UNIVERSIDADE DO SUL DE SANTA CATARINA JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET

Transcrição

1 UNIVERSIDADE DO SUL DE SANTA CATARINA JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET Palhoça 2010

2 JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET Monografia apresentada ao curso de pós-graduação lato sensu em Curso de Especialização em Gerencia de Projetos de Tecnologias da Informação - Campus Unisul Virtual, como requisito à obtenção do grau de Especialista em Projetos de Tecnologias da Informação. Orientador: Mario G.M. Magno Júnior Palhoça

3 JAILSON DE OLIVEIRA OSSIM: SEGURANÇA DE UM IDS OPEN SOURCE APLICADO À INTERNET Monografia apresentada ao curso de pós-graduação lato sensu do Curso de Especialização em Gerencia de Projetos de Tecnologias da Informação, da Universidade do Sul de Santa Catarina - Campus Unisul Virtual como requisito à obtenção do título de Especialista em Gerencia de Projetos de Tecnologias da Informação. Aprovada em, de de. BANCA EXAMINADORA Prof. Msc Mario Gerson Miranda Magno Júnior Orientador Universidade do Sul de Santa Catarina Prof. Msc Rodrigo Santana Universidade do Sul de Santa Catarina

4 RESUMO Esta pesquisa tem o intuito de verificar, testar e apresentar o IDS OSSIM como uma ferramenta de proteção para redes ligadas à internet, verificando assim, o nível de segurança que esta ferramenta disponibiliza em sua suíte ao proteger as redes de dados, além de informar sobre alguns dos programas que fazem parte do seu núcleo. Será apresentado um breve histórico dos motivos que levaram à rápida evolução da segurança de dados relacionado ao crescimento e uso da internet e de seus protocolos. Nesta pesquisa serão verificadas as possíveis formas de instalações desta ferramenta permitindo tê-la como um coletor de informações ou uma central de processamentos de eventos, com alto nível de tratamento das informações, controles e atividades, com atuação em tempo real. Todas as possíveis falhas que surgirem no decorrer da instalação do sistema a ser pesquisado e durante os testes a serem realizados serão abordadas de forma clara e direta. Para os testes desta pesquisa serão elaborados ataques diretos, para comprovar as respostas aos eventos que o IDS OSSIM possa apresentar, utilizando para este processo o Linux BT4, preparado para os mais diversos tipos de testes de invasão e de vulnerabilidades de sistemas, usando para este processo uma rede experimental. O Linux BT4 servirá de simulador de ataque contra a estrutura de defesa do IDS OSSIM, este por sua vez, estará configurado para capturar informações forenses importantes a partir dos ataques gerados, ataques estes, que são os tipos mais comuns e presentes na internet. Nesta pesquisa também será apresentada uma rápida visão sobre a console gráfica (framework) do IDS OSSIM, que aumenta totalmente o potencial de uso desta ferramenta, facilitando a visualização das informações armazenadas na base de dados, através da utilização de uma biblioteca gráfica para a geração de visualizações diversas, na forma de gráficos, permitindo assim, um rápido acesso às ocorrências detectadas e filtradas. Palavras-chave: IDS,OSSIM,Redes,Ataques,Internet,Proteção,Hackers. 4

5 LISTA DE ILUSTRAÇÕES Figura 1- Gráfico com Pads, Snort, Pam_Unix e Sshd em atividade...21 Figura 2 - Gráfico de eventos e sensores com Portscan, P0f, Snort_tag e Diretive_alert entre outros em atividade...21 Figura 3 - Interface do OSSIM apresentando o Nagios...22 Figura 4 - Configuração da rede de testes básica...24 Figura 5 - Configuração da rede de testes para os ataques...24 Figura 6 - Instalação do OSSIM - Erro de língua padrão...25 Figura 7 - Erros de autenticação da chave GPG...25 Figura 8 - Tela de instalação do OSSIM com erros de sobreposições na escolha do menu...26 Figura 9 - Servidor e Sensores OSSIM...27 Figura 10 - Console gráfica (framework) do OSSIM...30 Figura 11 - LINUX Back Track em uso...33 Figura 12 - Ataque do Fast Track, incluso no Back Track, contra as portas 22, 80, 8080, 514 e 3000 com detecção do OSSIM para os eventos nestas portas...34 Figura 13 - Fat-Track em ação e OSSIM detectando tentativas de ataques...34 Figura 14 - MetaSploited e AutoScan network em atuação, tendo suas conexões recusadas pelo OSSIM (connection refused)...35 Figura 15 - OSSIM detectando ataques contra as portas TCP e UDP...36 Figura 16 - SQLChech apresentando caracteres estranhos...36 Figura 17 - Contabilidade dos tipos de ataques por portas e suas porcentagens

6 LISTA DE SIGLAS OSSIM - Open Source Security Information Management (Gerenciador de Informações de Segurança de Código Aberto) IDS - Intrusion Detection System (Sistema de Detecção de Intrusos) ISO - International Standards Organization (Organização de Padronização Internacional) CA - Open Source (Código Aberto) OS - Operation System SO - Sistema Operacional pt_br / pt_br Português do Brasil (brasilian portuguese) TI Tecnologia da Informação 6

7 AGRADECIMENTOS A todos que acreditam que a educação é base de tudo e que pode mudar um país. A todos aqueles, que perderam suas noites de sono, procurando falhas e soluções em programas, sistemas operacionais e protocolos. A todos os professores que usaram de dedicação para todos nós. A Samanta e Catharina que foram pacientes quando não puderam ter a minha presença e o meu carinho. A Carla Ceolin pelo incentivo para a conclusão deste curso. As professoras Vera Schuhmacher e Ana Luisa Mulbert pela dedicação e apoio nas horas necessárias. 7

8 SUMÁRIO 1 INTRODUÇÃO PROBLEMA JUSTIFICATIVA OBJETIVOS Objetivo Geral Objetivos Específicos DESENVOLVIMENTO METODOLOGIA DA PESQUISA FUNDAMENTAÇÃO TEÓRICA POPULARIDADE X FRAGILIDADE OS HACKERS, OS CRACKERS EOUTROS GRUPOS: O INÍCIO DO CYBERTERRORISMO O TCP/IP COMO FACILITADOR A BATALHA DOS BITS UMA LUZ NO FIM DO TÚNEL O IDS OSSIM DESENVOLVIMENTO DOS TESTES INSTALAÇÃO SERVIDOR OU SENSOR? FRAMEWORK / CONSOLE GRÁFICA ANÁLISE DOS RESULTADOS REFERÊNCIAS

9 1 INTRODUÇÃO OSSIM: Um IDS, um sistema detector de intrusos para proteção de redes de dados, open source, código aberto, protegendo redes conectadas a Internet. A primeira dúvida que nos surge à mente é sobre a segurança das nossas redes conectadas com a internet, pois na maior parte delas não há como verificar imediatamente se realmente são seguras ou se existe alguma forma de proteção eficiente ativa. O que normalmente incomoda as organizações em relação ao uso da internet é a utilização incorreta por parte dos seus funcionários e o descumprimento as normas acordadas nos estatutos internos das organizações, já que o uso indevido pode produzir ou auxiliar mecanismos críticos para que ocorram sinistros relacionados aos dados. Pensando desta forma, surge o questionamento que tenta fazer esta pesquisa, no intuito de verificar até onde chega à segurança das redes quando conectadas a internet, utilizando o IDS OSSIM como mecanismo verificador deste nível de segurança, validando informações e eventos. 1.1 PROBLEMA Existe uma carência muito grande no que se relaciona a documentação acadêmica e informações sobre os sistemas IDS's, principalmente sobre o IDS OSSIM, tais como funcionamento, aplicações, eficiência, instalação, dispositivos, nomenclaturas usadas, configurações, etc. Por existirem poucas informações em português e também uma quantidade muito limitada em outras línguas tais como inglês, francês e espanhol, esta carência de informações gera ausência de conhecimentos ou dificuldades de entendimentos, que na maioria das vezes transformam-se em uma grande confusão, onde as informações sobre um mesmo tópico se conflitam, fazendo com que informações corretas, funcionais e seguras, tornem-se raras ou quase invisíveis no universo da internet, gerando assim, dentro deste contexto, ao serem replicadas, alteradas e agregadas com erros, informações dúbias, portanto, passa a ser vital o levantamento de informações relevantes e coerentes. É necessário então fazer uma pesquisa sobre o IDS OSSIM e sua suíte, que interprete através das informações de sua base de dados forense, o que esta ferramenta pode oferecer 9

10 com referência à proteção e segurança de redes conectadas a internet e quais recursos imediatos ela oferece para o caso de ocorrências críticas, com alto grau de impacto para os sistemas ativos das corporações, tais como ataques, tentativas de invasões. Esta pesquisa servirá para verificar se realmente a proteção oferecida por esta ferramenta é eficiente para as redes ou não. Servirá também como base para avaliar qual é o nível de segurança e eficiência do IDS (Intrusion Detection System) OSSIM (Open Source Security Information Management) na proteção de redes de computadores conectadas à internet. A grande preocupação nestes tipos de programas (IDS) é o que ele está protegendo efetivamente e o que ele não está protegendo, já que para na maior parte das empresas as suas informações são seu patrimônio e mantê-los em segurança é algo fundamental. Ao se utilizar um IDS, qualquer erro de configuração, instalação ou interpretação das informações neste tipo de sistema pode gerar um transtorno ainda maior para os recursos das empresas, já que uma falha poderá deixar recursos prioritários de forma inoperante. Caso regras importantes sejam esquecidas, desprezadas ou inseridas de forma errônea ou de forma inadequada, permitirão ataques, invasões, roubos de dados, de senhas, de números de cartões de créditos, destruição dos bancos de dados, compras falsas, destruição dos servidores ou até mesmo a empresa poderá ficar inoperante por horas, dias ou até semanas, conforme seu nicho de mercado. O OSSIM, de origem espanhola, é um IDS usado pela empresa Telefónica na Europa, um dos maiores grupos de telefonia do mundo que utiliza esta ferramenta na proteção das suas redes, conforme informações presentes no sítio (site) da Alien Vault e nos casos de estudos providos pela própria Telefónica espanhola. Segundo Sisternes, a eficiência do OSSIM ficou comprovada a partir de um projeto implementado na Telefônica espanhola que o aplicou em suas redes de alta velocidade e de alto tráfego, tendo resultados positivos. No Brasil, atualmente vem despertando a curiosidade de pessoas ligadas a TI e empresas públicas e privadas. Um dos problemas que existem para este IDS, é como inseri-lo em uma rede de forma que a sua performance de segurança seja real, transparente, sem onerar as funcionalidades da rede e com o mínimo de falsos-positivos (informações ou alarmes de erros e ataques não reais) e falsos-negativos (informações de ataques reais não levados em consideração). Outra necessidade de funcionamento é que as suas suítes realmente explicitem o que realmente está ocorrendo na rede: tentativas de invasões, ataques dos mais diversos tipos, vírus, tentativas de 10

11 conexões fraudulentas, roubos de informações, usos indevidos dos recursos de internet, tentativas de fishing, acessos a sítios (sites) proibidos, enfim, tudo que redes conectadas a internet podem proporcionar de perigos ou fraudes. Para Davidson (2008), o roubo de informações por roubo de senhas (fishing) se tornou muito eficientes nos últimos anos, devido ao fato do usuário receber um convincente com um link para ser clicado, sentir-se impelido a clicar e no momento em que faz isto, instala programas espiões em seu computador, permitindo que o invasor tenha acesso a senhas e informações importantes, abra portas para outros tipos de conexões e inserções de programas maléficos. Com sistemas IDS (do tipo OSSIM, OSSEC, etc), as respostas aos ataques e invasões podem ser imediatas e automatizadas, podem gerar recursos de impedimentos e controles de níveis de proteção, além de todas as ocorrências serem registradas em uma base de dados para análise forense. Sistemas IDS são de extrema utilidade nas redes atuais devido a grande variedade de estruturas engendradas nestas e pelo número extremo de novos computadores que se conectam diariamente, devido a estes efeitos, surgiu um problema, ainda maior: o cyberterrorismo. Por existirem redes sofisticadas, localizadas geograficamente nas mesmas regiões de grupos extremistas, em conflitos ou terroristas, estes tentam invadir redes vitais de seus rivais, sejam de organizações importantes, de empresas multinacionais ou de governos antagônicos aos seus interesses. Diante desta natureza crítica, que vivemos atualmente, os sistemas IDS tentam minimizar em parte alguns destes problemas críticos, apresentando-se como uma forma de solução para alguns riscos. 1.2 JUSTIFICATIVA Quando ainda era totalmente desconhecido no Brasil, o OSSIM atraiu a minha curiosidade, eu já havia traduzido outros programas para o português do Brasil (pt_br/pt_br), trabalhando em grupos internacionais de desenvolvedores e projetistas de software, com o OSSIM não foi diferente, esmiucei o seu código, testei, implementei, gerei diversos tipos de informações e documentações, verifiquei códigos, criei um blog sobre o mesmo ( sempre ficou a vontade de fazer um estudo científico ou uma pesquisa sobre este IDS que possui algo além aos meus olhos. 11

12 Nos últimos anos, as informações digitais das empresas passaram a ser à base de seus negócios, já que muitas delas migraram para a internet, com isto aumentou a necessidade das suas redes serem protegidas de alguma forma, o OSSIM, parece ser um dos melhores e mais completos IDS open source existentes atualmente, para executar esta função de segurança dos backbones, com tudo isto a um custo muito baixo, trazendo economia e proteção. O OSSIM passou por um lento processo de refinamento durante anos, atraindo assim, muitas empresas que o implementaram em suas bases, incluindo nesta lista a Telefónica da Espanha. Com o crescimento do OSSIM no Brasil, muitas novas demandas se farão necessárias, instalações do IDS, configurações, manutenções, cursos e criações de novos itens para complementar e integrar a segurança das redes conectadas a internet, isto poderá gerar novos empregos e novas empresas serão criadas, gerando assim novos serviços. 1.3 OBJETIVOS Objetivo Geral Este estudo tenta demonstrar que existem algumas soluções open source no que se refere a IDSs, trazendo o foco desta pesquisa para uma suíte chamada OSSIM, que abrange diversos programas inteligentes de segurança em um só lugar. Esta pesquisa também tentará demonstrar qual o grau de confiabilidade desta segurança e qual a sua eficiência em diversas situações. Por ser um sistema livre de grande aceitação no mercado internacional, apesar de ser fornecido livremente para ser baixado (download) na forma de código aberto (open source), sendo esta suíte, a primeira vista uma suíte extremamente profissional, mesmo assim, permanece uma dúvida: Qual o seu grau de segurança e confiabilidade as respostas de ataques ou tentativas diversas de fraudes digitais, que ocorram através da internet? Este estudo, no âmbito da pesquisa, irá gerar estas informações. Observar quais são os problemas mais comuns que surgem no decorrer da instalação e utilização do OSSIM, usando para isto informações disponíveis em redes de testes e sítios (sites) do setor. Verificar a aplicabilidade de sua suíte como instrumento na segurança de redes conectadas a internet. 12

13 Pesquisar e observar as funções do OSSIM, referentes as suas atividades de respostas em relação a ocorrências relevantes e tentativas de ataques, nas redes protegidas por ele Objetivos Específicos A pesquisa consistirá em obter informações relevantes existentes sobre o IDS OSSIM, verificar a sua estrutura de funcionamento e a composição da sua suíte (programas), observar algumas formas de configurações de instalações possíveis e a partir disto verificar quais tipos de informações ele privilegia com proteção, quais as incidências de falsos-positivos, e quais informações gráficas ele fornece. Baseado nisso, será realizada uma coleta de dados, para determinar se o OSSIM é um IDS confiável, que apresenta robustez e segurança para a maior parte das necessidades das redes atuais, interligadas a internet. Os objetivos específicos são: Descrever rapidamente o processo de implantação do IDS OSSIM; Descrever as ocorrências surgidas no decorrer do acompanhamento das operações e configurações da ferramenta, identificando os benefícios e as limitações; Descrever os riscos que possam surgir com o uso da ferramenta; Descrever algumas incidências de falsos-positivos ao utilizar o mecanismo de proteção; Descrever alguns benefícios do IDS OSSIM. 13

14 2 DESENVOLVIMENTO 2.1 METODOLOGIA DA PESQUISA Esta pesquisa será elaborada, inicialmente, a partir da procura de informações em sítios (sites) da área, principalmente no dos mentores do software em questão, a Alien Vault, para se obter as possíveis configurações, formas de instalações, tipos de servidores para o OSSIM, atuações e tipos de ataques, processo de implantação, estrutura da suíte de programas inclusos no OSSIM. Montagem de um servidor OSSIM (servidor e sensor em um mesmo equipamento), em uma rede experimental para testes, atuando sobre o sistema operacional LINUX. Neste servidor se efetuará uma instalação básica com parâmetros iniciais onde os passos desta instalação serão acompanhados de uma forma coerente. Após a instalação, o IDS OSSIM, começará a coleta de informações dos dados que trafegarem pela rede. Serão observadas as ocorrências de erros, enumerados os benefícios e as limitações que por ventura existam e que possam ser percebidas no decorrer deste estudo. Após os primeiros momentos de estabilidade do IDS OSSIM, configurado e balizado, com redução de falsos-positivos, serão testadas as possíveis vulnerabilidades em decorrência de ataques à rede experimental através do uso do LINUX BT4 e serão observados como este IDS armazena e utiliza as respostas das tentativas de ataques para avaliações forenses, desta forma teremos a visão das ocorrências mais dinamizada. Elaborar, a partir de uma observação real, quais os benefícios que as empresas poderão ter com a implantação do OSSIM como veículo de proteção e controle de suas redes. 2.2 FUNDAMENTAÇÃO TEÓRICA Com a criação da internet, no início dos anos 90, as redes de computadores que eram inicialmente limitadas às áreas corporativas ou acadêmicas, passaram a ter uma abrangência maior com a expansão das informações oferecidas. Estas redes foram interconectadas, gerando um novo universo de serviços, lazer e conhecimento. Com a queda dos preços dos computadores e as possibilidades de conexão em velocidades cada vez maiores, os cidadãos comuns passaram a fazer uso deste novo conceito tecnológico, consumindo mais informações. 14

15 2.3 POPULARIDADE X FRAGILIDADE No início da internet, o perigo de ataques ou grandes destruições por vírus de computadores não eram significativos, pois ficavam restritos a determinados nichos das redes locais. Com o crescimento da internet, mais conexões de acesso se fizeram presentes, mais pessoas e novos equipamentos se conectaram e mais frágil se tornou a segurança da internet. Nesta época, segundo Ballew (1997), novos protocolos foram criados ou melhorados, sendo configurados para as mais diversas tarefas nas redes (Rip, Eigrp, Ospf, Frame Relay, Atm, etc), integrando-se assim as redes baseadas no protocolo TCP/IP. Com o passar dos anos, as redes tornaram-se populares, maiores e mal configuradas, devido à falta de testes e da pressa dos administradores em colocá-las em uso, possuindo assim vulnerabilidades críticas na integração dos seus protocolos, inclusive com os roteadores (BALLEW, 1997). Com a existência de falhas nas redes e nos sistemas operacionais, aparecem os hackers de redes de dados. 2.4 OS HACKERS, OS CRACKERS EOUTROS GRUPOS: O INÍCIO DO CYBERTERRORISMO O espírito hacker que vemos hoje surgiu isoladamente no final dos anos 60 e início dos anos 70. Eram pessoas que agiam de forma romântica contra o sistema social em que estavam inseridos e baseavam-se no uso gratuito de serviços que normalmente eram pagos, tais como telefonia, uma forma de televisão a cabo, etc, um retrato bem fiel desta época pode ser visto no filme Piratas do Vale do Silício. Segundo Sá (2005), certamente o primeiro hacker da história tenha sido o inglês Alan Tuning, que inventou a lógica computacional aos 24 anos de idade, por ter tido ações de contracultura ao viver e por ter quebrado o código criptográfico do sistema de mensagens nazista Enigma, com a sua máquina Colossus, tudo isto na década de 30. No fim dos anos 80 até a segunda metade dos anos 90, surgiram os primeiros grandes hackers, Kevin David Mitnick, o mais famoso e um dos únicos a ser condenado nos Estados Unidos (EUA), Tsuotomi Samurai Shimomura (Japão), Mark Abne (EUA), Jonh Draper (EUA), Johan Helsingius (Finlândia), Vladmir Levin, este transferiu 10 Milhões de dólares de bancos para a sua conta particular, provando a fragilidade dos bancos espalhados pelo mundo (Rússia), Robert Moris, criador dos worms e outros vírus (EUA) e logo depois do 15

16 surgimento destes hackers, surgiram os tão temidos grupos hackers, que se formaram movidos pelas expectativas de invadirem grandes redes corporativas, divulgando suas façanhas posteriormente em sítios (sites) hackers, suspeitos e temidos. Nesta época surgiram grupos importantes tais como: Astalavista Group (o mais antigo e ainda existente), Master of Deception, Silver Clowds (Palhaços Prateados, fizeram diversas invasões a grandes corporações), The Cult of the Dead Cow (O Culto da Vaca Morta) que criou um pequeno programa servidor, que tornava qualquer máquina invadida em um servidor, com todos os arquivos abertos para a internet, aceitando controles remotamente. Este programa, também chamado de BO (Back Orifice), por muito tempo foi o maior problema de muitos administradores de redes. Estes grupos serviam para concentrar pessoas com os mesmos interesses em estudar determinados protocolos, tipos de ataques ou para praticar invasões. Ao testar as vulnerabilidades encontradas nos sistemas, estes grupos, produziam assim, paralisações de serviços e de redes através de seus ataques sincronizados, por outro lado, foram muito importantes para a indústria de segurança, pois para se defender, esta foi forçada a evoluir em um curto período de tempo. Segundo Sá (2005), no Brasil, na década de 90, tivemos vários grupos hackers e crackers, mas aqui os conceitos dos dois se fundiam e hackers passavam a ter funções de crackers e o inverso também ocorria. Estes grupos eram especialistas em desfigurar sítios (sites) e de destruir arquivos e servidores, aqui a coisa funcionava como uma grande corrida, uma demonstração de qual grupo era o melhor, existiam diversos grupos e hacker isolados, tais como: Barata Elétrica, Inferno.Br, Red Eye, Dart Varden, Perfect.Br, P.Suspectz, Silver Lords, Cyber Attack, Brazil Hackers Sabotage, entre tantos outros, eles invadiram a Nasa, a Microsoft, sítios (sites) de órgãos de governos e empresas multinacionais. Os grupos brasileiros sempre foram muito ativos, se divertiram, estudaram protocolos e falhas, protestaram, sim o protesto sempre foi a base inicial. Como Davidson (2008) diz em um de seus artigos: You dont t want your enemies to know yours war plans until after the attack, or your competitors to know products plans until after the lunch. Você não questiona os seus inimigos para saber os seus planos de guerra após um ataque, ou seus competidores para saber os planos dos produtos após o almoço. O movimento hacker tornou-se socialmente um tanto negativo, após o surgimento dos crakers, uma outra vertente de hackers, que possuía, como objetivo, apenas a destruição total 16

17 dos seus alvos, fossem eles, servidores corporativos, sítios (sites) de internet, o micro do amigo de escola ou a Nasa. O princípio cracker é parte do Cyberterrorismo, muito temido hoje, mudaram alguns alvos, o objetivo passou a ser mais político, mas o conceito destrutivo ainda é muito parecido com o anterior. Mantido por grupos terroristas e governos repressores ou totalitários, que visam destruir sistemas de serviços vitais de outras nações, para que o caos ocorra, os ataques crackers a servidores de DNS (domain name system sistema de nomes de domínios), servidores de arquivos de grandes corporações, roteadores fundamentais, são exemplos constantes, além da criação de vírus poderosos e programas de ataques mais letais. No Cyberterrorismo, os focos dos ataques são serviços de tráfego, grandes hospitais, centrais elétricas, usinas nucleares, serviços de vôos, bancos, bolsas de valores, sistemas de satélite, sistema de coordenadas de mísseis, serviços públicos, usinas nucleares. Apesar de existir esta ameaça, invisível, as grandes corporações atualmente adotam uma prática um pouco diferente das que eram realizadas uma década atrás, hoje, quando uma invasão é percebida ou detectada, não se faz nenhum alarde, geram-se ações rápidas de correções e tudo é feito com o máximo sigilo, pois todas estas empresas possuem ações nas bolsas de valores e clientes potenciais em várias partes do mundo. Como exemplo hipotético de uma ação deste tipo, poderemos citar um grande banco invadido, onde no dia seguinte todos os seus clientes fiquem sabendo através dos noticiários que suas contas estão inseguras e passíveis de roubo através do sistema. Certamente todos os clientes retirariam os seus valores, fechariam as suas contas, colocariam os seus montantes em outro banco que lhes desse mais segurança. Atualmente, segurança e negócios caminham lado a lado. Os ataques crackers foram os mais destrutivos e chegaram a causar prejuízos de milhares de dólares as redes corporativas, pois nesta época os sistemas eram inseguros e não existiam planos de contingências ou de segurança. Segundo Resende (2005, p.294): Um plano de segurança diz respeito à gestão de dados e informações, que compreende as atividades de guarda e recuperação de dados, do tratamento dos níveis e controle de acesso das informações, constituindo parte da tecnologia da informação da organização. Ainda segundo Sá (2005), nem só de ataques viviam os hackers, Richard Stallman, consolida toda o pensamento hacker ao fundar da Free Software Fundation ( FSF) em 1984, 17

18 com a idéia de desenvolver um sistema operacional livre, criou o projeto GNU (Gnu s Not a Unix), sendo este o embrião de todo conceito do software livre que possuímos hoje, Linux, BSD, FreeBSD, etc, produzir e distribuir o software livremente. A idéia de Stallman prega uma liberdade na utilização do software e o livre a que ele se refere em seu manifesto significava que o usuário teria plenos poderes na utilização e modificação do código do mesmo, conforme as suas necessidades, sem solicitar a permissão da fonte criadora e ainda poderia redistribuir o mesmo software com todas as modificações implementadas. Stalmman vislumbrou a idéia de um software livre quando ainda trabalhava em um grande instituto de pesquisa americano e teve problemas com um driver de uma impressora HP (programa interno que controla as funções de impressão), quando este apresentou problemas, Stallman fez uma solicitação à empresa criadora, que não o atendeu dentro das suas solicitações, ele então, escreveu um novo driver, melhor que o original e começou a distribuí-lo livremente, estava criado então um dos primeiros softwares livres. Ainda segundo Sá (2005) na Finlândia, um outro hacker, chamado Linus Torvalds, ao alterar os códigos do kernel (núcleo) do sistema operacional Minix, cria o sistema operacional Linux, um sistema livre, onde qualquer pessoa com alguns conhecimentos de programação, poderia mudá-lo como desejasse. 2.5 O TCP/IP COMO FACILITADOR Os ataques, associados aos vírus de computadores passaram a agir sobre as vulnerabilidades ou processos até então desconhecidos dos protocolos das redes, principalmente sobre o protocolo TCP/IP, utilizando-os de forma irregular, mudando suas ações naturais, tornando as redes lentas, danificando-as temporariamente ou provocando danos irreversíveis em servidores e serviços. Como diz Davidson (2009): Não existem novos problemas de segurança, continuamos a ter velhos problemas com novos protocolos. A visão e esperança vigente na época dos ataques e invasões em massa, por volta de 1998, era a de criação de um antídoto, uma espécie de antivírus para a rede, uma proteção eficiente para os graves problemas que surgiam e que traziam prejuízos econômicos graves para as corporações, quando estas começavam a migrar seus negócios para a internet. 18

19 2.6 A BATALHA DOS BITS Diversas formas e tipos de ataques ocorriam a cada instante e isto preocupava os grandes provedores e as grandes corporações que utilizavam novas tecnologias para aumentar a captação de recursos dos seus negócios, mas a sombra dos crackers e vírus os perseguiam. Muitos produtos foram criados e prometiam a proteção total ou definitiva, mas os hackers e crackers evoluíam e criavam novos desafios. Esta batalha parecia não ter fim, a solução corporativa encontrada foi tentar contatar estes hackers e cracker, contratá-los de uma forma velada, a peso de ouro, para que suas redes pudessem ser protegidas e defendidas de possíveis invasores. A idéia era simples, mas de grande eficiência, se você não pode com os inimigos, junte-se a eles; ser defendido por quem realmente conhecesse os dois lados, parecia uma boa solução. A luta era intensa, uns criando ferramentas de proteção e outros gerando novos códigos de ataques. 2.7 UMA LUZ NO FIM DO TÚNEL Em determinado instante da internet, por volta do início dos anos 2000, começaram a surgir ferramentas mais eficientes no que dizia respeito à proteção das redes, os programas eram unitários, básicos, modulares, cada um deles dedicados a um determinado tipo de proteção ou de serviço. A maior parte destes programas, voltados para o sistema operacional Unix ou para o Linux, que são sistemas coesos e muito usados na área de segurança, que por exigirem um conhecimento maior no uso de suas ferramentas de exploração e comandos, dava uma maior estabilidade e credibilidade no que se referia a proteção e segurança. Os hackers e crackers evoluíam e conseguiam descobrir novas vulnerabilidades nos sistemas operacionais e nos protocolos das redes. Era preciso criar algo mais efetivo, concentrado e que pudesse proteger uma rede dos ataques mais freqüentes e que gerasse relatórios com informações dos tipos de ataques e das vulnerabilidades presentes em programas e protocolos. 19

20 2.8 O IDS OSSIM Na Espanha, na metade da primeira década dos anos 2000, um grupo de pessoas ligadas à segurança de sistemas e redes, reuniram-se através da internet com outros grupos de programadores, hackers, crackers, de diversos países e imaginaram uma suíte que integrasse todas os programas livres de proteção de redes em um só lugar, controlados através de uma interface gráfica web. Nascia então, a primeira versão do OSSIM. O OSSIM, este detector de intrusos, possui diferentes ferramentas de proteção para redes e serviços, programas livres que foram disponibilizados através de downloads na internet por outros desenvolvedores. Estes programas (softwares) após serem validados e testados em suas funcionalidades e eficiências, passaram por um período de aprovação e de estabilidade e então foram agregados à suíte. Este procedimento é muito comum nos grupos de produção de software livre, primeiro verifica-se a estabilidade do software, depois o coloca em produção, gerando assim uma versão estável. Os seguintes programas foram anexados ao OSSIM por suas qualidades e segurança, ainda existindo na versão atual conforme informa a empresa Alien Vault em seu sítio (site), que faz atualmente a coordenação do produto OSSIM. Em sua estrutura atual ele possui diversos programas, o Arpwatch é usado para detectar anomalias no endereço MAC. P0f, promove a detecção passiva de sistemas operacionais e análises de troca. Pads, que detecta anomalias de serviços. Nessus é um scanner de rede, usado para detecções de vulnerabilidades (simula ataques e procura por falhas), fazendo relações cruzadas (IDS x Scanners de Segurança). Snort, um outro IDS, também usado para relações cruzadas com o Nessus. Spade, que é um engenho estatístico de detecção de anomalias dos pacotes (avalia tentativas de sniffers, floods, brutal force, entre outros tipos de ataques). Ele também é usado para validar a veracidade dos ataques sem assinaturas em redes e servidores, já que este tipo de evento é razoavelmente comum. Os programas Pads, Snort, Pam_Unix e SSHd são correlacionados. 20

21 Figura 1- Gráfico com Pads, Snort, Pam_Unix e Sshd em atividade. Figura 2 - Gráfico de eventos e sensores com Portscan, P0f, Snort_tag e Diretive_alert entre outros em atividade. Tcptrack, usado para comprovar uma ocorrência de ataque, através das informações dos dados de sessão. Ntop, este possui um banco de dados com informações da rede no qual se pode identificar ocorrências suspeitas e também detectar anomalias diversas. Nas últimas versões, foi inserido o monitor e gerenciador de redes, Nagios, um software que gera gráficos das ocorrências das redes, seus componentes e serviços, mantendo um banco de dados para consultas forenses. Existem mecanismos no Nagios que avisam em tempo real as ocorrências de falhas e quedas de links de comunicação. Para a estrutura do 21

22 OSSIM, o Nagios é um programa importante por aceitar agregados (plugins), gerando assim, uma gama muito maior de possibilidades de uso da suíte do OSSIM. Figura 3 - Interface do OSSIM apresentando o Nagios. Osíris, gerador de mapas de rede, sendo usado também como um detector. OCS-NG, uma solução de inventário. OSSEC, uma ferramenta que é um detector de integridade, detector de registros (de ataques, vírus, trojans, fishing, entre outros), programa muito importante na suíte, que também possui um detector de rootkits, que são scripts maldosos. Para o perfeito uso do OSSIM é preciso definir como ele atuará dentro da topologia projetada, atuará como servidor ou como monitor/sensor. O OSSIM, também implementa outros validadores sem grande expressão conforme informações contidas no sítio (site) da Alien Vault, que funcionam no auxílio das atividades dos outros programas, ao vasculharmos os códigos do OSSIM, ou verificarmos suas atividades, observaremos que são pequenos daemons (programas residentes), pequenos coletores de informações, verificadores de portas, pequenos scripts, etc. A suíte, nos dias atuais, gera a configuração em um único arquivo, mantendo ali, senhas e variáveis, este arquivo que é lido por diversos outros programas contidos no OSSIM, chama-se /etc/ossim/ossim_setup.conf e pode ser editado manualmente quando necessário. Após a edição do ossim_setup.conf é necessário aplicar um script para a sua validação, que é o /usr/bin/ossim-reconfigure. Existem outros arquivos editáveis em modo texto nos diretórios agent, framework, server e updates, cada um deles servindo de base das configurações. 22

23 3 DESENVOLVIMENTO DOS TESTES O OSSIM instalado e utilizado para a elaboração desta monografia, foi o da versão 2.2, uma distribuição livre voltada para a comunidade mantenedora, distribuída em formato de um arquivo ISO (padronizado pela International Standards Organization ) com aproximadamente 589 Mb, disponível em Para os testes de tentativas de invasões e de acesso ao sistema, foi usada a distribuição LINUX BT4, própria para testes de vulnerabilidades de sistemas, invasões e penetrações em sistemas diversos. Este Linux teve a sua data, hora e localização geográfica trocada para algumas cidades, como Los Angeles, Rio de Janeiro, São Paulo, Tókio, Londres, para verificar como o OSSIM se comportaria em relação ao armazenamento das informações forenses dos ataques vindas de máquinas com valores diferentes, ficou claro, nos testes, que a hora usada armazenada é a local. 3.1 INSTALAÇÃO Após o arquivo ISO ter sido baixado do sítio (site) da Alien Vault, foi gravado em um DVD com a inicialização do sistema boot, contendo o setup, um mecanismo de instalação do OSSIM, baseado no sistema operacional LINUX, distribuição DEBIAN. Foi dado um boot (inicialização) pelo DVD, carregando-o e iniciando-se a fase de instalação em uma máquina de testes, servidor (individual), possuindo as seguintes configurações, dois processadores de 1.7Ghz, 2Mb de ram, 160Gb de espaço em disco. A máquina OSSIM foi ligada a uma rede contendo uma conexão com a internet e com mais duas máquinas de testes: um laptop para acessar a console gráfica, emitir ataques e verificar as atividades e outro computador com uma máquina virtual (VirtualBox), simulando mais duas outras máquinas comuns (com diferentes sistemas operacionais conectadas a rede). 23

24 Figura 4 - Configuração da rede de testes básica. Para os testes de ataques foi usada apenas uma conexão exclusiva entre o laptop e o servidor, intermediado por um switch, em rede exclusiva para que as respostas aos eventos fossem mais rápidas e para que os ataques pudessem ser contabilizados com mais eficiência pelo servidor OSSIM. A estrutura criada para esta simulação considerou o IDS OSSIM como verificador da rede interna, após o firewal, tratando pacotes passados ou em tráfego na rede interna. A simulação de ataques partiu desta rede com o objetivo de atingir o servidor OSSIM, para assim, definir a sua eficiência mais diretamente sem o obscurecimento de tráfego de outras redes. Este formato tornou-se o mais eficaz neste teste para esta pesquisa, pois as observações das ocorrências ficaram muito mais fáceis de serem percebidas. Figura 5 - Configuração da rede de testes para os ataques. Na primeira instalação, o servidor apresentou problemas nesta nova versão, perdendo a configuração de língua selecionada (brazilian portuguese UTF-8 e ISO ), apresentando caracteres estranhos na tela de instalação. Isto ocorreu na instalação que utiliza a 24

25 console gráfica, após ter sido solicitada a instalação dos pacotes do JAVA. Para a instalação em modo texto e para os testes foi mantida a língua inglesa como padrão. Figura 6 - Instalação do OSSIM - Erro de língua padrão. Ocorreram outras tentativas, tais como instalar em modo texto, mas o sistema atingiu um determinado ponto da instalação e solicitou um arquivo inexistente no OSSIM/Debian, gravado no DVD. Outro erro ocorrido foi o da chave de autenticação GPG, para conexão e atualização de arquivos com a Alien Vault e Debian. Estes erros não existiam nas versões anteriores. Figura 7 - Erros de autenticação da chave GPG. O objetivo foi alcançado, após uma nova instalação, ao ser selecionada a opção de instalação automática, transcorrendo sem maiores problemas, apenas sendo observado que o tempo da instalação foi extremamente longo, mesmo em modo texto, levando aproximando-se uns 20 minutos, para a sua conclusão final. Durante a instalação, o sistema, faz diversas perguntas ao usuário, tais como o número ip (número único para identificação do servidor em uma rede tcp/ip), número do 25

26 gateway (máquina de conexão/saída para a internet), número da rede onde será instalado o servidor, senha do usuário root (usuário com maior poder dentro do sistema LINUX), nome do servidor, posição geográfica para acerto do relógio em relação ao sistema de tempo GMT. O mais importante questionamento feito ao usuário e que poderia passar quase despercebido, fica em uma das primeiras telas do OSSIM, apresentada logo após o boot, é uma solicitação do tipo de instalação que será executada, servidor ou agente/sensor, uma escolha errada neste ponto, pode causar problemas posteriores, pois as duas formas de atuação do OSSIM são bem distintas em seu uso e servem para necessidades diferentes. Uma observação importante constatada logo após este ponto, é a de que existe um erro por sobreposição de imagens e menus, o que gera uma dificuldade muito grande para ler o que está escrito nas opções, já que os caracteres estão na cor branca, quase sumindo em um fundo azul claro, além de outras informações de fundo que ajudam a complicar ainda mais a leitura. Figura 8 - Tela de instalação do OSSIM com erros de sobreposições na escolha do menu. Um outro fator a ser observado é o tempo da carga dos programas que fazem parte da suíte do IDS OSSIM, durante o boot, demoraram bastante para serem carregados na primeira vez em que o mesmo foi iniciado, aproximadamente nove minutos, o sistema carrega programas, cria arquivos de logs e gera alguns pipes (canais de comunicação e transferência de informações entre programas). Muitas estruturas são construídas, preparadas e carregadas nesta hora, há uma sobrecarga do sistema, o que cria uma alta atividade nos processadores. Este tempo de carga, no servidor de testes, foi de nove minutos na primeira vez e de uns três minutos e vinte e sete segundos na segunda vez. 26

27 3.2 SERVIDOR OU SENSOR? Foram verificadas duas formas distintas de instalações funcionais para o OSSIM, a primeira possibilidade é a que o configura como servidor (server), onde todos os dados colhidos por agentes/sensores são enviados para serem processados no servidor, sendo esta comunicação feita através de mensagens criptografadas e o reconhecimento de uma mensagem vinda de um agente/sensor é identificada através de uma chave de autenticação, também criptografada, isto serve para que não haja conflitos com as informações rotineiras da rede e também para manter a veracidade das mensagens. A segunda possibilidade é instalá-lo como sensor agents (agente/sensor), onde o OSSIM se torna um mero coletor de informações, não processando quase nada, enviando os dados capturados para outra máquina presente na rede, configurada como servidor. Trabalhando com as suas interfaces em modo promíscuo, neste modo, as interfaces de rede coletam tudo o que passar por elas, sem nenhum questionamento ou testes, recebendo todo o trânsito de pacotes da rede. O OSSIM configurado desta forma garante que quase todos os pacotes serão coletados e entregues ao servidor OSSIM, para uma análise detalhada. Segundo Casal, os programas internos do OSSIM são divididos em dois grupos: monitores e detectores (monitors e detectors), que são controlados por padrões definidos que usam assinaturas ou regras, são estas divisões que produzem se o OSSIM será instalado como servidor ou como sensor. Na figura 9 temos a visão de uma instalação de um servidor OSSIM coletando informações dos sensores que provem informações de diversas redes (rede 01, rede 02 e rede 03), observando que um dos sensores recolhe informações antes do firewall, na conexão direta com a internet. Figura 9 - Servidor e Sensores OSSIM. 27

28 No OSSIM atual, não existe mais acesso a terceira opção, ainda presente no software OSSEC, que é a de configurar o OSSIM como Local, uma opção retirada nas configurações feitas através da interface gráfica. Este modo de configuração permitia que todos os fluxos da rede pudessem ser coletados e analisados em uma mesma máquina, este formato era ideal para uma rede muito pequena, com poucas máquinas, mas que possuía a necessidade de ser analisada. Esta configuração que ainda existe no OSSEC, no OSSIM, foi transformada na configuração de atuação servidor, que aplica no equipamento uma espécie de servidor/agente/sensor, ou seja, tudo em um mesmo local. Para Casal, em uma topologia complexa podem existir quantos agentes/sensores sejam necessários para a captura de informações das diversas redes existentes, assim como, podem existir diversos servidores para processar um grande número de informações. Em algumas situações, em redes extremamente grandes, pode existir um servidor OSSIM principal conectado a outros servidores OSSIM, que por sua vez estariam interligados a agentes/sensores. Estes servidores intermediários enviariam para o servidor principal as informações relevantes de suas redes, filtradas e processadas. Este tipo de configuração não é muito difundido, devido ao seu alto grau de complexidade. Devemos lembrar que agentes/sensores dependem sempre de servidores, pois estes são apenas coletores de informações passantes que não processam ou filtram quase nada, apenas colhem, fazem uma pequena verificação e enviam ao servidor. Estes mecanismos, muito distintos entre si, causam certa confusão se não forem especificados antes da sua instalação e configuração em um projeto de segurança. Quando a instalação requerida transcorre como server (servidor), significa que a máquina configurada executará todo o trabalho de processamento, validação, filtragem de dados, gerador de gráficos e armazenamento de informações. Os dados obtidos são comparados com as assinaturas de ataques ou de vírus, para que se possa ter uma resposta imediata antes da ocorrência efetiva de um sinistro. Um servidor pode ser configurado para receber informações de inúmeros agentes/sensores desde que possua uma boa capacidade de processamento. Este processo de múltiplas máquinas OSSIM é o ideal para backbones, a espinha dorsal das grandes redes corporativas, ou redes médias, onde por ventura, sejam extensas e possuam múltiplas outras redes anexadas, conectadas ou não a internet, gerando assim, a 28

29 necessidade de um monitoramento intensivo por correrem riscos de ataques ou uso indevido de seus recursos por usuários internos e externos. Para redes pequenas, a instalação do OSSIM apenas como servidor, contemplando as duas funções, é a mais recomendada, basta que o servidor OSSIM possua diversas interfaces de redes conectadas a ele e estas as redes que serão analisadas, apresentando assim, uma razoável performance, não sendo necessários servidores de extrema capacidade de processamento. Em alguns países da Europa (Espanha, Inglaterra, França), o OSSIM é usado em proteção de backbones, que tratam sistemas de telefonia com acessos web e redes ligadas a comércio eletrônicos. 3.3 FRAMEWORK / CONSOLE GRÁFICA Um dos recursos do OSSIM muito importante é o seu framework, ou seja, a sua console gráfica, onde através desta, pode-se configurar quase todos os programas instalados e receber informações de ocorrências, vulnerabilidades, ataques, visualizar gráficos de usos e outras atividades. Segundo Jan, quando elucida sobre a interface do OSSIM em seu sítio (site), diz que na aba principal (main) de configurações (configurations), existem mais de dezessete sessões básicas, iniciais, que podem ser configuradas para que o OSSIM possa começar a operar com segurança, ao testarmos nesta pesquisa, confirmamos a veracidade destas informações. Na página inicial da console gráfica, as primeiras e mais relevantes imagens que são vistas, representam os gráficos de alertas e eventos e de ataques, que são fundamentais para saber com exatidão o que está acontecendo na rede. 29

30 Figura 10 - Console gráfica (framework) do OSSIM. O acesso a console gráfica do OSSIM foi feita através de outra máquina, um laptop, sendo acessado através do navegador (browser). Como o OSSIM possui um servidor web comum, para as funções destes serviços, é usado o servidor web Apache / Tom Cat. Apesar de ter grande parte da sua base na linguagem de programação PHP, o OSSIM possui módulos em outras linguagens e frameworks de programação, tais como Javascript, JQuery, CSS, Ajax, Phyton, etc. A console gráfica do OSSIM apresenta alta qualidade gráfica, com a utilização de Ajax, o que consolida um designer moderno e com grande praticidade de uso. Com a aplicação do conceito de abas o acesso à informação tornou-se muito prático, concentrado e mais rápido do que em versões anteriores. As funcionalidades também melhoraram, devido ao uso de bibliotecas gráficas usadas no PHP para a geração de gráficos e outros recursos. Uma das coisas mais surpreendentes nesta versão do OSSIM é a utilização de um gerador de mapas de redes chamado Osíris, que apresenta de forma gráfica a estrutura da rede, formando uma espécie de leque com as informações dos servidores e clientes da mesma. Na mesma linha do Osíris, mas com conceitos diferentes, está outro poderoso programa, o Nagios, que armazena em tempo real as ocorrências da rede, apresentando a utilização e as falhas dos links de comunicação da rede, tudo isto de forma gráfica na console. 30

31 Uma outra informação bastante interessante e útil para o gerenciamento e gestão de TI é a apresentação dos tipos de acessos efetuados pelas máquinas presentes na rede, tudo isto de forma gráfica, mostrando inclusive os sítios (sites) visitados e o tempo utilizado. 3.4 ANÁLISE DOS RESULTADOS As configurações não são simples para por o OSSIM em operação, pois para configurá-lo deve-se dispor de um bom nível de conhecimento sobre redes e protocolos de médio para alto, pois como o OSSIM é um IDS poderoso, todos os itens de configurações devem ser avaliados, verificados e compreendidos nas suas totalidades. Um exemplo claro e prático da necessidade deste tipo de conhecimento é a utilização do Nessus, que quando usado de forma equivocada por pessoas que o desconhecem, ao iniciar sua avaliação de testes de vulnerabilidades (simulação de ataques para descobertas de falhas), o mesmo pode ser lançado contra um servidor de produção (servidor funcional) e se este possuir uma vulnerabilidade grave, poderá ocorrer negação de serviços, redução de velocidade, travamentos ou até mesmo deixar de funcionar momentaneamente, este teste pode ser considerado perigoso quando habilitado por pessoas inexperientes ou curiosas. Este teste quando executado deve ocorrer fora dos horários de atividades das redes das empresas, de preferência durante os momentos de baixa atividade na mesma. As operações fundamentais do OSSIM estão diretamente relacionadas a um outro programa livre chamado OSSEC, programa que define se a instalação será Server (Servidor) ou Agent (agente/sensor/monitor), definindo o tipo de coleta de informações. A interface de configuração do OSSIM é prática, sendo bastante objetiva em suas funções, após esta configuração será gerado um arquivo que será usado como base para alguns outros programas. Ao usar o OSSIM, percebe-se logo que as configurações devem ser elaboradas da melhor forma possível; bem dimensionadas, representando a realidade da rede onde se opera, esta aproximação, com as funcionalidades da rede, minimiza drasticamente o surgimento de falsos-positivos, que são alarmes de falsas ocorrências críticas, tentativas de invasões, assinaturas de vírus, vulnerabilidades de softwares, ataques diversos (spoofing, brutal force, zumbis, etc). 31

32 Para Sisternes, o gerenciamento das informações de segurança, através do OSSIM, são confiáveis quando configuradas de forma correta. Com a utilização do painel administrador do OSSIM (através da web), vai-se configurando toda a estrutura dos softwares que se encontram em outras camadas, reduzindo-se o número de falsos-positivos a uma quantidade insignificante. O ideal seria aproximar este número ao mais próximo de zero, mas isto nem sempre ocorre, devido às configurações das redes serem elaboradas de formas errôneas e o uso indevido de protocolos diversos ou configurações inadequadas de elementos dos mesmos, nestes casos o número de ocorrências de falsos-positivos (falsas informações de ocorrências) sobe drasticamente, gerando incômodos em quem gerencia este tipo de rede. Na rede experimental, foi detectado um nível muito alto de falsos-positivos inicialmente e alarmes vindos do programa Nagios, principalmente com referências a espaço em disco devido ao rápido crescimento dos arquivos de logs e outras utilizações de espaço para dados, arquivos temporários e crescimento dos registros do banco de dados. Foram observados avisos falsos de possibilidades de intrusão por warm na porta TCP 139, que foi solucionado com algumas verificações e configurações. A senha de acesso a console gráfica foi um outro problema apresentado, pois mesmo sendo informada a correta (admin - admin) gerados pela Alien Vault, esta não funcionou, uma cópia do arquivo de configuração original de uma outra instalação anterior substituiu o arquivo defeituoso, o sistema manteve a senha e o usuário padrão, permitindo a troca por outra senha diferente. Este processo, nos primeiros momentos, apresentou um pouco de trabalho para ser superado, sem acesso, quase nada se podia fazer. A maior facilidade encontrada foi à configuração do sistema através da interface gráfica e a visualização das ocorrências e utilização dos serviços através de gráficos e listagens. Para Stender, devido à dificuldade de se realizar testes de segurança e da necessidade da manutenção do nível de qualidade que se deseja durante e depois do processo, a aplicação de testes em sistemas ou programas desta espécie, podem ser funcionais ou não funcionais, dependendo apenas da forma de como o mesmo é aplicado, já que se visa conseguir um alto nível de respostas. Para os teste de ataques aplicados aqui e de acordo com o que diz Herzog, existem dois tipos de ataques, o ataque passivo, que tem como objetivo recolher informações irrelevantes, que não possuam muita influência direta ou muita importância e onde este tipo de ataque quase nunca transpassa os limites do atacado. O outro tipo de ataque é o intrusivo, que passa as barreiras legais do atacado e que tem por objetivo, recolher 32

33 dados importantes, podendo ser monitorado e ativar algum tipo de recurso de segurança no atacado. Será usado para esta pesquisa o ataque intrusivo para testes funcionais. Os tipos de testes aplicados contra o IDS OSSIM usaram o conceito de testes Black Box, onde os testes são elaborados como caixas pretas fechadas, ou seja, não sendo necessário saber, cada passo que os programas de testes executam, observando-se apenas os resultados de suas saídas. Os testes foram aplicados com o uso do LINUX BT4, próprio para explorar sistemas operacionais, protocolos usados em redes e para executar testes de segurança. Figura 11 - LINUX Back Track em uso. Segundo Karg é possível verificar e bloquear a ação de exploradores (exploits) através do OSSIM com este determinando os níveis de riscos. Para os testes aplicados contra o servidor, foram selecionados; Fast Track que é um teste de penetração (penetration test), no qual foram usados módulos de ataque em massa contra o servidor (mass cliente-side), um módulo de ataque que tentou derrubar o servidor (attack), um outro módulo com o qual foram aplicados 201 tipos diferentes de exploradores (exploits) com a intenção de se conseguir algum tipo de acesso ou descobrir alguma vulnerabilidade no servidor visando com isto, executar uma conexão indevida. Todos foram lançados contra as portas mais comuns usadas por programas, 22, 80, 8080, 514 e Conforme diz Karg, para coletar este tipo de informação e não permitir que o atacante tenha sucesso em seus objetivos, é necessário que os serviços dos agentes e dos servidores estejam ativos e configurados. 33

34 Figura 12 - Ataque do Fast Track, incluso no Back Track, contra as portas 22, 80, 8080, 514 e 3000 com detecção do OSSIM para os eventos nestas portas. Para Wang (2004), um explorador (exploit) de segurança se manifesta claramente com a presença de uma falha de segurança, mas nem sempre um defeito que ocorre na segurança causa uma exploração. Depois do teste de exploradores (exploits), foi executado um teste com o mesmo programa Fast Track, só que desta vez focado em uma falha existente em servidores Windows e no protocolo de FTP e suas portas. O teste visava tentar atacar uma máquina Windows, presente na rede através do protocolo TFTP e torná-la inoperante. O OSSIM detectou este evento e muitos outros eventos internos, inerentes aos ataques. Figura 13 - Fat-Track em ação e OSSIM detectando tentativas de ataques. Os programas Metasploited e Autopwn Automation, foram utilizados para tentar acessar o servidor através de alguma falha em portas altas. O Firefox Heap Spray que simula uma conexão com o servidor como se fosse um navegador (browser) requisitando informações, mas a idéia era gerar uma queda (crash) no servidor por excesso destas requisições. Através do Autopwnpost, tentou-se injetar e explorar informações do servidor. Para todos estes programas, aplicados contra o servidor OSSIM, todos os exploradores (exploits) foram 34

35 detectados e o servidor OSSIM não permitiu nenhum tipo de acesso, conexão, roubo de senhas ou arquivos, bloqueando os acessos e registrando as ocorrências. O programa AutoScan Network, um scaner de rede não conseguiu conectar-se ao servidor OSSIM, pois não encontrou nenhuma porta ou programa com vulnerabilidade. Segundo Junior (2010), para estes tipos de ataques, o ideal é que o sistema de proteção não responda nada para o sistema atacante e nem gere nenhum contra-ataque para o ip invasor, que apenas o bloqueie, se proteja, gere informações forenses e alerte, pois isto irá criar um desinteresse no hacker com referência ao sistema atacado, não o sensibilizando com informações que possam ser relevantes para uma possível descoberta de vulnerabilidade no sistema atacado. Figura 14 - MetaSploited e AutoScan network em atuação, tendo suas conexões recusadas pelo OSSIM (connection refused). Foi elaborado um teste de brutal force e um do mesmo tipo para SSH (SSh Bruteforced), para possível quebra de senhas e acessos indevidos, ambos programas foram interceptados e detectados pelo servidor OSSIM. Outras tentativas de burlar o sistema também foram geradas e nada significante foi conseguido, apesar de ter sido usado o programa Nemesis, um injetor de pacotes que trabalha com os protocolos da rede para conseguir a violação no servidor. Nada foi conseguido com este tipo de programa, pois o OSSIM conseguiu registrar as ocorrências e eventos contra as portas TCP/UDP. 35

36 Figura 15 - OSSIM detectando ataques contra as portas TCP e UDP. Contra o banco de dados, foram lançadas tentativas de conexões, de recuperação de informações internas ou para ganhar acesso ao mesmo, na expectativa de conseguir executar a troca de sua senha principal. Foram usados os programas DBPwAudit, que faria uma conexão e traria informações importantes do banco de dados. SQLCheck, que apresenta informações do banco em modo texto e SQLMAP que produz um mapeamento do banco de dados. O primeiro programa não conseguiu conexão, o segundo trouxe linhas de dados falsas (false strings) e o terceiro nada apresentou, a não ser o apagamento da tela do equipamento atacante. Todos os programas foram bloqueados ou detectados pelo OSSIM. Figura 16 - SQLChech apresentando caracteres estranhos. Foram gerados alguns testes de SQL injection, que consistiu em tentar enviar comandos ou substituições de valores, através da linha de endereço do navegador (browser), tentando com isto, apagar tabelas do banco de dados, trocar a senha de usuários de programas, etc. No teste aqui elaborado, serviu para verificar a consistência da passagem de parâmetros através 36