3 – segundo deslocamento Deslocamento de 3 – terceiro deslocamento 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 a b c d e f g h i j k l m n o p q r s t u v w x y z a b c d e f g h i j k l m n o p q r s t u v w x y z 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 a b c d e f g h i j k l m n o p q r s t u v w x y z a b c d e f g h i j k l m n o p q r s t u v w x y z 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 a b c d e f g h i j k l m n o p q r s t u v w x y z a b c d e f g h i j k l m n o p q r s t u v w x y z 1 2 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 a b c d e f g h i j k l m n o p q r s t u v w x y z a b c d e f g h i j k l m n o p q r s t u v w x y z 1 2 3 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 62 O alfabeto é circular Cifrar o texto unesa 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 a b c d e f g h i j k l m n o p q r s t u v w x y z d e f g h i j k l m n o p q r s t u v w x y z a b c SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 63 Cifras de Substituição – Cifra de Vigenere Polialfabético Imune à análise de frequência As chaves podem variar por arquivo Não devem ser pequenas evitando repetição de padrões http://crypto.interactive-maths.com/vigenegravere-cipher.html#act Cifra Vigenère ‒ Funcionamento Palavra-chave sapo Cifrar o texto unesa SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 64 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 65 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 66 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 67 Organograma Básico da Criptografia Criptografia de Chave Simétrica (ou de Chave Única) Utiliza um algoritmo e uma chave para cifrar e decifrar A chave tem que ser mantida em segredo Algoritmo + parte do texto cifrado deve ser INSUFICIENTE para obter a chave As duas principais características: Cifradores de blocos Cifradores de fluxo Cifradores de blocos: Divide a mensagem em blocos de tamanho fixo no momento da cifragem dos dados ‒ por exemplo: DES e AES Cifradores de fluxo: Cifra cada dígito do texto plano por vez Menos utilizados que os de bloco SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 68 Exemplo – RC4 Garantir a confidencialidade dos dados. Não comprometer a confidencialidade da chave Métodos criptográficos que usam chave simétrica são: DES, 3DES, AES, IDEA, BLOWFISCH, RC2, RC4, RC5, CAST, TWOFISH e SERPENT Utiliza um algoritmo e um par de chaves, se cifrado com uma chave somente decifra com a outra Uma chave é pública e a outra deve ser mantida em segredo (privada ou secreta) Pode ser armazenada em: Arquivo, smartcard ou token Como requisito de segurança: algoritmo + parte do texto cifrado + uma das chaves NÃO deve ser suficiente para obter a outra chave Métodos criptográficos que usam chaves assimétricas são: RSA, DAS, ECC e DIFFIE- HELLMAN. Problemas da Criptografia Simétrica Distribuição e armazenamento das chaves secretas? Quantas chaves secretas são necessárias para uma comunicação entre “n” indivíduos? Garantir que a chave pública é realmente de quem diz ser? Necessita de infraestrutura para armazenamento das chaves públicas? DES – Data Encryption Standard – Simétrico Desenvolvido pela IBM em 1977 Chave de 56 bits Quebrado por força bruta em 1997 Encripta em blocos de 64 bits Utiliza a técnica de substituição A partir de 1993 o NIST recomenda o 3DES Primeiro disponibilizado abertamente ao mercado SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 69 3DES – Triplo Data Encryption Standard – Simétrico Desenvolvido pela IBM em 1979 Chave de 112 ou 168 bits Variação do DES 112 bits – utiliza 2 chaves e 3 fases EDE: 1ª fase mensagem Encriptada com a chave K1 2ª fase Decifragem utilizando a chave K2 3ª fase nova Encriptação utilizando a chave K1 168 bits – utiliza três chaves e três fases EEE: 1ª fase mensagem Encriptada com a chave K1 2ª fase Encriptada utilizando a chave K2 3ª fase Encriptação utilizando a chave K3 AES – Advanced Encryption Standard – Simétrico Originado: concurso do NIST (National Institute of Standards and Technology) em 2003 Requisitos do concurso: Divulgado publicamente e NÃO possuir patentes Cifrar em blocos de 128 bits Chaves de 128, 192, 256 bits Implementado em hardware ou software Ser mais rápido que o 3DES Com a chave de 128 bits, possibilita 2128 chaves Uma máquina com 1 bilhão de processadores paralelos, avaliando uma chave a cada pico-segundo, levaria aproximadamente 1010 anos para pesquisar esse espaço de chaves. Baseado na teoria matemática de Campo de Galóis, possibilitando a demonstração de suas propriedades de segurança. IDEA – Inter. Data Encryption Algorithm – Simétrico Criado por Massey & Xuejia, 1990 SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 70 Chave de 128 bits Patenteado na Suiça, ASCOM Systec Implementado em software ou hardware Sua implementação por software é mais rápida que do DES Utilizado no mercado financeiro e no PGP (criptografia amplamente utilizada em e-mail) Blowfish- Simétrico Criado por Bruce Schneier Chave de 32 a 448 bits, chaves de tamanho variável Encripta blocos de 64 bits Utilizador opta por maior segurança ou maior desempenho Não patenteado Aperfeiçoamento do Twofish RC2 – Rivest Cipher 2 – Simétrico Desenvolvido por Ronald Rivest, RSA Data Security, Inc. Utilizado no protocolo S/MIME, criptografia de e-mail corporativo Chave de 8 a 1.024 bits (variável) Encripta em blocos de 64 bits Três vezes mais rápido que o DES (software) Para exportação 40 bits (acordo com o governo dos EUA) RC4 – Rivest Cipher 4 – Simétrico Desenvolvido por Ronald Rivest, RSA Data Security, Inc. Utilizado no protocolo SSL (Netscape) Chave de até 2.048 bits (variável) Encripta em blocos de tamanho variável 4 vezes mais rápido que o DES (software) SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 71 RC5 – Rivest Cipher 5 – Simétrico Desenvolvido por Ronald Rivest, RSA Data Security, Inc. RC5-w/r/b, onde: w = tamanho dos blocos r = quantidade de vezes que o algortimo será aplicado b = número de BYTES que constitui a chave RC5-32/16/7 é equivalente ao DES RSA (Rivest, Shamir E Adelman) – Assimétrico Desenvolvido pela RSA Data Security, Inc. em MIT 1977 Utiliza duas chaves distintas: uma Pública e outra Privada Codificado por uma das chaves somente seu par pode decifrar Algoritmo lento, deve encriptar textos pequenos Opção para TROCA de chaves únicas ou secretas Pode ser utilizado para assinatura digital, garantindo o não repúdio Utiliza números primos grandes Consiste na facilidade em multiplicar números primos para obter um terceiro número e a dificuldade de recuperar aqueles dois primos a partir do terceiro número (fatoração) RSA com chave de 512 quebrado em 1999 pelo Instituto Nacional de Pesquisa da Holanda (ajuda de cientistas de seis países) Utilizado pela ICP-Brasil a partir de 2012 aumentou a chave de 2048 para 4096 bits; Diffie Hellman – Assimétrico Baseado no problema de calcular algoritmos discretos Sistema de chave pública mais antigo em uso NÃO permite ciframento nem assinatura digital Permite aos dois lados da comunicação derivarem uma chave sem necessidade de troca de informação secreta Troca de chaves por canais NÃO seguros: SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 72 Garante confidencialidade NÃO garante autenticidade Função de Resumo (HASH) É um método criptográfico aplicado a uma informação, independente do tamanho, gera um hash de tamanho único e fixo; Utilizado para: Verificar a integridade de um arquivo; Gerar assinaturas digitais. Exemplos SHA-1, SHA-256 E MD5; não deve ser possível obter a informação original a partir de um valor de hash ONE WAY – NÃO deve ser possível obter a informação original a partir de um valor de hash; HASH limitado a 128, 256, 512 bits etc. Colisões hashes iguais para entradas diferentes; SHA-1 – Secure Hash Algorithm 1 – HASH Desenvolvido pela NSA Função de espalhamento unidirecional invertida Hash de 160 bits Baseado no MD4 Encontrada falha de segurança em 2005 SHA-2 – Secure Hash Algorithm 2 – HASH Desenvolvido pela NSA Função de espalhamento unidirecional invertida Hash de 160 bits Baseado no MD4 Falha de segurança encontrada em 2005 SHA-256 – 256 bits e SHA-512 – 512 bits Utilizado a partir de 2012 como padrão IPC-Brasil SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 73 MD5 – Message Digest 5 – HASH Desenvolvido por Ronald Rivest do MIT, RSA Data Security Função de espalhamento unidirecional invertida Hash de 128 bits Um hash de somente 128 bits causa preocupações Existem fraquezas em parte do algoritmo, porém não afetou o mesmo de forma global Assinatura Digital Escolher um Algoritmo de Criptografia Segundo a Microsoft: Nenhum algoritmo é ideal para todas as situações. Princípios Gerais: A criptografia segura geralmente consome mais recursos da CPU que criptografia menos segura. As chaves extensas geralmente produzem uma criptografia mais segura que as chaves mais curtas. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 74 A criptografia assimétrica é mais fraca que a criptografia simétrica, que usa o mesmo comprimento de chave, mas é relativamente lenta. Codificações em bloco com chaves extensas são mais seguras que codificações em fluxo. Senhas longas e complexas são mais seguras que senhas curtas. Se você estiver criptografando muitos dados, deve criptografá-los usando uma chave simétrica e criptografar a chave simétrica com uma chave assimétrica. Dados criptografados não podem ser compactados, mas dados compactados podem ser criptografados. Se você usar compactação, deverá compactar os dados antes de criptografá-los. Vulnerabilidades Web e Conceito Geral de Pentest Pentest – Visão Geral Também conhecido como: Teste de invasão ou teste de intrusão ou teste de penetração Objetivo Verificar a segurança de um ambiente, plataforma ou sistema, por meio de simulação de ataques e exploração de vulnerabilidades. O PENTEST verifica o grau de dificuldade para invadir uma rede ou sistema computacional, procurando e identificando suas vulnerabilidades. Inicialmente com ação idêntica a do atacante, identifica as exposições e seus riscos para depois procurar uma solução. SEGURANÇA DA INFORMAÇÃO EMREDES DE COMPUTADORES 75 Metodologia Baseada em Padrões Internacionais ISSAF – Information Systems Security Assessment Framework OSSTMM – The Open Source Security Testing Methodology Manual NIST-SP 800-42 – Guideline on network Security Testing OWASP – Open Web Application Security Testing Guide Pentest – Abordagem & Metodologia – ISSAF Pentest – Classificação Quanto à quantidade de informações fornecidas ao auditor: Teste caixa-preta ou teste de penetração zero Teste caixa-cinza ou teste de penetração parcial Teste caixa-branca ou teste de conhecimento SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 76 Agora vamos detalhar cada uma delas: Teste caixa-preta: Acesso a informações públicas do alvo, o auditor encontra todas as dificuldades de um ataque real. Também conhecido como teste externo. Teste caixa-cinza: Acesso a informações facilmente obtidas nos processos de reconhecimento e mapeamento realizadas por um atacante, acelerando o processo de auditoria. Teste caixa-branca: Acesso a praticamente todas as informações do alvo como: Topologia; plataforma; linguagens; códigos fonte; endereçamento IP etc. Simula ataque de funcionários e ex-funcionários. Também conhecido como teste interno. Quanto ao conhecimento da equipe de TI da auditoria de segurança: Teste duplo-cego Teste duplo-cinza Teste reverso Agora vamos detalhar cada uma delas: Teste duplo-cego: similar ao teste caixa-preta, auditor sem informações e a equipe de segurança de TI não é informada da execução da auditoria de segurança. Teste duplo-cinza: similar ao teste caixa-cinza, sendo que a equipe de segurança de TI tem conhecimento do período e o escopo dos testes, desconhecendo o momento exato e como será executado. Teste reverso: o auditor recebe todas as informações disponíveis sobre o alvo e a equipe de TI não tem ciência do teste. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 77 Pentest – classificação visão gráfica Gráfico Levantamento de Informações em Fontes Públicas Redes sociais Grupos de discussão Anúncios de emprego WHOIS DNS Informações facilitadoras para o teste de invasão podem ser obtidas em: Redes sociais: nomes de funcionários, suas preferências Respostas para perguntas secretas de recuperação de senha Grupos de discussão: dúvidas postadas nesses grupos em geral possuem riquezas de detalhes do problema: a dificuldade, os arquivos de configuração, versão do software etc. Total Equipe de TI Duplo-cego Duplo-cinza Reverso C o n h e c i m e n t o 0 TotalAuditor SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 78 Anúncios de emprego: Indicam área da empresa carente de profissional qualificado. Exemplo solicitação de especialista em CISCO, provavelmente possui deficiência na configuração de infra. WHOIS: utilizado para obter informações sobre o nome de domínio, endereço IP, proprietários, contatos dos responsáveis, servidores de nome etc. DNS: Registros do servidor DNS, e-mail do hostmaster, nome dos ativos de redes e na pior das hipóteses a transferência de zona estar aberta para qualquer IP. Testando Aplicações Web Scanner de Aplicação Web Alguns exemplos de scanner de aplicação web: W3AF Samurai WTF Nikto Paros SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 79 Agora vamos detalhar as ferramentas: W3AF: é o projeto Web Application Attack and Audit Framework, com o objetivo de seu framework buscar e explorar vulnerabilidades de aplicações web. http://w3af.sourceforge.net Samurai WTF : o ambiente do framework Samurai Web Testing Framework é live Linux configurado para funcionar como um ambiente de web pen-testing. http://samurai.inguardians.com Nikto: é uma ferramenta scanner de servidor, com o objetivo de realizar testes contra múltiplos itens em servidores web. http://cirt.net/nikto2 Paros: – é um proxy HTTP e HTTPS, para interceptação e ou alteração de dados entre o cliente e o servidor. Esses dados incluem cookies, campos de formulários etc. http://www.parosproxy.org/ Avaliando Aplicações Web BurpSuite Websecurify CAT Agora vamos detalhar as ferramentas: BurpSuite: – plataforma integrada com o objetivo de atacar e testar aplicações web. http://portswigger.net Websecurify: – ferramenta com o objetivo de identificar automaticamente aplicações web vulneráveis, utilizando tecnologia fuzzing e advanced discovery. http://www.websecurify.com SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 80 CAT: The Manual Web Application Audit – aplicação com o objetivo de facilitar testes manuais de invasão em aplicações web. http://cat.contextis.co.uk Auditoria de Banco de Dados DB Audit Free Edition SQL Map Agora vamos detalhar as ferramentas: DB Audit Free Edition: – ferramenta de auditoria e análise de segurança para bancos de dados Oracle, Sybase, DB2, MySQL e Microsoft SQL Server. http://www.softtreetech.com SQL Map: – ferramenta automática em linha de comando para testes de sql- injection. http://sqlmap.sourceforge.net OWASP Top 10 Riscos De Segurança em Aplicações A1 – Injeção A2 – Quebra de Autenticação e Gerenciamento de Sessão A3 – Cross-Site Scripting (XSS) A4 – Referência Insegura e Direta a Objetos A5 – Configuração Incorreta de Segurança A6 – Exposição de Dados Sensíveis A7 – Falta de Função para Controle do Nível de Acesso A8 – Cross-Site Request Forgery (CSRF) A9 – Utilização de Componentes Vulneráveis Conhecidos A10 – Redirecionamentos e Encaminhamentos Inválidos Link esclarecedor das TOP 10 https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 81 Segurança no Comércio Eletrônico Objetivo Identificar as principais características do comércio eletrônico e reconhecer as técnicas utilizadas para prover segurança a esse tipo de comércio. Conceito Comércio eletrônico (e-commerce) pode ser entendido como uma combinação de tecnologias, aplicações e procedimentos negociais que permitem a transação on-line de bens e serviços entre governos, sociedades e empresas. Um conceito básico para comércio eletrônico seria defini-lo como qualquer transação comercial por meio eletrônico. Fundamento Do Comércio Eletrônico Segurança Criptografia Moedas e pagamentos eletrônicos Histórico A internet nasceu em 1969, sob o nome de ARPANET, resultado de um projeto de interconexão dos computadores de instituições de pesquisa, de ensino e governamentais. Essa rede fornecia os serviços básicos de correio eletrônico, transferência de arquivos e compartilhamento de impressoras, e foi projetada para uso de uma comunidade restrita de usuários que confiavam mutuamente entre si (SMITH & GIBBS, 1994). Não foi concebida para um ambiente comercial e, assim, é vulnerável a vários tipos de ataques. SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 82 Originalmente, comércio eletrônico significava a facilitação de transações comerciais eletrônicas, usando tecnologias como: Eletronic Data Interchange (EDI): troca de documentos via sistemas de teleinformática entre duas ou mais organizações de forma padronizada. Eletronic Funds Transfer (EFT): transferência eletrônica
Compartilhar