PIBIC Programa Institucional de Bolsas de Iniciação Científica (CNPq-UFES) Processo Seletivo Anexo 3 RELATÓRIO FINAL

Transcrição

1 Universidade Federal do Espírito Santo Pró-Reitoria de Pesquisa e Pós-Graduação Av. Fernando Ferrari, s/n Goiabeiras Vitória, ES, Brasil Tel: +55 (27) Fax: +55 (27) prppgsec@npd.ufes.br PIBIC Programa Institucional de Bolsas de Iniciação Científica (CNPq-UFES) Processo Seletivo Anexo 3 RELATÓRIO FINAL Identificação. Grande Área CNPq: 3 Área CNPq: Engenharias Título do Projeto: Identificação de falhas de segurança Pesquisador Responsável: Raul Henriques Cardoso Lopes (orientador) Sérgio Antônio Andrade de Freitas (co-orientador) Nome do Bolsista: Arthur Cypriano Monteiro Costa

2 1 - INTRODUÇÃO Com a expansão desordenada da Internet, houve um crescimento alarmante nas redes corporativas do número de tentativas de invasão, tanto das máquinas ligadas direta ou indiretamente à Internet. Seja apenas por mera diversão, seja para conseguir informações sigilosas, tais ataques representam uma ameaça real às corporações, pois causam danos materiais tais como: perda de dados armazenados, roubo de informações sigilosas ou, no mais das vezes, danos à imagens da organização. Para que qualquer sistema de detecção ou reconfiguração de redes sob ataque funcione, é necessário haver um mínimo de informações sobre os ataques já conhecidos, em suma, é necessário criar uma base de conhecimento sob ataques. Por outro lado, não existe um formalismo de representação para os ataques/defesas que possa ser utilizado diretamente em um sistema computacional de segurança. Estas são as motivações básicas para o trabalho de iniciação científica aqui desenvolvido, no qual foi feito um estudo sobre diversas formas de ataque/invasão de redes, foram feitos testes com estas formas de invasão (programas em C, Perl, etc, os quais, por motivos de segurança, apenas apresentamos alguns trechos nos anexos), e, finalmente, baseado no conjunto de informações coletadas, estabeleceu-se uma padrão básico de representação de ataques e possíveis defesas em XML. É este padrão XML o formalismo de representação e troca de mensagens entres os diversos componentes do projeto SEGURA.

3 2 - MATERIAIS E MÉTODOS Foram analisadas algumas ferramentas que são muito usadas por atacantes (hakkers) para a confecção de ataques. Estas ferramentas são muito úteis em vários aspectos, tais como: (1) o levantamento de informações sobre o alvo 1, (2) que tipo de serviços estão disponíveis no alvo, (3) quais as possíveis vulnerabilidades do alvo, entre outras informações. As ferramentas analisadas foram o nmap [1], o nessus [3], o sara [2], o saint [4], o snort [5], além de alguns comandos de sistemas operacionais (UNIX-Like e Windows-Like) usados para rede, como o ping, nslookup e whois. O nmap [1] é uma ferramenta usada para levantar as seguintes informações: (1) quais serviços estão disponíveis numa máquina, (2) o nome e a versão do programa que disponibiliza o serviço, (3) que sistema operacional está instalado na máquina e sua versão. Estas informações são obtidas de uma forma clara e de fácil leitura pelo usuário. Estas informações são úteis aos atacantes, pois com elas procura-se na rede por vulnerabilidades que possam ser usadas contra estes serviços ou ainda, cria-se suas próprias ferramentas para explorá-las. Fiz uso, em minhas análises, desta ferramenta contra algumas máquinas do laboratório, para levantamento de dados para o uso em posteriores tentativas de ataque contra as mesmas. A seguir, se encontra o resultado da execução do nmap contra uma máquina (por motivos de segurança, os dados relativos à máquina alvo foram alterados, sendo que os IPs 2 e nomes de máquinas apresentados no exemplo são falso). [root@localhost /root]# nmap -su -ss -O localhost Starting nmap V. 2.54BETA30 ( ) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Interesting ports on localhost.localdomain ( ): (The 1440 ports scanned but not shown below are in state: closed) Port State Service 111/udp open sunrpc 137/udp open netbios-ns 138/udp open netbios-dgm 928/udp open unknown 1024/udp open 1025/udp open 1031/udp open 2049/udp open 3130/udp open unknown blackjack iad2 nfs squid-ipc 1 Designação dada às máquinas / rede que são os objetivos do ataques. 2 Representação de um domínio de rede no seguinte formato X.X.X.X onde X esta no intervalo de 0 a 255. Maiores informações, veja [8]

4 Remote operating system guess: Linux (X86) Nmap run completed -- 1 IP address (1 host up) scanned in 7 seconds Exemplo 1: Varredura de portas buscando por serviços TCP, UDP e pelo sistema operacional O nessus [3], saint [4] e sara [2], são ferramentas que possuem funcionalidades semelhantes entre si: varrem uma máquina ou uma rede por inteiro, testando se os alvos possuem algumas das vulnerabilidades que estão cadastrados em suas respectivas bases de dados sobre ataques. O resultado é um diagnóstico, para o atacante, de qual é a situação do sistema alvo. Usei as três ferramentas e comparei seus resultados. Cada uma das ferramentas possui uma forma diferente de avaliar o grau de comprometimento do sistema alvo contra ataques, já que cada ferramenta faz uso de técnicas distintas para a avaliação. Na minha avaliação, a melhor e que também possui maior suporte por parte de seu criador, é a ferramenta nessus. Esta tem sua base constantemente atualizada com os novos ataques que são descobertos. Abaixo segue o resultado obtido pelo nessus contra a mesma máquina usada no exemplo 1. (...) DETAILS + localhost :. List of open ports : o netbios-ns (137/udp) (Security warnings found) o netbios-ssn (139/tcp) (Security hole found) o ftp (21/tcp) (Security hole found) o http (80/tcp) (Security notes found) o shell (514/tcp) (Security warnings found) o ssh (22/tcp) (Security hole found) o general/icmp (Security warnings found) o printer (515/tcp) (Security warnings found) o general/tcp (Security warnings found) o nfs (2049/udp) (Security warnings found) o unknown (1026/udp) (Security warnings found) o unknown (928/udp) (Security warnings found) o unknown (1024/udp) (Security hole found) o unknown (828/udp) (Security warnings found) o nfs (2049/tcp) (Security warnings found) o telnet (23/tcp) (Security warnings found) o general/udp (Security notes found) o x11 (6000/tcp) (Security warnings found)

5 (...) Exemplo 2: Sumário da saída do nessus para uma varredura por vulnerabilidades. Abaixo se encontra os detalhes da vulnerabilidade encontrada no serviço ftp, porta 21 do exemplo 2:. Vulnerability found on port ftp (21/tcp) : You seem to be running an FTP server which is vulnerable to the glob heap corruption' flaw. An attacker may use this problem to execute arbitrary commands on this host. *** As Nessus solely relied on the banner of the server to issue this warning, *** so this alert might be a false positive Solution : Upgrade your ftp server software to the latest version. Risk factor : High CVE : CVE Exemplo 3: Detalhes de uma vulnerabilidade encontrada pelo nessus. O snort [5] é um farejador (sniffer) de pacotes de rede que vasculha todo o tráfego que passa pela placa de rede da máquina onde foi instalado. Este tráfego pode conter mensagens de , senhas de autenticação não criptografadas, arquivos transferidos pela rede, enfim tudo o que trafegar pela placa de rede. Qualquer conteúdo de mensagem no formato texto é capturado pelo farejador, podendo o atacante ter acesso a elas. Quanto a mensagens criptografadas, o atacante também tem acesso, mas devido ao fato de estarem criptografadas, não conseguem entender o seu conteúdo. O snort foi instalado na rede do laboratório, devidamente autorizado pelo professor orientador e pelo administrador da rede, e foi possível a captura de s, arquivos textos e, inclusive, algumas senhas. Por motivos de privacidade por parte do usuários da rede, nada foi divulgado e nem será apresentado aqui. Além destas ferramentas acima descritas, alguns comandos que já vêm com alguns sistemas operacionais (UNIX-Like e Windows-Like) são bem úteis no levantamento de informações.

6 O comando ping (existente em, praticamente, todos os sistemas operacionais) é muito utilizado para executar a procura por sistemas conectados a rede. Quando um ping é disparado contra um endereço IP ou nome de máquina, se esta estiver conectada à rede e respondendo, o programa receberá como resposta o tempo gasto para o pacote percorrer a rede até atingir a máquina. Com isto um atacante poderá saber se a máquina está ativa ou não. Este comando já é bem conhecido no mundo de redes e muito usado por atacantes com a finalidade citada acima. Por este motivo, muitos administradores de rede filtram qualquer pacote ping que atinja seus firewalls 3, como forma de se esconder de atacantes. Foi por este motivo que outras ferramentas foram criadas pelos atacantes que fazer algo muito parecido com o ping, mas que são de difícil detecção pelo firewall. Uma delas é o hping [6] que consegue passar pelo firewall, pois manda pacotes fragmentados (existem casos em que o tamanho do pacote IP é superior à largura de banda havendo a necessidade de quebrar o pacote em pacotes menores. Isto é conhecido como fragmentação de pacotes), o que impede o firewall de identificar o seu conteúdo do cabeçalho do pacote, não podendo com isto identificar que tipo de pacote está sendo enviado. Fiz uso do comando ping na tentativa de realizar um ataque de Negação de Serviço (Denial of Service), que será descrito mais adiante. Outro comando é o nslookup, usado por atacantes e administradores de rede. Este comando é usado para perguntar a um servidor de DNS [10] qual o endereço IP de um máquina, dado o seu nome ou para perguntar o nome de uma máquina, dado o seu IP. Veja o exemplo 4. [root@localhost /root]# nslookup sil exemplo.com Server: Address: #53 Name: exemplo.com Address: Exemplo 4: Saída do comando nslookup sobre o domínio exemplo.com O comando whois serve para levantar várias informações sobre o alvo. Este comando traz informações sobre a parte não eletrônica do alvo, como por exemplo: o nome do administrador da rede, qual o endereço físico do domínio especificado, o endereço e o nome do servidor de DNS, entre outras coisas. Isto pode ser usado como forma de uma ataque conhecido como engenharia social, onde um atacante pode mandar um para usuários da rede se fazendo passar pelo administrador da rede, pedindo a usuários ingênuos que troquem sua senha por outra especificada pelo atacante, ou que reiniciem uma máquina para ele, entre outras tantas possibilidades, bastando usar a criatividade. Abaixo segue um exemplo da execução do comando whois contra um domínio para o levantamento de informações. 3 Dispositivo usado como primeiro nível de segurança de uma rede, geralmente localizado na saída da rede para o mundo externo. Maiores informações, veja [9]

7 /root]# whois snort.org [whois.crsnic.net] Domain Name: SNORT.ORG Registrar: NETWORK SOLUTIONS, INC. Whois Server: whois.networksolutions.com Referral URL: Name Server: NS1.SOURCEFIRE.COM Name Server: NS2.SOURCEFIRE.COM Updated Date: 10-feb-2002 >>> Last update of whois database: Tue, 23 Jul :49:00 EDT (...) Registrant: Roesch, Martin (SNORT4-DOM) 6550 Bonnie Brae Dr. Eldersburg, MD US Domain Name: SNORT.ORG Administrative Contact, Technical Contact: Roesch, Martin Roesch,Martin 6550 Bonnie Brae Dr. Eldersburg, MD US (...) Exemplo 5: Saída do comando whois sobre o domínio snort.org Fiz uso das informações obtidas contra dois alvos. Um deles foi contra um usuário do próprio departamento de informática de UFES, e outro contra uma empresa de um amigo, por quem fui devidamente autorizado. Contra o aluno da UFES, enviei um me passando pelo administrador da rede, requisitando que ele alterasse sua senha por motivos de segurança, e sugeri umas duas senhas, sendo que ele teria a liberdade de escolher qualquer outra. Dois dias depois de o ter sido enviado, a senha havia sido trocada para uma das sugeridas. Caso isto tivesse sido feito com más intenções, o

8 atacante, agora, teria acesso à rede. Contra um usuário da empresa de meu amigo, a mesma tática foi usada, mas não obtive sucesso. Ou porque a empresa possui uma política de segurança de troca de senha bem definida (só podendo ser feita a requisição de forma escrita, ou mediante requisição verbal e em pessoa), ou porque o usuário alterou sua senha para outra diferente das sugeridas. Por motivos de privacidade, nomes foram omitidos e dados não serão exibidos. Além de ferramentas que foram analisadas, foram feitos estudos e tentativas usando ferramentas já prontas e implementações próprias baseadas em técnicas de ataque e como se processam contra sistemas. Os estudos e as tentativa foram sobre Estouro de Memória [7] (Buffer Overflow), Compartilhamento NetBIOS [7], Negação de Serviço [7] (DoS) e Negação de Serviço Distribuído [7] (DDoS). O Estouro de Memória consiste em tentar estourar a pilha de execução do sistema operacional substituindo o endereço de retorno do programa para uma área de memória controlada pelo atacante, onde possivelmente se encontra um código malicioso. Com isto ele pode executar qualquer tipo de código na máquina alvo e tomar posse dela. Quando um sistema operacional vai executar um programa, ele carrega na pilha de execução todo o programa incluindo as variáveis que tem seu tamanho definido em tempo de compilação (as que são alocadas em tempo de execução, ficam no heap). Quer dizer, tudo que estiver nesta pilha será executado. Sabendo disto, os atacantes tentam colocar algum código malicioso nesta pilha e depois transferir a execução do programa para o início do código que ele colocou. Além do programa, na pilha também são colocados o endereço de retorno para quando o programa terminar de executar. O atacante procura por vetores ou variáveis de comprimento longo para colocar seu código. Além de colocar o seu código malicioso, ele também tem que sobrescrever o endereço de retorno do programa para ser o endereço de onde está o seu código. No anexo 1 é mostrado o código fonte de um ataque de estouro de memória. O Compartilhamento NetBIOS é usado contra máquinas Windows, onde a porta 139 TCP e 135 UDP estão escutando 4. O atacante pode usar estas portas para levantar informações sobre os usuário da máquina, quais são seus compartilhamentos, e inclusive tentar se conectar a um compartilhamento. Fiz uso da ferramenta Legion na tentativa de montar algum diretório que fosse compartilhado nas máquinas alvo, mas todas estavam protegidas contra este tipo de compartilhamento. Para conseguir montar o compartilhamento era necessário ter um nome de usuário e senha do sistema alvo. O DoS e DDoS, são similares. O primeiro é o Negação de Serviço (Denial of Service) e o segundo é o Negação de Serviço Distribuído (Distributed Denial of Service). No primeiro um ataque de negação de serviço é disparado contra uma máquina tentando fazer com que o alvo pare de responder a requisições, por exemplo, um servidor de página de web para de responder às requisições de páginas feitas por usuários. Para isto é usada somente uma máquina. Com o tempo foi criado o DDoS que faz uso de um conjunto de máquinas usadas de forma síncrona para disparar um ataque contra um alvo específico, fazendo com que este se torne indisponível. Para que este ataque tenha sucesso, alguns fatores devem ser levados em consideração, sendo eles: a razão entre a banda passante do atacante com a do alvo, a configuração da máquina alvo e dos dispositivos de segurança, como o firewall, entre outros. 4 Denominação dada a um serviço que responde por requisições numa determinada porta.

9 Disparei alguns ataques de negação de serviço contra duas máquinas do laboratório em oportunidades diferentes. Contra nenhuma das duas obtive sucesso, pois a largura de banda usada pela máquina do atacante é a mesma da máquina alvo. Usei de comandos ping para fazer isto disparando quantidades muito grandes de pacotes contra o alvo. Na busca de vulnerabilidades contra alguns serviços obtidos com o nmap, encontrei diversos sites que possuem bases de dados de vulnerabilidades cadastradas. Como estava a procura de uma determinada vulnerabilidade, procurei nestes sites e obtive de cada um uma descrição diferente (num formato específico do site), mas todos continham as mesmas informações. Com base nisto, pude constatar que todos diziam a mesma coisa, usando de uma forma não estruturada para isto. Ã partir de alguns exemplos, pude constatar que é possível estruturar esta informação e fazer uso em um sistema computacional. Esta informação estruturada será usada como a base de conhecimento do Projeto SEGURA, que é uma proposta de avançada de arquitetura de segurança de reconhecimento de reconfiguração inteligente de rede de computadores, com o intuito de combater possíveis invasões e ataques à redes. Este trabalho esta sendo atualmente desenvolvido como Projeto de Iniciação Científica de de Graduação de dois alunos do Departamento de Informática e como Projeto final de Graduação de outros quatro.

10 3 - RESULTADOS Os estudos das ferramentas, técnicas e a busca de especificações sobre os ataques, levou a criação de uma base de conhecimento sobre ataques, quais são as conseqüências, e formas de se defender. Características foram levantadas, e delas surgiu uma modelagem de conhecimento que possibilitou a criação de um base de conhecimento para ser usada pelo sistema que está sendo implementado. Para a criação desta base foi usada a linguagem XML, pois é muito flexível e bem difundida pela Internet e esta sendo usada hoje como protocolo de comunicação e troca de informações estruturadas. A seguinte modelagem foi obtida. <database> <class_ataque> <id_class_ataque></id_class_ataque> <nome></nome> <tipo></tipo> (remoto local ambos) <assinatura></assinatura> * </class_ataque> Figura 1: Modelagem de um ataque genérico A figura 1 mostra como um ataque genérico pode ser classificado. Para que um ataque se processe com sucesso, o serviço e o sistema operacional que estão rodando na máquina além da própria máquina são importantes. Um ataque numa máquina Pentinu com sistema operacional Linux rodando o um servidor de FTP, não é o mesmo que para um Pentiun com o sistema operacional Windows 2000 Servidor rodando o outro servidor de FTP. A modelagem apresentada se abstrai deste tipo de dependência gerando uma classificação o mais genérica possível. Para classificar o ataque, lhe damos um nome, que é mesmo com o qual ele é conhecido na rede (Estouro de memória, Negação de Serviço, etc), se o ataque se processa de forma remota (o atacante não tem acesso físico à máquina que está sendo atacada), local (o atacante está sentado de frente para a máquina a ser atacada), ou ambas. E o mais importante para identificar um ataque, é que tipo de assinatura este usa para atacar o sistema. A assinatura é caracterizada por ser única de cada ataque (isto não impede que um ataque possua várias). <class_servico> <id_class_servico></id_class_servico> <nome></nome> <porta></porta> (somente valor porta valido) <protocolo></protocolo>

11 <nome_sw></nome_sw> <versao_sw></versao_sw> * </class_servico> Figura 2: Classificação dos serviços Um máquina pode possuir um mais serviços rodando, dependendo de qual a sua função. Os serviços são, geralmente, a porta de entrada visada por atacantes para invadir um sistema. Os serviços podem ser caracterizados de forma única pelos seguintes atributos: (1) nome do serviço, (2) porta, onde está escutando e (3) protocolo usado para a comunicação. Como por traz de todo o serviço existem um programa, este também é informado, juntamente com as versões existentes. <class_so> <id_class_so></id_class_so> <nome></nome> <versao></versao> * <patch></patch> * </class_so> Figura 3: Classificação dos sistemas operacionais A figura 3 mostra uma classificação para os sistemas operacionais, que são conhecidos pelo nome e versão de forma única. Além disto, os patch de correção que foram instalados influenciam na vulnerabilidade dos mesmos. <defesa> <id_defesa></id_desfesa> <acao></acao> <descricao></descricao> </defesa> Figura 4: Ações pré definidas de defesas. Foram definidas algumas técnicas de defesa como forma de combater um possível ataque. Estas técnicas estão representadas pelas ação que são: desligar, inserir, enviar, trocar. Cada uma destas ações, combinadas com a descrição, identificam as possíveis ações que o sistema irá tomar no caso de um ataque. <impacto_sucesso>

12 <id_sucesso></id_sucesso> <desc></desc> <peso></peso> </impacto_sucesso> Figura 5: Conseqüências no caso de sucesso por parte do atacante. Todo o ataque tem um objetivo, e quando este é alcançado, pode trazer conseqüências, desde nenhuma para o usuário, até graves, dependendo do que o atacante fez ou queria do sistema. Para cada uma é atribuída um peso, que será para justificar o uso de uma determinada técnica de defesa ou não. <impacto_falha> <id_falha></id_falha> <desc></desc> <maquina></maquina> </impacto_falha> Figura 6: Conseqüências para uma determinada no caso de sucesso das ações defensivas. Quando o sistema consegue se defender de um ataque, tomando uma das ações propostas, ele pode trazer algum tipo de conseqüência para o usuário da máquina, que teve, por exemplo, suas configurações alteradas. A modelagem da figura 6 descreve que tipos de conseqüências seriam estas. <site_referencia> <id_site_referencia></id_site_referencia> <nome></nome> <url></url> </site_referencia> Figura 7: Referência de onde as informações foram obtidas. A modelagem da figura 7 não tem influência alguma para a detecção de um ataque. Sua função é mais para o administrador, caso este queira obter informações específicas sobre o ataque que não foram modeladas na base. Quase todos os ataques da base possuem um fonte de referência. <ataque> <id_ataque></id_ataque> <id_class_ataque></id_class_ataque> <id_class_servico><id_class_servico>

13 <id_class_so></id_class_so> <id_impacto_suscesso>1<id_impacto_sucesso> <id_impacto_falha>1</id_impacto_falha> <id_defesa></id_defesa> * <id_site_referencia></id_site_referencia> * <referencia></referencia> * </ataque> </database> Figura 8: Modelagem unindo todas as informações para caracterizar um determinado ataque. A modelagem da figura 8 é a caracterização de um ataque específico, visto a dependência que a modelagem possui com o sistema operacional e o serviço. Além destas informações, o modelo possui referências para possíveis técnicas de defesa, e para as conseqüências em caso de sucesso do ataque e sucesso da defesa. Como a título de ilustração, um a estruturação de uma vulnerabilidade obtida da Internet será estruturada usando-se a modelagem acima [Ver Anexo 2].

14 4 - DISCUSSÃO/CONCLUSÕES Realizar um ataque a um computador ou a uma rede de computadores não é algo trivial. É um trabalho que demanda muito tempo e conhecimentos técnicos de linguagem de programação, sistemas operacionais, tráfego de rede, conhecimento de arquiteturas de computadores, entre outros. Além disto, uma rede / máquina bem cuidada é quase impossível de ser comprometida, pois deixa aos atacantes muito pouco tempo para elaborar um ataque contra a máquina antes que uma atualização de versão esteja disponível e instalada. Com o estudo foi visto que a maior parte dos ataques que se processam pela Internet e são feitos por script kiddies. Estes são pessoas que tem pouco ou quase nenhum conhecimento sobre informática ou computação no geral, e que se utilizam de ferramentas prontas e automáticas, obtidas na Internet, para a realização do ataque. Muitas vezes não tem nem o conhecimento básico do que está acontecendo, e nem querem, já que o que interessa é obter o controle da máquina/rede. As tentativas de se obter o controle de uma máquina foram feitas contra as máquinas do laboratório onde realizei as análises e estudos, isto porque, para a realização de ataques fora do laboratório, seria necessário a obtenção de autorização por parte do alvo, para que a pesquisa seja feita de uma maneira formal. Todas as máquinas usadas possuem sistema operacional Linux atualizado, bem configurados e monitorados, o que impossibilita a tomada de controle sem deixar pistas. O trabalho foi um sucesso, pois foi possível definir uma modelagem sobre ataques que está sendo usado no sistema em desenvolvimento no âmbito do projeto SEGURA.

15 5 - BIBLIOGRAFIA [1] Network Explotation Tool and Security Scanner, The; 22/07/2002 [2] Security Auditor s Reasearch Assitant; 22/07/2002 [3] Nessus Project; 22/07/2002 [4] Security Administrator s Integrated Network Tool; 22/07/2002 [5] Open Source Network Intrusion Detection System, The; 22/07/2002 [6] Hping; 22/07/2002 [7] Scambray, J., McClure, S., Kurts, G. Hakkers Expostos Segunda Edição: Segredos e Soluções para a Segurança de Redes. Makron Books, 2001 [8] Parihar, M., et al.; TCP/IP: A Bíblia. Camous, 2002 [9] Strebe, M., Perkins, C., Firewalls. Makron Books, 2001 [10] Liu, C., Albitz, P., DNS e BIND. Campus, 2001

16 Anexo 1 Código fonte exemplo utilizado num ataque de exploração de estouro de memória main(int argc, char **argv) { char *somevar; char *important; char *temp; somevar=(char *)malloc(sizeof(char)*4); important=(char *)malloc(sizeof(char)*14); strcpy(important, "command"); stcrpy(str, argv[1]); printf("%p\n%p\n", somevar, important); printf("começo da memória:\n"); temp = somevar; /* temp é o primeiro endereço de memória*/ while(temp < important + 14) { } printf("%p: %c (0x%x)\n", temp, *temp, *(unsigned int*)temp); temp++; exit(0); } /* (...) código omitido*/ Resultado da execução do programa sobre o serviço: Começo da memória: 0x : s (0x616c62) 0x : e (0x616c) 0x : n (0x61) <---- cada linha representa um endereço de memo. 0x : d (0x0) 0x : (0x0) 0x : (0x0) 0x : (0x0) 0x : (0x0) 0x : (0x0) 0x : (0x ) 0x804970a: (0x190000)

17 0x804970b: (0x1900) 0x804970c: (0x19) 0x804970d: (0x ) 0x804970e: (0x6f630000) 0x804970f: (0x6d6f6300) 0x : c (0x6d6d6f63) 0x : o (0x616d6d6f) 0x : m (0x6e616d6d) 0x : m (0x646e616d) 0x : a (0x646e61) 0x : n (0x646e) 0x : d (0x64) 0x : (0x0) 0x : (0x0) 0x : (0x0) 0x804971a: (0x0) 0x804971b: (0x0) 0x804971c: (0x0) 0x804971d: (0x0)

18 Anexo 2 Exemplo da estruturação de uma vulnerabilidade usando a modelagem proposta <database> <class_ataque> <id_class_ataque>1</id_class_ataque> <nome>buffer Overflow WU-FTP</nome> <tipo>remota</tipo> <assinatura>\x090\x090\x090\x090</assinatura> </class_ataque> <class_servico> <id_class_servico>1</id_class_servico> <nome>ftp</nome> <porta>23</porta> <protocolo>tcp</protocolo> <nome_sw>wu-ftp</nome_sw> <versao_sw></versao_sw> </class_servico> <class_so> <id_class_so>1</id_class_so> <nome>all</nome> <versao> </versao> <patch></patch> </class_so> <defesa> <id_defesa>1</id_desfesa> <acao>desligar</acao> <descricao>servico</descricao> <id_defesa>2</id_desfesa>

19 <acao>fechar</acao> <descricao>porta 23</descricao> <id_defesa>3</id_desfesa> <acao>filtrar</acao> <descricao>pacote firewall</descricao> </defesa> <impacto_sucesso> <id_sucesso>1</id_sucesso> <desc>acesso root</desc> <peso>10</peso> </impacto_sucesso> <impacto_falha> <id_falha>1</id_falha> <desc>interrupção serviço</desc> <maquina></maquina> <id_falha>2</id_falha> <desc>fim de conexão remota</desc> <maquina></maquina> </impacto_falha> <site_referencia> <id_site_referencia>1</id_site_referencia> <nome>cert</nome> <url> </site_referencia> <ataque> <id_ataque>1</id_ataque> <id_class_ataque>1</id_class_ataque> <id_class_servico>1<id_class_servico> <id_class_so>1</id_class_so>

20 <id_impacto_suscesso>1<id_impacto_sucesso> <id_impacto_falha>1</id_impacto_falha> <id_defesa> <opcao>1</opcao> <opcao>2</opcao> <opcao>3</opcao> <id_site_referencia>1</id_site_referencia> <referencia> <ref> </ref> </referencia> </ataque> </database>