Baixe o app para aproveitar ainda mais
Prévia do material em texto
Revisão Unidade 02 Pág.2 – Definições: 4 CAIIII 1 - Ataques de Segurança 1 – Interrrupção - Impede que a informação chegue ao seu destino.(DoS) 2 – Interceptação - Comprometea confidencialidade da mesma. (Sniffing) 3 – Modificação - É interceptada, modificada e enviada ao destino. Compromete a confidencialidade e a integridade da comunicação. (Man in the middle) 4 – Fabricação - Fabrica a INFO e envia para o destinatário. (Spoofing) CAIIII Pág.4 – 2 - Tentativa de Intrusão - Ocorre após uma avaliação dos serviços potencialmente vulneráveis.Após encontrar um sistema com versão vulnerável encontramos um exploit para obter acesso ao sistema. Manter os softwares atualizados é muito importante. CAIIII Pág.5 – 3 - Atividade Suspeita - 1 - Mapeamento de redes - É uma tarefa precede o ataque aos e hosts. Testa-se cada host e suas Mapeamento de portas espectivas portas para saber quais estão disponíveis. Um scanning não é considerado um ataque, pois ele não explora vulnerabilidades, e sim levanta informações sobre o host. Pág.5 - 4 - Anomalia de Protocolo – Tráfego não conforme com os padrões das RFC (3way handshake). -TCP ACK Scans. -Flags TCP setadas de forma estranha. (O atacante pode modificar as FLAGS TCP) Pág. 7 - Ameaças CAIIII 1 – Malwares - Vírus - É um programa malicioso que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas. Depende da execução no hospedeiro para se tornar ativo. Worm - Programa que se propagar automaticamente pela rede, enviando cópias de si mesmo de computador para outro. Não embute cópias de si mesmo em outros programas e não necessita ser executado para se propagar. Se propaga através da exploração de vulnerabilidades. Trojan - É um programa que se passa por um "presente" que além de executar funções para as quais foi aparentemente projetado, também executa outras normalmente maliciosas e sem o conhecimento do usuário. Keylogger - É um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. A ativação do keylogger é condicionada a uma ação prévia do usuário. Screenlogger – É a forma avançada de keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou armazenar a região que circunda a posição onde o mouse é clicado. Spyware - Categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Adware - Advertising Software, projetado para apresentar propagandas. Muito comum, aparecerem na hora de instalar um programa. Backdoor - Um programa que permite a um invasor retornar a um computador comprometido. Bot - Programa que se propaga pela rede, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente. O invasor, ao se comunicar com o Bot, pode orientá-lo a desferir ataques contra outros computadores. A uma rede de bots atuando em conjunto dá-se o nome de Botnet. Rootkit - Conjunto de programas que tem como fim esconder e assegurar a presença de um invasor em um sistema comprometido.O nome rootkit não indica ter acesso privilegiado (root) em um computador , mas sim para manter o acesso privilegiado em uma ET comprometida. Pág.10 - 2 – SPAM – Envio de propaganda/e-mails não desejados em massa. 3 – HOAX - Histórias falsas recebidas por e-mail identificadas como "correntes". 4 – Exploit - Programa malicioso que explora uma vulnerabilidade existente em um software de computador. Composto de duas partes: • Trigger – Quando Executado aciona a vulnerabilidade, dando o controle do alvo para o atacante. • Payload (carga) – Código que efetivamente executará uma função na ET alvo. Ex: Criar um usuário, Abrir um Shell. 5 – Hackers - Indivíduos/pesquisadores com grande conhecimento em computação e experiência em segurança da informação.Utilizam seus conhecimentos para melhorar o nível de segurança de sistemas. 6 – Crackers - Semelhante aos hackers, mas buscam roubar informações ou causar prejuízos com objetivo de ganho pessoal. 7 – Spammers - Indivíduos que controlam o envio em massa de e-mails não solicitados, podendo ter a motivação de ganho financeiro ou fazer parte de uma campanha de Phishing Scam. 8 – Defeacers - Crackers especializados em pixar páginas na internet. CAIIII 9 – Port Scanner - Ferramenta utilizada para efetuar varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. Utilizados por atacantes para identificar potenciais alvos, pois associa possíveis vulnerabilidades aos serviços habilitados em um computador. CAIIII 10 – Sniffers - Utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para capturar informações sensíveis onde estejam sendo utilizadas conexões inseguras sem criptografia. Deixa a placa de rede em modo promíscuo onde permite que a placa de rede “aceite” todos os pacotes que estão circulando na rede. CAIIII Pág.15 – Ataques 1 - Phishing Scam – Consiste em fazer com que um usuário execute um código malicioso, se fazendo passar por uma entidade confiável deste usuário para obter informações ou mesmo assumir o controle da ET remotamente. 2 - Defeacing - Ataque que permite a modificação de páginas do servidor alvo, mudando sua aparência com alguma mensagem do hacker que executou o ataque. 3 - Spoofing - Consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados, permitindo ao atacante assumir outras identidades. 4 - Sniffers - São soft ou equip, que permitem capturar pacotes que circulam em uma rede, mostrando o seu conteúdo e estrutura. São ferramentas essenciais para diagnóstico, mas também são utilizados para roubo de informações em redes. •Protocolos Vulneráveis - HTTP, Telnet, FTP, (sem criptografia) SMTP, Rlogin. •Protocolos "não" vulneráveis - HTTPS, SSH, SSL. (não podem ser visualizados no sniffer) Ex: • Wireshark •Tcpdump e windump • Snoop • Sniffit – free e open CAIIII Problemas: Floding e ARP Poison Contra-Medidas: • Usar protocolos “fortes” >Criptografia: Previne que os dados capturados sejam analisados. >Verificação de integridade: previne ataques de inserção. • Controlar o acesso ao meio físico >Rigor na ativação de pontos de rede. • Evitar usuários com poderes de admin nos Pcs. Detecção: • ARPWatch. > Monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. >NIDS – Assinaturas específicas para tráfego ARP. ARP - Protocolo de Resolução de Endereços que mapeia endereços IP em endereços MAC. Cache ARP - Mantém na memória da ET durante algum tempo as associações entre endereços IPs e MACs. Defesa para ARP Poisoning: • Port secure / MAC based filtering: limita a quantidade de endereços que uma porta pode aprender. 5 - DNS Cache Poisoning - Ocorre quando o atacante introduz dados na cache de um servidor de nomes DNS e NÃO o servidor de nomes DNS com autoridade real. (DNS - Mapeia nomes para IP.) 6 - SQL Injection - Falha encontrada em aplicações, comumente causada pela ausência de validação nos campos de entrada de dados, permitindo que o atacante insira comandos de SQL onde, normalmente, se espera apenas dados (nome, senha, endereço, dentre outros). 7 - Remote File Inclusion (RFI) - Permite que o atacante inclua um arquivo remotono servidor WEB, normalmente através de um script armazenado no host alvo. Ocorre quando não há validação no script. Este tipo de ataque pode levar a: • Execução de código arbitrário. • Execução de código no lado cliente. •Negação de Serviço (DoS). •Roubo ou manipulação de dados. Local File Inclusion (LFI) - Inclusão de arquivo local é semelhante ao RFI, mas usa arquivos já hospedados no servidor alvo. 8 – Cross-Site Scripting (XSS) – Encontrada em aplicações web, que operam incluindo em páginas web comandos de client-side script (códigos que são executados no browser do cliente da página), permitido até mesmo a execução de códigos arbirtários. CAIIII 9 - Session Hijacking – Ataque que explora uma sessão válida de uma ET para conseguir acesso não-autorizado a informações. Refere-se ao roubo do Cookie. CAIIII 10 - Buffer Overflow - Falha de software, permite que através da insersão de código tenha-se acesso a porções da memória do computador vulnerável. Isso ocorre pela falha da aplicação em avaliar as entradas de dados, recebendo mais dados que determinada variável do programa pode receber, provoca o transbordamento (overflow) desta variável, eventualmente permitindo o acesso a outras porções da memória próximas a da variável explorada. 11 – Negação de Serviço CAIIII DoS - Tentativa em tornar os recursos de um sistema ou rede indisponíveis para seus utilizadores. Não se trata de uma invasão ao sistema, mas sim da sua invalidação por sobrecarga ou erro. São feitos de duas formas: •Forçar o sistema a reinicializar ou consumir todos os recursos. •Obstruir a comunicação entre os utilizadores e o sistema alvo, de forma a não se comunicarem adequadamente. DdoS - Consiste em um DOS que tem múltiplas origens e é coordenado de um ponto central, obtendo resultados ainda mais eficazes contra seus alvos. 12 - Man-in-The-Middle - O objetivo do ataque é observar/alterar a comunicação entre o cliente e o servidor (através de mudança de rotas, falsificação de ARP). Muito utilizado desde um sniffer em redes com switches até mesmo sniffer de tráfego SSL. CAIIII Pág.32 - Análise de Vulnerabilidades Informações do Underground Existe muita informação sobre vulnerabilidades de segurança disponível publicamente. Ferramentas de ataque são cada vez mais amigáveis e fáceis de se distribuir, sendo muito utilizadas por Script Kiddies. Pág. 35 - Metodologia de um Ataque Fases: • Reconhecimento - O atacante levanta informações sobre o alvo. • Scanning – O atacante faz testes para encontrar fraquezas. • Obtenção de Acesso – atacante explora vulnerabilidades e entra no sistema alvo. • Manutenção do Acesso – atacante planta software no sistema alvo para facilitar o acesso nas próximas visitas. • Cobertura – atacante utiliza ferramentas para apagar rastros. A fase de Reconhecimento é dividida em: 1 - Baixa Tecnologia: >Engenharia Social • Ataque a boa fé; • Telefone para helpdesk como funcionário solicitando abertura de conta, e-mail, ramal VoIP; • Simular gerente com problemas de acesso;e > Acesso Físico •Intruso quebra segurança física; •Não precisa invadir sistema para obter informações. Pode utilizar técnicas de engenharia social em conjunto; •Pode plantar backdoors em sistemas, ter acesso a rede local, que não está protegida por firewall;e •Roubo de pen drives, CDs, HDs, DVDs e documentos. > Dumpster Diving •Coleta de Lixo; •Papel, CD, DVD, HD etc;e •Defesas: Classificação de material controlado, Trituradores de papel, DVDs etc. Procedimento de descarte de mídias e computadores e Conscientização. 2 - Pesquisa na Web: Sites especializados podem fornecer maiores detalhes sobre pessoas e empresas. Redes sociais podem dar todos os detalhes sobre o alvo de um ataque de engenharia social. >Pesquisa no site da instituição >Dados públicos Sites de emprego. Sites de jornais. Sites de relacionamento. >GOOGLE O google possui inúmeras informações que auxiliam o atacante. 3 - Who Is Quando se registra um domínio algumas informações devem ser providas: • Endereços. • Tel. de contato. • Servidores de domínio autoritativos. 4 – DNS Servidores de nomes possuem informações úteis sobre alvos. O objetivo dos atacantes é descobrir o maior número de IP associados ao domínio vítima. O comando “nslookup” pode ser usado para interagir com o DNS Server. Transferência de zona: Função natural de um servidor DNS, para ter redundância em outro servidor. Defendendo de transferência de zona: Assegure-se que seus servidores DNS externos passaram por Hardening. 5 – Scanning >Ping sweep Muitos port scanners testam se um sistema está em uso antes de fazer scanner. Fazem isso por meio de ping sweeping. Enviam echo request para diversos IPs – se o sistema responde está vivo. Caso contrário está desligado. Como se defender? • Desabilitar ICMP. • IDS tem assinaturas que procuram ping sweep e traceroute. >OS Fingerprint Cada sistema operacional implementa sua pilha TCP/IP de uma forma, o que deixa características únicas em seus pacotes gerados na rede. A técnica de fingerprint tenta, através da identificação destas características, determinar qual o tipo de sistema operacional e sua versão. >Scanning de portas: Busca descobrir portas TCP e UDP abertas no sistema alvo, utilizando diversas técnicas. TCP Connect – 3 way Completo. TCP Syn – envia Syn e aguarda Syn+Ack. UDP scanning. >Scanning de Vulnerabilidades: Testa o alvo em busca de pontos vulneráveis a ataques mas também ser para prevenção.
Compartilhar