Revisão DefCiber Unidade 02

Prévia do material em texto

Revisão Unidade 02
Pág.2 – Definições: 4
CAIIII
	1 - Ataques de Segurança 
		1 – Interrrupção - Impede que a informação chegue ao 						seu destino.(DoS)
		2 – Interceptação - Comprometea confidencialidade da 						mesma. (Sniffing)
		3 – Modificação - É interceptada, modificada e enviada 						ao destino. Compromete a 								confidencialidade e a integridade da
						comunicação. (Man in the middle)
		4 – Fabricação - Fabrica a INFO e envia para o 								destinatário. (Spoofing)
CAIIII
Pág.4 – 
	2 - Tentativa de Intrusão - Ocorre após uma avaliação dos serviços potencialmente vulneráveis.Após encontrar um sistema com versão vulnerável encontramos um exploit para obter acesso ao sistema. Manter os softwares atualizados é muito importante.
CAIIII
Pág.5 – 
	3 - Atividade Suspeita - 
	1 - Mapeamento de redes - É uma tarefa precede o ataque aos 				e			 hosts. Testa-se cada host e suas 
	 Mapeamento de portas	espectivas portas para saber 								quais estão disponíveis.							
Um scanning não é considerado um ataque, pois ele não explora vulnerabilidades, e sim levanta informações sobre o host.
Pág.5 -
	4 - Anomalia de Protocolo – Tráfego não conforme com os padrões das RFC (3way handshake).
		
		-TCP ACK Scans.
		-Flags TCP setadas de forma estranha. (O atacante pode 		modificar as FLAGS TCP)
Pág. 7 -	Ameaças
CAIIII
	1 – Malwares - 
		
		Vírus - É um programa malicioso que se propaga 					inserindo cópias de si mesmo e se tornando 					parte de outros programas. Depende da 					execução	no hospedeiro para se tornar ativo.
		Worm - Programa que se propagar automaticamente 					pela rede, enviando cópias de si mesmo de 					computador para outro. Não embute cópias de 				si mesmo em outros programas e não necessita 				ser executado para se propagar. Se propaga 					através da exploração de vulnerabilidades.
		Trojan - 	É um programa que se passa por um "presente" 				que além de executar funções para as quais foi 				aparentemente projetado, também executa 					outras normalmente maliciosas e sem o 					conhecimento do usuário.
		Keylogger - É um programa capaz de capturar e 						armazenar as teclas digitadas pelo usuário
					no teclado de um computador. A ativação 					do keylogger é condicionada a uma ação 					prévia do usuário.
		Screenlogger – É a forma avançada de keylogger, capaz 					de armazenar a posição do cursor e a tela 					apresentada no monitor, nos momentos 					em que o mouse é clicado, ou armazenar a 					região que circunda a posição onde o 						mouse é clicado.
		Spyware - Categoria de software que tem o objetivo de 					monitorar atividades de um sistema e 					enviar as informações coletadas para 						terceiros.
		Adware - Advertising Software, projetado para 							apresentar propagandas. Muito comum, 					aparecerem na hora de instalar um 						programa.
		Backdoor - Um programa que permite a um invasor retornar 					a um computador comprometido.
		Bot - Programa que se propaga pela rede, dispõe de 					mecanismos de comunicação com o invasor, 				permitindo que seja controlado remotamente. 				O invasor, ao se comunicar com o Bot, pode 				orientá-lo a desferir ataques contra outros 					computadores. A uma rede de bots atuando 				em conjunto dá-se o nome de Botnet.
		Rootkit - Conjunto de programas que tem como fim 					esconder e assegurar a presença de um 					invasor em um sistema comprometido.O nome 				rootkit não indica ter acesso privilegiado (root) 				em um computador , mas sim para manter o 				acesso privilegiado em uma ET comprometida.
Pág.10 - 
	2 – SPAM – Envio de propaganda/e-mails não desejados 				em massa.
	3 – HOAX - Histórias falsas recebidas por e-mail 						identificadas como "correntes".
	4 – Exploit - Programa malicioso que explora uma						vulnerabilidade existente em um software de 				computador.
			 Composto de duas partes:
				• Trigger – Quando Executado aciona a 					vulnerabilidade, dando o controle do alvo para 				o atacante.
				• Payload (carga) – Código que efetivamente 				executará uma função na ET alvo. Ex: Criar 				um usuário, Abrir um Shell.
	5 – Hackers - Indivíduos/pesquisadores com grande 						conhecimento em computação e experiência 				em segurança da informação.Utilizam seus 					conhecimentos para melhorar o nível de 					segurança de sistemas.
	6 – Crackers - Semelhante aos hackers, mas buscam roubar 				informações ou causar prejuízos com objetivo 				de ganho pessoal.
	7 – Spammers - Indivíduos que controlam o envio em massa 				de e-mails não solicitados, podendo ter a 					motivação de ganho financeiro ou fazer parte 				de uma campanha de Phishing Scam.
	8 – Defeacers - Crackers especializados em pixar páginas na 				internet.
CAIIII
	9 – Port Scanner - Ferramenta utilizada para efetuar 							varreduras em redes de computadores, 						com o intuito de identificar quais 							computadores estão ativos e quais 						serviços estão sendo disponibilizados por 					eles. Utilizados por atacantes para 						identificar potenciais alvos, pois associa 					possíveis vulnerabilidades aos serviços 					habilitados em um computador.
CAIIII
	10 – Sniffers - Utilizado para capturar e armazenar dados 			trafegando em uma rede de computadores. Pode ser 			usado por um invasor para capturar informações 				sensíveis onde estejam sendo utilizadas conexões 			inseguras sem criptografia. Deixa a placa de rede em 			modo promíscuo onde permite que a placa de rede 			“aceite” todos os pacotes que estão circulando na rede.
CAIIII
Pág.15 – Ataques
	1 - Phishing Scam – Consiste em fazer com que um usuário 					execute um código malicioso, se fazendo 					passar por uma entidade confiável deste 					usuário para obter informações ou mesmo 					assumir o controle da ET remotamente.
	2 - Defeacing - Ataque que permite a modificação de páginas do servidor alvo, mudando sua aparência com alguma mensagem do hacker que executou o ataque.
	3 - Spoofing - Consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados, permitindo ao atacante assumir outras identidades.
	4 - Sniffers - São soft ou equip, que permitem capturar pacotes que circulam em uma rede, mostrando o 	seu conteúdo e estrutura. São ferramentas essenciais para diagnóstico, mas também são utilizados para roubo de informações em redes.
			•Protocolos Vulneráveis - HTTP, Telnet, FTP, 				(sem criptografia)		SMTP, Rlogin.
			•Protocolos "não" vulneráveis - HTTPS, SSH, SSL.
			(não podem ser visualizados no sniffer)
	
			Ex:
			• Wireshark 		•Tcpdump e windump 
			• Snoop 			• Sniffit – free e open
			CAIIII
			Problemas:
			Floding e ARP Poison
		Contra-Medidas:
		• Usar protocolos “fortes”
			>Criptografia: Previne que os dados capturados sejam 						analisados.
			>Verificação de integridade: previne ataques de 							inserção.
		• Controlar o acesso ao meio físico
			>Rigor na ativação de pontos de rede.
		• Evitar usuários com poderes de admin nos Pcs.
		Detecção:
		• ARPWatch.
			> Monitora a atividade em uma rede ethernet, 				mantendo atualizada uma tabela com endereços 				ethernet (MAC) e seus 	respectivos endereços IP.
			>NIDS – Assinaturas específicas para tráfego ARP.
		ARP - Protocolo de Resolução de Endereços que mapeia endereços IP em endereços MAC.
		Cache ARP - Mantém na memória da ET durante algum 			tempo as associações entre endereços IPs e MACs.
		Defesa para ARP Poisoning:
		• Port secure / MAC based filtering: limita a 				quantidade de endereços que uma porta pode 				aprender.
5 - DNS Cache Poisoning - Ocorre quando o atacante introduz dados na cache de um servidor de 	nomes DNS e NÃO o servidor de nomes DNS com autoridade real.
			(DNS - Mapeia nomes para IP.)
6 - SQL Injection - Falha encontrada em aplicações, comumente causada pela ausência de validação nos campos de entrada de dados, permitindo que o atacante insira comandos de SQL onde, normalmente, se espera apenas dados (nome, senha, endereço, dentre outros).
7 - 	Remote File Inclusion (RFI) - Permite que o atacante inclua um arquivo remotono servidor WEB, normalmente através de um script armazenado no host alvo. Ocorre quando não há validação no script. Este tipo de ataque pode levar a:
				• Execução de código arbitrário.
				• Execução de código no lado cliente.
				•Negação de Serviço (DoS).
				•Roubo ou manipulação de dados.
	Local File Inclusion (LFI) - Inclusão de arquivo local é semelhante ao RFI, mas usa arquivos já hospedados no servidor alvo.
8 – Cross-Site Scripting (XSS) – Encontrada em aplicações web, que operam incluindo em páginas web comandos de client-side script (códigos que são executados no browser do cliente da página), permitido até mesmo a execução de códigos arbirtários.
CAIIII
9 - Session Hijacking – Ataque que explora uma sessão válida de uma ET para conseguir acesso não-autorizado a informações. Refere-se ao roubo do Cookie.	CAIIII
10 - Buffer Overflow - Falha de software, permite que através da insersão de código tenha-se acesso a porções da memória do computador vulnerável. Isso ocorre pela falha da 	aplicação em avaliar as entradas de dados, recebendo mais dados que determinada variável do programa pode 	receber, provoca o transbordamento (overflow) desta 	variável, eventualmente permitindo o acesso a outras 	porções da memória próximas a da variável explorada.
11 – Negação de Serviço 		CAIIII
	DoS - Tentativa em tornar os recursos de um sistema ou rede indisponíveis para seus utilizadores. Não se trata de uma 	invasão ao sistema, mas sim da sua invalidação por 	sobrecarga ou erro. São feitos de duas formas:
	•Forçar o sistema a reinicializar ou consumir todos os 	recursos.
	•Obstruir a comunicação entre os utilizadores e o sistema 	alvo, de forma a não se comunicarem adequadamente.
	
	DdoS - Consiste em um DOS que tem múltiplas origens e é coordenado de um ponto central, obtendo resultados ainda mais eficazes contra seus alvos.
12 - Man-in-The-Middle - O objetivo do ataque é observar/alterar a comunicação entre o cliente e o servidor (através de 	mudança de rotas, falsificação de ARP). Muito utilizado desde um sniffer em redes com switches até mesmo sniffer de tráfego SSL.		CAIIII
Pág.32 - Análise de Vulnerabilidades
Informações do Underground
	Existe muita informação sobre vulnerabilidades de segurança 	disponível publicamente. Ferramentas de ataque são cada vez 	mais amigáveis e fáceis de se distribuir, sendo muito 		utilizadas por Script Kiddies.
Pág. 35 - Metodologia de um Ataque
Fases:
• Reconhecimento - O atacante levanta informações sobre o alvo.
• Scanning – O atacante faz testes para encontrar fraquezas.
• Obtenção de Acesso – atacante explora vulnerabilidades e entra 					no sistema alvo.
• Manutenção do Acesso – atacante planta software no sistema 				alvo para facilitar o acesso nas próximas 					visitas.
• Cobertura – atacante utiliza ferramentas para apagar rastros.
		A fase de Reconhecimento é dividida em:
1 - Baixa Tecnologia:
	>Engenharia Social
		• Ataque a boa fé;
		• Telefone para helpdesk como funcionário solicitando 		abertura de conta, e-mail, ramal VoIP;
		• Simular gerente com problemas de acesso;e
	> Acesso Físico
		•Intruso quebra segurança física;
		•Não precisa invadir sistema para obter informações. 			Pode utilizar técnicas de engenharia social em conjunto;
		•Pode plantar backdoors em sistemas, ter acesso a rede 		local, que não está protegida por firewall;e
		•Roubo de pen drives, CDs, HDs, DVDs e documentos.
	> Dumpster Diving
		•Coleta de Lixo;
		•Papel, CD, DVD, HD etc;e
		•Defesas: Classificação de material controlado, 				Trituradores de papel, DVDs etc. Procedimento de 			descarte de mídias e computadores e Conscientização.
2 - Pesquisa na Web:
	Sites especializados podem fornecer maiores detalhes sobre pessoas e empresas. Redes sociais podem dar todos os detalhes sobre o alvo de um ataque de engenharia social.
	>Pesquisa no site da instituição
	>Dados públicos
			Sites de emprego.
			Sites de jornais.
			Sites de relacionamento.
	>GOOGLE
			O google possui inúmeras informações que 					auxiliam o atacante.
3 - Who Is
	Quando se registra um domínio algumas informações devem 	ser providas:
		• Endereços.
		• Tel. de contato.
		• Servidores de domínio autoritativos.
4 – DNS
	Servidores de nomes possuem informações úteis sobre alvos. O objetivo dos atacantes é descobrir o maior número de IP associados ao domínio vítima.
	O comando “nslookup” pode ser usado para interagir com o 	DNS Server.
Transferência de zona:
	Função natural de um servidor DNS, para ter redundância em 	outro servidor.
Defendendo de transferência de zona:
	Assegure-se que seus servidores DNS externos passaram por 	Hardening.
5 – Scanning
	>Ping sweep
	Muitos port scanners testam se um sistema está em uso antes de fazer scanner. Fazem isso por meio de ping sweeping. Enviam echo request para diversos IPs – se o sistema responde está vivo. Caso contrário está desligado.
Como se defender?
• Desabilitar ICMP.
• IDS tem assinaturas que procuram ping sweep e traceroute.
	>OS Fingerprint
	Cada sistema operacional implementa sua pilha TCP/IP de 	uma forma, o que deixa características únicas em seus 	pacotes gerados na rede. A técnica de fingerprint tenta, 	através da identificação destas características, determinar 	qual o tipo de sistema operacional e sua versão.
	>Scanning de portas: Busca descobrir portas TCP e UDP 	abertas no sistema alvo, utilizando diversas técnicas.
		TCP Connect – 3 way Completo.
		TCP Syn – envia Syn e aguarda Syn+Ack.
		UDP scanning.
	>Scanning de Vulnerabilidades: Testa o alvo em busca de 	pontos vulneráveis a ataques mas também ser para prevenção.