Conceitos Segurança Redes

Prévia do material em texto

�
Hackers e Crackers
Hacker - Indivíduo com profundos conhecimentos de sistemas operacionais, linguagem de programação, técnicas e ferramentas que potencializam as tentativas de acesso indevido. Comumente buscam mais conhecimento e evitam corromper informações intencionalmente.
Chacker - Indivíduo comumente dedicado a quebrar chave de proteção de programas de computador e invadir sistemas, violando a integridade das informações com intenção maliciosa. Praticamente um hacker profissional perigoso.
Lammer - Indivíduo com conhecimentos técnicos superficiais, que comumente se utilizam de ferramentas de terceiros disponibilizadas na internet para realizar suas tentativas de acesso indevido.
Tipos de Ataques
2.1 Ataques baseados em senhas
Uma estratégia básica para todo início de ataque é a quebra de senha de um usuário válido, seja por tentativa e erro, ataque do dicionário ou inclusive engenharia social.
O ataque ao arquivo de senha mais conhecido é chamado de ataque do dicionário. O ataque consiste na cifragem das palavras de um dicionário através da função crypt, e posterior comparação com os arquivos de senhas de usuários. Desta forma quando uma palavra do dicionário cifrada coincidisse com a senha cifrada de um usuário, o atacante teria obtido uma senha.
Para dificultar este ataque foi criado o salt. O salt é um número randômico gerado na hora em que o usuário esta inserindo ou alterando a sua senha. O número gerado pode estar entre 0 e 4095 e é cifrado juntamente com a senha, o que impede a utilização de um dicionário genérico para todos os usuários. O atacante agora, tem que cifrar cada palavra do dicionário com o salt de cada usuário.
Depois de obter acesso a rede alvo, o hacker já pode ter acesso a arquivos do usuário o qual quebrou a senha, ler e-mails, manter o usuário válido sem poder acessar a rede.
2.2 IP Spoofing (Falsificação de endereço IP)
A falsificação de endereço IP não é exatamente um ataque, ela na verdade é utilizada juntamente com outros ataques para esconder a identidade do atacante. Consiste na manipulação direta do campos do cabeçalho de um pacote para falsificar o número IP máquina que dispara a conexão. Quando um host A quer se conectar ao B, a identificação é feita através do número IP que vai no cabeçalho, por isto, se o IP do cabeçalho enviado pelo host A for falso(IP de um host C), o host B, por falta de outra forma de identificação, acredita estar se comunicando com o host ª
Através desta técnica, o hacker consegue atingir os seguintes objetivos: obter acesso a máquinas que confiam no IP que foi falsificado, capturar conexões já existentes e burlar os filtros de pacotes dos firewalls que bloqueiam o tráfego baseado nos endereços de origem e destino.
2.3 Ataques de negação de serviços (Dos)
Os ataques de negação de serviço (denial of service) consistem em impedir o funcionamento de uma máquina ou de um serviço específico. No caso de ataques a redes, geralmente ocorre que os usuários legítimos de uma rede não consigam mais acessar seus recursos.
2.4 SYN Flood
O SYN Flood é um dos mais populares ataques de negação de serviço. O ataque consiste basicamente em se enviar um grande números de pacotes de abertura de conexão, com um endereço de origem forjado (IP Spoofing), para um determinado servidor. O servidor ao receber estes pacotes, coloca uma entrada na fila de conexões em andamento, envia um pacote de resposta e fica aguardando uma confirmação da máquina cliente. Como o endereço de origem dos pacotes é falso, esta confirmação nunca chega ao servidor. O que acontece é que em um determinado momento, a fila de conexões em andamento do servidor fica lotada, a partir daí, todos os pedidos de abertura de conexão são descartados e o serviço inutilizado. Esta inutilização persiste durante alguns segundo, pois o servidor ao descobrir que a confirmação esta demorando demais, remove a conexão em andamento da lista. Entretanto se o atacante persistir em mandar pacotes seguidamente, o serviço ficará inutilizado enquanto ele assim o fizer.
2.5 Ataques de LOOP
Dentro desta categoria de ataque o mais conhecido é o Land. Ele consiste em mandar para um host um pacote IP com endereço de origem e destino iguais, o que ocasiona um loop na tabela de conexões de uma máquina atacada. Para executar um ataque como este, basta que o hacker tenha um software que permita a manipulação dos campos dos pacotes IP.
2.6 Ataques via ICMP
O protocolo ICMP (Internet Control Message Protocol) é utilizado no transporte de mensagens de erro e de controle. Essencialmente é um protocolo de transferência de mensagens entre gateways e estações. Como todos os protocolos do conjunto TCP/IP, o ICMP não tem como ter garantia se a informação recebida é verdadeira, e por este motivo, um atacante pode utilizar as ICMP para interromper conexões já estabelecidas, como por exemplo enviando uma mensagem ICMP de host inacessível para uma das máquinas. 
O ataque Pong envia pacotes ICMP de echo request para um endereço de broadcast da rede e redireciona as respostas (através de IP Spoofing) para a máquina atacada, causando uma "chuva" de conexões de echo reply para a mesma. O Smurf é uma atualização do Pong que envia pacotes para vários endereços de broadcast. E o Fraggle diferencia-se apenas por utilizar o UDP como protocolo de transporte.
O Ping o Death é outro ataque bastante explorado na Internet. Ele consiste em enviar um pacote IP com tamanho maior que o máximo permitido (65.535 bytes) para a máquina atacada. O pacote é enviado na forma de fragmentos (porque nenhuma rede permite o tráfego de pacotes deste tamanho), e quando a máquina destino tenta montar estes fragmentos, inúmeras situações podem ocorrer: a maioria trava, algumas reinicializam, outras exibem mensagens no console, etc. 
	
Vírus
Geralmente um vírus é definido como um programa que infecta documentos ou sistemas inserindo ou anexando uma cópia dele próprio ou substituindo integralmente determinados arquivos. Um vírus age sem o consentimento ou com o consentimento do usuário. Portanto, quando um arquivo infectado é aberto, o vírus incorporado também é executado, geralmente em segundo plano um vírus verdadeiro é propagado pelos próprios usuários, um vírus não se dissemina deliberadamente de um computador para outro. Existem cinco tipos de vírus de computador.
Vírus Polimórficos - Os vírus de computador polimórficos são propositalmente difíceis de serem detectados. Os autores de vírus polimórficos criptografam o corpo do vírus e a rotina de decodificação. Não existem duas infecções iguais, por isso não é possível criar apenas uma única definição de antivirus para combater todas elas.
Vírus de Macro - Os vírus de macro usam uma linguagem de macro do aplicativo(como Visual Basic) para infectar e duplicar documentos e modelos. Eles estão geralmente associados a programas do Microsoft Office. Esses vírus usam o ambiente de programação da Microsoft para auto-executarem o código de macro viral. Quando um documento infectado é aberto, o vírus é executado e infecta os modelos de aplicativos do usuário.
As macros podem inserir palavras, números ou frases indesejadas em documentos ou alterar funções de comando. Depois de um vírus de macro infectar a máquina de um usuário, ele pode se incorporar a todos os documentos criados no futuro com o aplicativo. 
Cavalo de Tróia - Cavalo de tróia é um programa maléfico disfarçado de benéfico, com o por exemplo, protetor de tela, jogos ou mesmo um programa para localizar e destruir vírus. Entretanto quando executado este programa executa uma tarefa maléfica sem o consentimento nem conhecimento do usuário. Ele não se duplica como um vírus, não faz cópia de si mesmo como um worm e geralmente é propagado por correio eletrônico ou dowloads de internet.
Os cavalos de tróia podem roubar senhas, agir como uma ferramenta para que outros "espionem" os usuários através de registrosde teclas pressionadas e da transmissão desses registros para terceiros por meio de TCP/IP.
Worms - Um worm é um programa que se propaga sozinho, geralmente pela rede através do correio eletrônico, TCP/IP ou unidade de disco, reproduzindo a si mesmo por onde passa.
Os worms são extremamente perigosos para a rede e mais difíceis de serem controlados, porque não precisam ser propagados pelo usuário. 
Hoax - Os Hoax Vírus (ou como demonstra a tradução desse nome: Vírus Boato) não são vírus na verdade, nem Cavalos de Tróia, nem nada - apenas o mais puro boato.
A intenção é clara. Transmitir e causar pânico entre as pessoas novatas, ou que não conhecem detalhes, verídicos, dos métodos de funcionamento e ataque dos verdadeiros vírus de computador. Em paralelo, por incentivarem os recipientes dos e-mails à retransmitirem os e-mails falsos para todos os amigos e conhecidos, causar um grande tráfego, e conseqüente congestionamento, na rede mundial.
Criptografia Simétrica e Assimétrica
Criptografia é geralmente entendida como a transformação de uma mensagem para um formato incompreensível, no intuito de garantir sua privacidade.
Na verdade é mais abrangente, oferecendo suporte aos quatro componentes necessários para a segurança das informações:
Confidencialidade - Garantir que a informação será mantida secreta, não será acessada por usuários não autorizados;
Autenticação - Conhecer a identidade do emissor;
Integridade - Garantir que a mensagem não foi alterada;
Não repúdio - Provar que a mensagem foi enviada por um indivíduo, caso ele negue tê-la enviada.
A idéia principal por trás da criptografia é que um grupo de pessoas possa usar um conhecimento privado para manter as mensagens escritas secretas contra todos os outros.
Criptografia Simétrica ou de chave secreta - O emissor usa uma chave secreta para criptografar a mensagem, e o receptor usa a mesma chave para decriptografar a mensagem.
Como exemplo podemos usar a figura 1, onde Alice utiliza uma chave simétrica S para criptografar uma mensagem (msg) para o usuário Paulo. Ao receber a mensagem criptografada Cs(msg), Paulo utiliza a mesma chave S para decriptografar a mensagem.
Figura 1
O tamanho da chave é muito importante para a segurança dos algorítmos simétricos. Uma chave de "40 bits de tamanho" significa que existem 240 chaves possíveis.
 Exemplo: Uma chave de 40 bits pode ser quebrada em 12 minutos, e uma chave de 56 bits em 556 dias.
Criptografia Assimétrica ou de chave pública - A criptografia assimétrica, veio em 1976 criada por Diffie e Hellman para resolver o problema da distribuição das chaves secretas da criptografia simétrica. Ela permite que você envie mensagens secretas para pessoas com quem ainda não se encontrou e com quem você não combinou uma chave secreta. Neste modelo de criptografia tanto o emissor quanto o receptor possuem não apenas uma, mas duas chaves, uma pública e outra privada. A chave publica como o nome representa pode ser divulgada por seu proprietário sem problemas, inclusive através de meios inseguros e a chave secreta do usuário deve permanecer secreta.
As chaves públicas e privadas são matematicamente relacionadas, de forma que o que é criptografada com uma delas só pode ser decriptografada com a outra. Seguindo o mesmo exemplo da criptografia simétrica, na figura 2 Alice criptografa uma mensagem com a chave pública de Paulo e envia a mensagem, Paulo recebe e decriptografa a mensagem utilizando sua chave privada.
Figura 2
Engenharia Social
Engenharia Social é o método de se obter dados importantes de pessoas através da velha lábia. No popular é o tipo de vigarice mesmo pois é assim que muitos habitantes do underground da internet operam para conseguir senhas de acesso, números telefones, nomes e outros dados que deveriam ser sigilosos.
A tecnologia avança e passos largos mas a condição humana continua na mesma em relação a critérios éticos e morais. Enganar os outros deve ter sua origem na pré-história portanto o que mudou foram apenas os meios para isso.
Em redes corporativas que são alvos mais apetitosos para invasores, o perigo é ainda maior e pode estar até sentado ao seu lado. Um colega poderia tentar obter sua senha de acesso mesmo tendo uma própria, pois uma sabotagem feita com sua senha parece bem mais interessante do que com a senha do próprio autor.
revirar lixo também é uma prática comum nesse campo, pois muitos documentos importantes com dados sigilosos podem ser obtidos dessa maneira.
 
 
Conteúdo:	2. Conceitos de Segurança da Informação
Disciplina: 	Gestão da Segurança da Informação
Professor: 	Sávio Jannuzzi
4º período
Ref: Modulo Security, NBR ISSO/IEC 17799, Schneier	Pág. � PAGE �1�/� NUMPAGES �1�