Disciplina de Segurança e Auditoria de Sistemas Ataques

Transcrição

1 Disciplina de Segurança e Auditoria de Sistemas Ataques Professor: Jiyan Yari

2 Ataques mais comuns: Footprinting - tarefa de coletar informações sobre um sistema alvo; - feita por vias tradicionais e públicas, como uso do finger, leitura de páginas do site para obter dados interessantes, etc.; - ferramentas: - engenharia social; - port-scanner; - analisadores de vulnerabilidades; - ferramentas de redes e etc. 2

3 Scanning - verifica vulnerabilidades; - scaneia portas, serviços, firewall e etc. - pode ser um scanner de sistema, quando checa vulnerabilidades na máquina local (erros no /etc/passwd, permissão incorreta de arquivos, etc.); - pode ser um scanner de rede, quando faz varredura de portas de redes, verificando quais estão abertas e, principalmente, quais estão mais vulneráveis; - o objetivo principal desse tipo de ataque é descobrir falhas de segurança devido a bugs em serviços de rede ou ausência de proteção para serviços internos. 3

4 Sniffers - usado geralmente dentro de uma rede quando física; - usada de fora quando uma rede Wireless; - aplicativo que fica escutando todos os pacotes de dados que trafegam por uma dada interface de rede; - objetiva principalmente a captura de senhas de usuários internos; - ou a captura de outras informações confidenciais em trânsito na rede. 4

5 Spoofing - tarefa de fazer uma máquina se passar por outra, forjando, por exemplo, pacotes IP; - o atacante tenta bloquear o envio de pacotes de dados de uma máquina, tentando se passar por ela (Man-In-The- Middle). 5

6 Denial of Service (DoS) e DDos - ataque que busca derrubar um serviço ou mesmo um servidor inteiro; - o mais típico é o DDoS (Distributed DoS); - no DdoS o atacante utiliza várias máquinas zumbis para enviar inúmeras requisições, ao mesmo tempo e de forma sincronizada a um mesmo servidor; - isso consome a maior parte da largura de banda de rede ou sobrecarregar um dado daemon (serviço) fazendo com que não atenda requisições. 6

7 Cavalos de Tróia - ou trojan horse ou apenas trojan; - geralmente é um código alterado com finalidades ilícitas.; - Exemplo: um atacante poderia substituir o /bin/login para não só autenticar usuários, como também armazenar essas senhas em um arquivo oculto e enviar a ele. 7

8 Vírus - efetua ação não desejada pelo usuário (malware); - uma vez ativado, irá se replicar e infectar, danificar ou deletar arquivos; - por definição vírus não podem infectar máquinas externas sem o auxílio humano (?). Exemplo: -pendrive infectado; - s com anexos com vírus; - envio de arquivos de outros computadores via rede e etc. 8

9 Worms - ou verme; - código que pode infectar tanto a máquina local, quanto máquinas remotas, geralmente utilizando falhas de protocolos, serviços ou aplicativos. 9

10 Exploits - programas criados para explorar falhas, geralmente de bugs nos daemons de serviços ou falhas no código do kernel ou de módulos. 10

11 Ataques de Senhas - consiste em tentar descobrir a senha de um ou mais usuários por força bruta ou usando técnicas de heurísticas; - em geral o invasor tenta obter uma cópia das senhas e efetuar um ataque de dicionário. 11

12 Buffer-overflow - ou estouro de pilha; - a pilha fornece um espaço onde são armazenados diversos dados (memória); - a idéia é estourar a pilha para que os dados que vazarem sejam executados como código pelo processador ou armazenado em um arquivo; - consideradas ameaças críticas de segurança, apesar de ser uma falha bem-conhecida; - têm sido largamente utilizada para a penetração remota de computadores ligados a uma rede. 12

13 War Dialing (Guerra de discador) - conhecido como demon-dialing ou carrier-scanning; - a guerra de discagem (war-dialing) ficou conhecida em 1983 através do filme War Games; - processo de discar todos os números de uma série até encontrar uma máquina que responda. 13

14 War Driving - utilizado por hackers e crackers para rastear redes sem fio, desprovidas de qualquer tipo de proteção contra invasões; - saem às ruas munidos de um notebook ferramenta capaz de rastear e detectar redes sem fio e todas as suas informações. Exemplo: antena com lata de batatinhas Pringles. 14

15 War Chalking - recurso usado para marcar, com giz, em postes, muros ou calçadas, símbolos padrões que informam, aos seus companheiros a existência, na localidade, de uma rede sem fio e sua condição (aberta, fechada ou protegida); - a idéia de usar giz partiu do inglês Matt Jones, inspirada no expediente semelhante usado, na época da grande depressão nos Estados Unidos, pelos mendigos, para indicar estabelecimentos em que poderiam ou não encontrar ajuda ou local para dormir. 15

16 16

17 Defacer - ou desfiguração ou pichação; - técnica de alterar a página principal do site, geralmente; - ataque do tipo hacker ativismo na maioria das vezes, com palavrões e xingando ou palavras e frases de efeito contra algueḿ ou alguma coisa ou algum órgão ou empresa. Referência: 17

18 SQL-injections - a primeira mais comum vulnerabilidade em aplicações web, de acordo com o Open Web Application Security Project; - técnica de injetar comandos SQL (não autorizados) via barra de endereços do navegador ou via formulário web; - o DB web recebe parâmetros do atacante e retorna as consultas baseado nas falhas em seu código; 18

19 SQL-injections - obtendo sucesso, o invasor pode: - ler registros do banco de dados; - editar; - copiar; - e deletar. Exemplo: - comandos de manipulação de dados - DML (select, insert, update, delete); - ou comandos de definição de dados - DDL (create, drop, alter). 19

20 SQL-injections -o objetivo é injetar comandos de SQL maliciosa dentro do que a aplicação usa para fazer query no banco de dados; -- o invasor precisa de um navegador web, conhecimento em queries SQL e nomes de tabelas e de campos; - ferramentas de obtenção dados relevantes sobre DB: - Haviji; - SQLMap; - Acunetix. -- ferramentas de auditoria para DB: -- DB Audit Free Edition; -- Wapiti. 20

21 Hijack - ou seqüestradores ; - geralmente só modificam a página inicial do navegador; - algumas vezes também redirecionam toda página visitada para uma outra página escolhida pelo programador da praga; - infectam o computador sem se perceber, clicando em links e ou visitando páginas com códigos maliciosos; Exemplo: - hao123; - baidu. 21

22 Keylogger - registrador de teclado; - programa cuja finalidade é monitorar e gravar todoo buffer de teclado, gravando-o em um arqiuvo e posteriormente enviando a ele; - finalidade de descobrir suas senhas de banco, números de cartão de crédito e afins, enfim, tudo que for inserido via teclado; - o usuário geralmente não percebe sua ação; - pode ser removido mediante um antivírus com definições para tal. 22

23 Keylogger Exemplos: Ardamax Keylogger; Actual Keylogger; Powered Keylogger; MSN Messenger Keylogger; Advanced Keylogger. Como evitar: - antivírus/antispyware (bom) sempre ativo e atualizado; - não executar arquivos suspeitos, principalmente anxos; - mudar senhas regularmente; 23 - não digitar senhas/dados pessoais em sistemas públicos.

24 Cross-site scripting (XSS) - comum em sites que permitem a injeção de scripts no site atacado, em geral por meio de algum campo de input do usuário; - ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários; - o script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a política de mesma origem; - injeta-se códigos Java Script em um campo texto de uma página já existente que é apresentado para outros usuários, porque persiste na página. 24

25 Cross-site scripting (XSS) - pode simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Exemplo: <script>malicious.js... = SYN browser = ACK 25

26 Cross-site scripting (XSS) Como evitar: - não permitir input de usuário; - Caso permita, o input do usuário deve passar por filtro que consiga remover tags potencialmente perigosas: - AntiSamy OWASP [Open Web Application Security Project] (JavaScript e.net); - API anti-xss Microsoft (.Net); - HtmlPurifier (PHP); - Sanitize (Ruby on Rails). 26

27 ARP Spoofing - ataque do tipo ARP-Poisoning (ou ARP-Spoofing); -meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle; - Man-In-The-Middle: permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre dois ou mais hosts; 27

28 DNS Spoofing - ou envenenamento de cache DNS; - ataque no qual os dados são introduzidos em um Sistema de Nomes de Dominio (DNS) do banco de dados cache dos nomes do servidor, fazendo com que o nome do servidor redirecione para o endereço IP incorreto, desviando o tráfego para outro computador ou site (muitas vezes o do atacante). Ferramentas: - ettercap; - nmap. 28

29 DNS Spoofing Solução: - DNS reverso; - não utilizar os serviços rexec, rlogin e rsh; - IDS (Intrusion Detection System); - IPS (Intrusion Prevention System). 29

30 Engenharia Social - ataque onde uma pessoa faz uso da persuasão e convencimento; - na maioria das vezes abusa da ingenuidade e ou confiança do usuário para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Livro: A arte de enganar Mitnick Filme: Projeto Takedown 30

31 " Eu sei que vocês estão aí fora. Eu posso sentí-los. Eu sei que vocês estão com medo... medo de nós. Vocês estão com medo da mudança. Eu não conheço o futuro. Eu não vim aqui dizer como isso vai acabar. Eu vim aqui dizer como isso vai começar... Eu vou desligar esse telefone e mostrar a essas pessoas o que vocês não querem que elas veja. Um mundo onde tudo é possível. Um mundo sem regras nem controles, fronteiras ou limites. Um mundo onde tudo é possível. Onde nós vamos depois, é uma escolha que eu deixo para vocês... " Neo, personagem principal do filme MATRIX 31