Analise de Vulnerabilidade

83,925 views

Published on

Aula de Análise de Vulnerabilidades na Pós da Estácio

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
83,925
On SlideShare
0
From Embeds
0
Number of Embeds
1,147
Actions
Shares
0
Downloads
252
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Analise de Vulnerabilidade

  1. 1. Prof: Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos Pós-Graduação - lato Sensu BEM-VINDO À DISCIPLINA DE: Análise de Vulnerabilidades
  2. 2. Análise de Vulnerabilidades e Metodologia de Ataque Pós-Graduação - lato Sensu
  3. 3. • Fraquezas que podem ser exploradas Pós-Graduação - lato Sensu – Hardware/firmware – Software – Física – Configuração – Política Vulnerabilidades
  4. 4. Definições Pós-Graduação - lato Sensu • Ataques de Segurança • Tentativa de Intrusão • Atividade Suspeita • Anomalia de Protocolo
  5. 5. Ataques Contra a Segurança Pós-Graduação - lato Sensu
  6. 6. TENTATIVA DE INTRUSÃO Tentativa de exploração de vulnerabilidade conhecida Sendmail address parcing buffer overflow MicrosoftWebDAV buffer overflow Raramente resultam em alarme falso (falso positivo) Pós-Graduação - lato Sensu
  7. 7. ATIVIDADE SUSPEITA Pós-Graduação - lato Sensu Atividades que precedem um ataque Mapeamento da rede Mapeamento de portas Pode ser um aviso de que o ataque é iminente Dificil de se definir
  8. 8. ANOMALIA DE PROTOCOLO Tráfego não conforme com os padrões das RFC Pós-Graduação - lato Sensu Exemplo TCPACK Scans Flags TCP setadas de forma estranha Pode ser um aviso de um exploit desconhecido
  9. 9. Pós-Graduação - lato Sensu Propósito Propósito é entender a metodologia de ataque e não formar atacantes ..... Poderemos implementar estratégias de defesa efetivas Como são realizados os ataques?
  10. 10. Metodologia de Ensino Por que escolhemos essas ferramentas e tecnologias? Porque são de uso corrente Provêem fundamentação sobre os princípios utilizados pelos atacantes Ilustram o que precisamos para uma defesa efetiva Algumas delas são bastante interessantes e Pós-Graduação - lato Sensu “sujas” NUNCA subestime o adversário
  11. 11. Metodologia de Ensino Tentativa – ataque ser independente de plataforma Ferramentas individuais podem rodar em Unix, Windows etc Enfoque em conceitos de ataque que podem funcionar em diversas plataformas (Novell, VAX, MVS etc) Serão incluídos links das ferramentas Utilize por sua conta e risco Podem causar danos Recomenda-se o uso em ambientes de teste e segregados O uso de algumas ferramentas pode ser ilegal (verifique com o setor jurídico) Só utilize as ferramentas com permissão formal Pós-Graduação - lato Sensu
  12. 12. Informações do Underground Existe muita informação sobre vulnerabilidades de segurança disponível publicamente Ferramentas de ataque cada vez mais amigáveis e fáceis de se distribuir Script kiddies abusam dessas ferramentas Ferramentas de qualidade e extremamente funcionais Atacante não precisa recriar a roda Existe debate a respeito – vulnerabilidades de segurança devem ser publicadas ou devem ser escondidas até que a efetiva defesa esteja disponível??? Pós-Graduação - lato Sensu
  13. 13. Informações do Underground Atacantes tem excelente rede de comunicações Chat, IRC, web, twitter, grupos informais e até conferências oficiais (DEFCON) Comunidade de segurança precisa aprender a compartilhar informações Aumento nas atividades de hacktivismo Interesses políticos Forma mais normal – alteração de sites Web Pós-Graduação - lato Sensu
  14. 14. Informações do Underground • Atacantes estão aprendendo a ganhar dinheiro com código Pós-Graduação - lato Sensu malicioso Verifique – aonde tem mais dinheiro, maior é a atividade dos atacantes • Como ganhar dinheiro com código malicioso? Vendendo código para backdoor / bots http://rootkit.host.sk/antidetection.php para uma lista de preços Venda de keystroke loggers para roubo de informações financeiras Páginas Web dinâmicas – simulam sites de banco Phishing Extorsão Aluguel de bots (robôs)
  15. 15. Informações do Underground • Atacantes alteram site web/ftp e incluem backdoor • Todos que fazem download das ferramentas são afetados Nov 2002: tcpdump.org – alteração na libpcap por backdoor – funcionalidades do tcpdump não foram alteradas Março 2003 – gnu.org hackeado e nenhum software Pós-Graduação - lato Sensu alterado (acredita-se) Novembro de 2003 – servidores de desenvolvimento Debian comprometidos Janeiro 2005: jabber.org comprometido – arquivos de vários projetos alterados • Grandes nomes já passaram por isso - ..... Windows update .......
  16. 16. Pós-Graduação - lato Sensu Introdução • Atacantes alteram site web e incluem backdoor • Jan 2013: Site do Banco do Brasil é invadido e tirado do ar por grupos hackers. Existe suspeita de inclusão de arquivos maliciosos no mesmo.
  17. 17. Pós-Graduação - lato Sensu Introdução • Atacantes alteram site web e incluem backdoor • Jun 2013: página oficial do governo brasileiro (www.brasil.gov.br) na Internet, teve seu conteúdo alterado indevidamente.
  18. 18. Pós-Graduação - lato Sensu Introdução • Atacantes alteram site web e incluem backdoor • Ago 2013: Site do PMD é invadido por hackers pela segunda semana e cobram de Sergio Cabral explicações sobre paradeiro de amarildo.
  19. 19. Pós-Graduação - lato Sensu Introdução • Atacantes alteram site web e incluem backdoor • Set 2013: Um dos Sites da Apple destinado a desenvolvedores foi invadido por um hacker que pode ter roubado informações pessoais desses profissionais.
  20. 20. Informações do Underground - defesas • O que fazer para não baixar backdoor? Checar hashes .... em vários mirrors Pós-Graduação - lato Sensu md5 e sha-1, pelo menos md5sum e sha1sum são nativos do linux md5summer – disponível para win em md5summer.org Não colocar software novo em produção - teste primeiro Período de testes - tempo valioso para verificar em sites especializados se há algum problema no download
  21. 21. Informações do Underground – Golden Age • Casamento de ferramentas e virus/worms resulta em poderosas técnicas de hacking Worms cada vez mais sendo utilizados para carregar backdoors, password crackers e scanners • Época de ouro para hacking e cracking – conseqüentemente é tempo de Segurança da Informação Pós-Graduação - lato Sensu
  22. 22. Metodologia um Ataque Pós-Graduação - lato Sensu Fases Reconhecimento Scanning Obtenção de Acesso Negação de Serviço Manutenção do Acesso Cobertura – limpeza de rastros
  23. 23. Pós-Graduação - lato Sensu Reconhecimento Ajuda o atacante a conhecer a vítima antes de desferir qualquer pacote ofensivo Internet é um tesouro de informações de interesse Essas informações são públicas – não há crime Antes de um assalto a banco é boa prática conhecer a rotina de funcionários, horários de abertura e fechamento do cofre, localização de câmeras etc
  24. 24. Pós-Graduação - lato Sensu Reconhecimento Baixa Tecnologia Pesquisa na Web Base de Dados Whois DNS Principais Ferramentas de Reconhecimento
  25. 25. Pós-Graduação - lato Sensu Reconhecimento Baixa Tecnologia Engenharia Social Acesso Físico Dumpster Diving
  26. 26. Pós-Graduação - lato Sensu Reconhecimento Baixa Tecnologia Engenharia Social Ataque a boa fé Telefone para helpdesk como funcionário solicitando abertura de conta, e-mail, ramal VoIP Simular gerente com problemas de acesso Simular admin pedindo que usuário troque senha Solicitação de acesso remoto etc.... Kevin Mitnick's. The Art of Deception
  27. 27. Pós-Graduação - lato Sensu Reconhecimento Baixa Tecnologia Acesso Físico Intruso quebra segurança física Não precisa invadir sistema para obter informações Pode plantar backdoors em sistemas Atacante pode ter acesso a rede local, que não está protegida por firewall Roubo de pen drives, CDs, HDs, DVDs e documentos Pode utilizar técnicas de engenharia social em conjunto
  28. 28. Pós-Graduação - lato Sensu Reconhecimento Dumpster Diving Coleta de Lixo Papel CD, DVD, HD etc Defesas Classificação de material controlado Trituradores de papel, DVDs etc Procedimento de descarte de mídias e computadores ((((Ex...caiu na net!!!!!)))) Conscientização
  29. 29. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web Pesquisa no site da instituição Posições oficiais sobre determinados assuntos, como por exemplo software livre e Tecnologias utilizadas Cultura e linguagem corporativa - dicionários Nomes de diretores e empregados Recentes aquisições e fusões Telefones de contato (war dialing e engenharia social) e e-mails Pesquisa em sites relacionados Parceiros de negócios Provedores de Internet Fornecedores
  30. 30. Reconhecimento - Defesas Limitar e controlar as informações no site da instituição Verificar atividade – web spider/crawler logs apresentam acesso ao site inteiro, página por página em curto período (5 min) Pode ser somente um robo do google ou outra ferramenta de busca Alguém pode estar fazendo download do site inteiro Pós-Graduação - lato Sensu
  31. 31. Pós-Graduação - lato Sensu Reconhecimento Dados públicos Sites de emprego Vagas de emprego anunciadas. Ex. precisa-se de empregado com experiência em Web Server IIS 5 Sites de jornais – noticias sobre a instituição Sites de relacionamento – comunidades relacionadas
  32. 32. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web CPF, nomes de funcionários - extorsão
  33. 33. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web Endereço, situação fiscal etc.. É só colocar o CPF que se verifica o nome completo.....
  34. 34. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web - GOOGLE O google possui inúmeras informações que auxiliam o atacante Pergunte ao google que ele responde Grande fonte de recursos “Ihackstuff” – http://johnny.ihackstuff.com – site com base de dados de google hacking (GHDB) Johnny escreveu “google hacking for penetration testers”
  35. 35. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web – GOOGLE Robôs do google visitam os web sites constantemente – é só verificar os logs Servidores VNC, servidores Web com backdoors, servidores com Páginas default Ex. site:bigbank.com filetype:xls cpf site:banco.com filetype:asp site:banco.com .asp site:banco.com filetype:cgi site:banco.com filetype:php allinurl:exchange/logon.asp“
  36. 36. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web – GOOGLE Diretiva “site” – procura somente no domínio Diretiva “link” – procura os sites que tem link para determinado site Diretiva “intitle” – mostra páginas que o título bate com critério de busca Diretiva “inurl” – mostra páginas em que a URL bate com o critério de busca Outros exemplos “social security number” – nome exato site:.edu SSN xls –pdf – procurar em sites .edu, planilhas excel que contenham SSN e não incluir arquivos pdf kickstart file automatically generated by anaconda rootpw filetype:cfg etc.....
  37. 37. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web – GOOGLE “cache:www.site.com.br” Mostra uma versão cacheada da página Código html é carregado do google Robôs do google só recebem 101k do código html e colocam em cache As imagens vem do site original Links também vem do site original Da para ver páginas recentemente removidas
  38. 38. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web – GOOGLE como proxy Navegar no cache não é uma boa alternativa de navegação anonima Google pode ser usado como serviço de tradução, trabalhando como proxy limitado Proxy anônimo mais profissional www.all-nettools.com/toolbox Possui outras funcionalidades
  39. 39. Pós-Graduação - lato Sensu Reconhecimento Pesquisa na Web – “Wayback Machine” http://www.archive.org Mostra como o site era no passado Permite que se navegue interativamente no cache As imagens, se ainda estiverem no site original, serão carregadas deste. Caso contrário virão do cache
  40. 40. Pós-Graduação - lato Sensu Reconhecimento • Pesquisa na Web – GOOGLE Pode-se usar o google para pesquisas associadas a falhas comuns em servidores web ou de desenvolvimento Página web default (apache, IIS, ColdFusion, etc) Alguns worms usam essas técnicas para localizar sistemas vulneráveis Worm saint de Dez de 2004 procurava por vulnerabilidades em scripts phpBB • Lista mantida em GHDB – johnny.ihackestuff.com
  41. 41. Reconhecimento - Whois • Quando se registra um domínio algumas informações devem ser providas Endereços Tel de contato Servidores de domínio autoritativos • Essas informações podem ser utilizadas em um ataque Engenharia social – nomes de contatos War dialing – números de telefone War driving – endereço Scanning – endereços IP Pós-Graduação - lato Sensu
  42. 42. Pesquisa Whois por blocos IP • Atacantes buscam blocos de IP designados a alvos em bancos de dados whois geográficos • http://www.countryipblocks.net/country-blocks/select-formats/ ARIN (american registry for internet numbers) Pós-Graduação - lato Sensu http://www.arin.net RIPE NCC (reseaux IP europeens network coordination centre) http://www.ripe.net LACNIC (latin american and caribbean NIC) http://lacnic.net DoDNIC (department of defense NIC) http://www.nic.mil/dodnic/ • Outros sites uteis para checar informações Whois http://www.allwhois.com e http://www.uwhois.com
  43. 43. Pós-Graduação - lato Sensu Base Whois • Bancos de dados Whois estão distribuídos pela Internet e contém inúmeras informações Muitos podem ser acessados via web Alternativamente podem ser utilizados comandos em implementações Unix • 1º procure o alvo no InterNIC (international network information) para determinar o registrar http://www.internic.net/whois.html http://registro.br
  44. 44. Pós-Graduação - lato Sensu Pesquisa Whois • Consulta a site - http://registro.br/cgi-bin/whois/#lresp
  45. 45. Pós-Graduação - lato Sensu Pesquisa Whois • Whois checkpoint.com • Server Name: CHECKPOINT.COM • IP Address: 216.200.241.66 • Registrar: NETWORK SOLUTIONS, LLC. • Whois Server: whois.networksolutions.com • Referral URL: http://www.networksolutions.com • Whois 216.200.241.66 • CHECKPOINT SOFTWARE MFN-B655-216-200-241-64-28 (NET-216-200-241-64-1) 216.200.241.64 - 216.200.241.79 • Abovenet Communications, Inc ABOVENET-5 (NET-216- 200-0-0-1) 216.200.0.0 - 216.200.255.255 • American Registry for Internet Numbers NET216 (NET- 216-0-0-0-0) 216.0.0.0 - 216.255.255.255
  46. 46. Defesa contra Reconhecimento Whois Pós-Graduação - lato Sensu • Simplesmente conviva com isso .... A Internet é assim • Use o nome da organização, telefone e e-mail alias – admin@organizacao.com.br É importante que esses dados estejam corretos – caso contrário, em caso de problemas, vc não será encontrado • Pode-se utilizar registros anônimos www.domainsbyproxy.com Dificilmente vc será encontrado caso ocorra algum problema – Ex. seu site atacando outros
  47. 47. Pós-Graduação - lato Sensu Reconhecimento Base de Dados Whois Informações de domínio, IP, contatos etc. Autoridades de registro www.internic.net/alpha.html,
  48. 48. Pós-Graduação - lato Sensu Reconhecimento DNS Servidores de nomes possuem informações úteis sobre alvos O objetivo dos atacantes é descobrir o maior número de IP associados ao domínio vítima Informações de DNS são públicas Comando nslookup pode ser usado para interagir com o DNS Server Incluído no Windows NT/2000/XP Algumas implementações Unix não possuem ou não tem todas as funcionalidades, como por exemplo transferência de zonas Outra ferramenta útil - dig
  49. 49. Pós-Graduação - lato Sensu Reconhecimento DNS Consulta interativa root@bt:~# nslookup www.checkpoint.com Server: 172.16.49.2 Address: 172.16.49.2#53 Non-authoritative answer: Name: www.checkpoint.com Address: 216.200.241.66
  50. 50. Pós-Graduação - lato Sensu Reconhecimento DNS Consulta interativa root@bt:~# nslookup set type=mx checkpoint.com Server: 172.16.49.2 Address: 172.16.49.2#53 Non-authoritative answer: checkpoint.com mail exchanger = 12 cale.checkpoint.com. checkpoint.com mail exchanger = 15 usmail-as.zonelabs.com.
  51. 51. Pós-Graduação - lato Sensu Reconhecimento DNS Consulta interativa set type=ns checkpoint.com Server: 172.16.49.2 Address: 172.16.49.2#53 Non-authoritative answer: checkpoint.com nameserver = ns2.checkpoint.com. checkpoint.com nameserver = ns6.checkpoint.com. checkpoint.com nameserver = ns8.checkpoint.com. checkpoint.com nameserver = ns1.checkpoint.com.
  52. 52. Pós-Graduação - lato Sensu Reconhecimento DNS Consulta interativa root@bt:~# nslookup ns2.checkpoint.com Server: 172.16.49.2 Address: 172.16.49.2#53 Non-authoritative answer: Name: ns2.checkpoint.com Address: 208.185.174.141
  53. 53. Pós-Graduação - lato Sensu Reconhecimento DNS Transferência de zona – atacante pode determinar que máquinas são acessíveis pela Internet Uso do nslookup c: nslookup server [IP_do_servidor_autoritativo] set type=any ls –d [dominio_alvo] Lembre-se de utilizar esses comandos nos servidores primários e secundários
  54. 54. Pós-Graduação - lato Sensu Reconhecimento DNS Transferência de zona – em ambientes Unix o nslookup pode ser utilizado em algumas versões Algumas versões não suportam o nslookup e outras não suportam todas as funcionalidades Nesse caso deve-se utilizar o dig $ dig @[dns_server_IP] [domínio_alvo] –t AXFR
  55. 55. Pós-Graduação - lato Sensu Reconhecimento DNS Transferência de zona root@bt:~# host -t ns offensive-security.com offensive-security.com name server ns2.no-ip.com. offensive-security.com name server ns4.no-ip.com. offensive-security.com name server ns3.no-ip.com. offensive-security.com name server ns1.no-ip.com. offensive-security.com name server ns5.no-ip.com. root@bt:~# host -l offensive-security.com ns4.no-ip.com ; Transfer failed. Using domain server: Name: ns4.no-ip.com Address: 75.102.60.46#53 /pentest/enumeration/dnsenum# ./dnsenum.pl dominio
  56. 56. Reconhecimento DNS - Defesas Não permitir transferência de zona com qualquer sistema Servidor primário só aceita transferência para o secundário e terciário etc Secundário e terciário não transferem para nenhum sistema Pós-Graduação - lato Sensu Utilize arquitetura dividida Servidores externos e internos Assegure-se que seus servidores DNS externos passaram por Hardening Verifique nos logs DNS tentativas de transferência de zona - tcp porta 53
  57. 57. Pós-Graduação - lato Sensu Reconhecimento Ferramenta de Reconhecimento Freeware Sam Spade de Steve Atkins - www.samspade.org Ping Pesquisa Whois Nslookup Zone transfer Traceroute Finger SMTP VRFY Web Browser
  58. 58. Pós-Graduação - lato Sensu Reconhecimento • Ferramenta de Reconhecimento SamSpade – caracteristicas adicionais crawl website – faz download do site e cria espelho local Faz o mesmo que wget –r • Scanning pode ser feito por aplicação cliente ou via web – se web, toda atividade será lançada pelo site
  59. 59. Pós-Graduação - lato Sensu Reconhecimento • Diversos sites oferecem pesquisa e ataque a outros sites • Para a lista completa – www.attackportal.net • Links para scanning Web (traceroute, ping, port scan, smurf, testes DoS etc.. www.samspade.org www.blackcode.com/net-tools/ http://www.tracert.com/trace_exe.html www.network-tools.com www.cotse.com privacy.net/analyze/ www.securityspace.com
  60. 60. Scanning – War Driving É o processo de procurar redes wireless desprotegidas Cada vez mais os próprios usuários criam suas redes sem fio sem autorização institucional É necessário um laptop e um cartão wireless Informações adicionais em www.wardriving.com Pós-Graduação - lato Sensu
  61. 61. Scanning – War Driving Muitos AP wireless sem a mínima preocupação de segurança Pós-Graduação - lato Sensu Default SSID Por default muitos AP respondem a request de SSID Mesmo os AP configurados para não responder, o SSID será enviado em texto claro para usuários autenticados Lembre-se – SSID não provê segurança Alguns protocolos de segurança wireless tem vulnerabilidades significativas (WEP e LEAP) Mesmo habilitando esses protocolos não é suficiente
  62. 62. Scanning – War Driving Pós-Graduação - lato Sensu Ferramenta Netstumber Desenvolvida por Marius Milner www.netstumber.com Free, mas sem código fonte Detecta rede 801.11a/b/g/n Win (95, 98, ME, 2000 e XP, vista e 7) e alguns mobiles – não funciona com NT Pode ser usada com GPS Alguns problemas com hardware Ver compatibilidade www.stumber.com/compat/ Muito barulhenta – funciona enviando beacon request Não detecta AP que não respondem a beacon (broadcast desabilitado) Mesmo assim AP pode ser detectado – é só usar outra ferramenta - Wellnreiter
  63. 63. Scanning – War Driving Pós-Graduação - lato Sensu Ferramenta Netstumber Busca de access points Scanning ativo – envio de probes (netstumbler)
  64. 64. Scanning – War Driving Pós-Graduação - lato Sensu Ferramenta Wellenreiter Desenvolvido por Max Moser, Michael Lauer, Steffen Kewitz e Martin J. Muench Excelente sniffer wireless – captura dados no formato tcpdump Diferente do netstumber pode funcionar em passivo – escuta equipamentos que não fazem broadcast de SSID Funciona em ambiente Linux www.wellenreiter.net e sourceforge.net/projects/ Analisa protocolo DHCP – consegue identificar o range de IP alocado a rede alvo
  65. 65. Scanning – War Driving Pós-Graduação - lato Sensu Ferramentas adicionais Sniffer tradicional pode ser utilizado Tcpdump, wireshark etc Sniffer para uso específico em redes wireless – melhor análise no frame de dados Kismet – para linux www.kismetwireless.net, descobre AP passivamente Airsnort – airsnort.sourceforge.net – utilizado para crack de WEP
  66. 66. Ataque a cliente wireless Pós-Graduação - lato Sensu Hotspotter – Ataque a clientes XP Desenvolvida por Max Moser Disponível em www.remote-exploit.com Funciona em Linux e monitora passivamente frames request probe de clientes XP Durante o boot, em power safe e em caso de perda de sinal XP envia frames listando suas redes preferidas Quando hotspotter vê isso, manda resposta dizendo que é o AP Em ambientes públicos........ Cliente se associa, hotspotter fica no controle Envia IP, faz scan, infecta a vítima com worm, MITM
  67. 67. War Driving – Defesas • Use SSID aleatório/discretos – evite SSID “banco_tal” • Use filtro de MAC Não escala bem e pode ocorrer spoof • Utilize protocolos de autenticação e criptografia fortes Pós-Graduação - lato Sensu 801.11i é mais seguro Use TKIP para troca de chaves AES para criptografia WPA • Utilize VPN
  68. 68. Scanning – War Dialers War Dialing – discam uma sequência de números telefônicos na tentativa de localizar modems Demon Dialers – discam para um número para conduzir ataques de força bruta em senhas Muitos modems estão desprotegidos, o que facilita a entrada de atacantes THC-Scan 2.0 – escrito por Van Hauser Disponível em http://www.thc.org/release.php Ferramenta é uma versão atualizada do “ToneLoc Pós-Graduação - lato Sensu
  69. 69. Pós-Graduação - lato Sensu Scanning War Dialing THC-Scan 2.0 Ferramentas automatizam a busca – atacante pode escanear até 1000 tel em uma noite Acesso interno a rede Como buscar telefones: google, site da instituição, Whois, engenharia social, Páginas Amarelas etc Verificar banners Quebrar senhas, se existirem Escanear a rede Escuta passiva
  70. 70. Pós-Graduação - lato Sensu Defesas - War Dialing Rígida política de uso de Modems na Instituição Ter inventário de todos os modems com respectivas necessidades Se modems são necessários deve-se fortalecer seus métodos de autenticação (token, cripto etc) Conduzir exercícios de war dialing na sua rede Lista de telefones da Instituição – verificar pela conta telefônica Ferramenta comercial de war dialing Sandstorm´s Phonesweep – www.phonesweep.com
  71. 71. Pós-Graduação - lato Sensu Scanning Mapeamento de Rede Atacantes podem fazer mapeamento Pela Internet Pela Rede sem fio identificada em War Driving Pela rede local via modem ou com acesso físico Nessa fase o atacante tenta conhecer a topologia da rede Arquitetura da rede – Firewall, DMZ, IPs, regras Serviços disponíveis – Http, Ftp, Smtp etc Sistemas Operacionais em uso
  72. 72. Pós-Graduação - lato Sensu Scanning Mapeamento de Rede Atacantes querem entender a topologia da rede alvo Conectividade com a Internet – DMZ, perímetro, serviços disponíveis Redes internas – acessiveis por modems ou wireless Disposição dos roteadores e hosts pode expor vulnerabilidades Cheops-ng – ferramenta para linux utilizada para mapeamento de rede, escrita por Brent Priddy cheops-ng.sourgeforge.net
  73. 73. Pós-Graduação - lato Sensu Scanning Cheops-ng – BT-Final Ferramenta de gerencia – GUI Barulhenta...não é utilizada por atacante tentando mapeamento stealthy Facilmente detectável por IDS Front-end para: Trace Ping O.S fingerprint
  74. 74. Pós-Graduação - lato Sensu Scanning Mapeamento de Rede ICMP echo request Pacotes TCP porta 80 Pacotes TCP ACK Pacotes UDP portas estranhas Traceroute Regras Fw.... etc
  75. 75. Pós-Graduação - lato Sensu Scanning Mapeamento de Rede Ferramenta Cheops-ng automatiza (linux) Faz fingerprint de S.O http://cheops-ng.sourceforge.net http://news.netcraft.com/
  76. 76. Pós-Graduação - lato Sensu Cheops-ng Defesas Desabilitar ICMP incoming Seus usuários não conseguirão pingar Isso é ruim??? Desabilitar mensagens outgoing ICMP TTL Exceded Seus usuários não conseguirão fazer trace Isso é ruim?? IDS tem assinaturas que procuram ping sweep e traceroute Podem acontecer falso positivos
  77. 77. Pós-Graduação - lato Sensu Ping Sweeping Muitos port scanners testam se um sistema está em uso antes de fazer scanner Fazem isso por meio de ping sweeping Enviam echo request para diversos IPs – se sistema responde está vivo. Caso contrário está desligado Alguns port scanners, por default, somente fazem scan em sistemas em que possam pingar Pode ser reconfigurado -P0 informa ao nmap para não pingar o alvo
  78. 78. Scanning – Port Scanning Pós-Graduação - lato Sensu • TCP e UDP possuem portas 65536 portas cada • Port Scanner envia pacotes para várias portas para determinar quais estão em escuta Encontra tcp 80 – web server Encontra tcp 23 – telnet server Encontra udp 53 – DNS server • Números de portas podem ser encontrados em: http://www.iana.org/assignments/port-numbers
  79. 79. Port Scanning com NMAP • Ferramenta muito utilizada com avançadas capacidades de scanning • Muito popular na comunidade de segurança • Desenvolvida por Fyodor • http://www.insecure.org/nmap • Nmapfe – versão GUI • Disponível para linux e Windows Pós-Graduação - lato Sensu
  80. 80. Pós-Graduação - lato Sensu Scanning Como determinar portas abertas Atacante pode identificar serviços rodando Serviços são normalmente associados a portas www.iana.org/assignments/port-numbers Ferramenta – nmap www.insecure.org/Nmap
  81. 81. Pós-Graduação - lato Sensu Scanning Como determinar portas abertas Tipos de scan TCP Connect – 3 way Completo (não é stealth) TCP Syn – envia Syn e aguarda Syn+Ack (mais silencioso) TCP Fin – envia Fin – RST indica porta fechada, sem resposta, a porta pode estar aberta TCP Xmas – todas a flags setadas - RST indica porta fechada, sem resposta, a porta pode estar aberta Ack scan Idle Scanning – faz scan com spoof de origem UDP scanning S.O fingerprint
  82. 82. Pós-Graduação - lato Sensu Scanning Como determinar portas abertas Tipos de scan TCP Connect – 3 way Completo (não é stealth) Aderente a RFC Fácil de detectar – cria log no sistema final
  83. 83. Pós-Graduação - lato Sensu Scanning Como determinar portas abertas Tipos de scan TCP Syn – envia Syn e aguarda Syn+Ack (mais silencioso, pois não completa 3 Way Envia Syn, recebe Syn+Ack e envia RST Stealth e mais rápido – não cria entrada no log Roteadores, firewalls e IDS detectam
  84. 84. Pós-Graduação - lato Sensu Scanning Como determinar portas abertas Tipos de scan TCP Ack Scan Indica se hosts estão vivos e filtros aplicados
  85. 85. Pós-Graduação - lato Sensu Scanning Como determinar portas abertas Idle Scan Determina portas abertas (spoof IP do atacante) Monitora ID do inocente – campo do header IP (frag) Inocente deve ser silencioso (idle) e ter ID incremental ou previsível (muitos Win) Scan – atacante envia Syn com IP origem de inocente – se porta aberta, inocente recebe Syn+Ack e envia RST (incrementa ID). Se porta fechada inocente recebe RST e não responde (não incrementa ID)
  86. 86. Pós-Graduação - lato Sensu Scanning Scanner de Vulnerabilidades O que o atacante sabe até agora? Lista de hosts ativos Topologia Lista de portas ativas Sistemas Operacionais Regras de filtragem
  87. 87. Pós-Graduação - lato Sensu Scanning Scanner de Vulnerabilidades Idéia – automatizar o processo de conexão ao alvo e verificar se existem vulnerabilidades Ferramentas tem inventário de vulnerabilidades de sistemas Erros comuns de configuração Configurações default Vulnerabilidades bem conhecidas Ex. scanner verifica se sistema está rodando versão vulnerável de SSH Lista de serviços e versões rodando nos hosts Exemplos ISS's Internet Scanner (www.iss.net) E-eye's Retina Scanner (www.eeye.com) Nessus (http://www.nessus.org)
  88. 88. Pós-Graduação - lato Sensu Scanning Scanner de Vulnerabilidades Nessus Verifica Backdoors CGIs Cisco Contas Unix default Windows DoS Problemas SMTP SNMP etc.....
  89. 89. Obtenção de Acesso pela Rede Pós-Graduação - lato Sensu Sniffers O que é? Protocolos Vulneráveis MAC flooding ARP Poisoning Captura de Sessão Contra-medidas Spoofing e defesas Ataques a Servidores DNS Ataques HTTP
  90. 90. Pós-Graduação - lato Sensu Sniffer Sniffing
  91. 91. Pós-Graduação - lato Sensu Sniffers • São capazes de capturar informações – Ethernet permite uso de sniffers – captura de senhas e informações – Ethernet – utiliza broadcast no segmento • Switch limita essa característica
  92. 92. Pós-Graduação - lato Sensu Sniffers • Capturam pacotes da rede – Captura em tempo real ou salvando no disco para posterior análise – Essenciais para fins de teste e depuração – Interceptação passiva: difícil de detectar • Analisadores de Protocolo – Decodificam os dados binários para um formato mais legível para o ser humano • Impacto de segurança – Muitos protocolos transmitem dados sensíveis às claras, sem nenhum tipo de proteção especial
  93. 93. Pós-Graduação - lato Sensu Sniffers • Dependência da Ligação Física – Hubs: Todos os pacotes retransmitidos pelo hub em todas as portas - permite a captura dos dados no mesmo “segmento” – Switches: somente broadcasts e pacotes para o destino • Modo promíscuo – placa de rede processa os pacotes, mesmo os que não sejam destinados para o seu endereço MAC – Maior quantidade de pacotes a analisar - impacta a performance – Os SOs tipicamente requerem privilégios de administrador para habilitar esse modo
  94. 94. Pós-Graduação - lato Sensu Sniffers • Tcpdump e windump – freeware • Snoop – solaris • Wireshark – free, open • Snort – free, open e comercial • Sniffit – free e open • dsniff - free e open (suite de ferramentas)
  95. 95. Pós-Graduação - lato Sensu Sniffers • Wireshark Linux ou Win Formato libpcap Entende mais de 500 protocolos GUI Cuidado com bugs
  96. 96. Pós-Graduação - lato Sensu Sniffers • Dsniff – Suite de ferramentas que facilitam o monitoramento – Escrita por Dug Song – Funciona em redes sem fio e cabeadas – Linux e alguns componentes foram portados para Win32 • Dsniff, mailsnarf, urlsnarf e webspy – Componentes • Dsniff, arpspoof, macoff, tcpkill, tcpnice, mailsnarf, urlsnarf, webspy, DNSSpoof, Webmitm, SSHmitm
  97. 97. Sniffing: contra-medidas Pós-Graduação - lato Sensu • Usar protocolos “fortes”: – Criptografia: previne que os dados capturados sejam analisados (“previne interceptação”) – Verificação de integridade: previne ataques de inserção – Geralmente não é uma opção disponível • Controlar o acesso ao meio físico – Rigor na ativação de pontos de rede – Controle rigoroso de acesso físico ao cabeamento – Evitar usuários com poderes de admin nos PCs • Segurança dos Roteadores – Hosts usados como roteadores devem ser difíceis de serem invadidos • Detectores de sniffers – Eficácia questionável
  98. 98. Alguns protocolos vulneráveis • Correio: SMTP, POP3, IMAP • Compartilhamento de arquivos • – NetBIOS, NFS (e praticamente tudo de RPC) • Transferência de arquivos: FTP • Shell remoto: – RLOGIN, TELNET, RSH • Controle remoto e sistemas de janelas: – VNC, X11 • Multimídia – H.323 (NetMeeting) • Instant messaging e chat: AIM, IRC, Talk • Web: HTTP Pós-Graduação - lato Sensu
  99. 99. Mais protocolos • Resistentes – controle remoto: pcAnywhere, ICA (Cytrix WinFrame) – Web: SSL/TLS – Rede: IPSec (sob certas condições) – Shell remoto: SSH (não usar versão 1) – Permite tunelar conexões TCP quaisquer, podendo tornar X11 e vários outros protocolos mais resistentes Pós-Graduação - lato Sensu
  100. 100. Sniffers especializados • Decodificam protocolos de rede comuns – Extraem os dados das aplicações (correio, etc) – Isolam logins, senhas, credenciais • ReplayTools – Remonta as sessões TCP • DSniff – Remonta sessões e extrai login/senhas de mais de 30 protocolos comuns • Mailsnarf – Captura e-mails e salva em arquivos texto • Webspy – Captura URLs e move o browser até elas em tempo real Pós-Graduação - lato Sensu
  101. 101. Protocolo ARP • Address Resolution Protocol - RFC 826 – Protocolo de Resolução de Endereços • Mapeia Endereços IP Û Endereços MAC – Só faz sentido no âmbito de IP sob Ethernet – Totalmente sem autenticação – Crédulo: aceita respostas a perguntas que ele não fez Pós-Graduação - lato Sensu
  102. 102. Protocolo ARP Pós-Graduação - lato Sensu • Cache ARP – Mantém na memória do computador durante algum tempo (da ordem de minutos) as associações entre endereços IPs e MACs – Registra qualquer coisa que lhe seja mandada, inclusive o que não perguntou.
  103. 103. Pós-Graduação - lato Sensu ARP • CACHE DE RESOLUÇÃO DE ENDEREÇO – Broadcast é muito caro para ser usado sempre que uma máquina queira transmitir um pacote para outra, pois isto requer que toda máquina processe o pacote de broadcast – Para reduzir custos de comunicação, hosts que utilizam ARP - mantêm um cache das associações de endereços Internet-ETHERNET obtidos recentemente – Esse armazenamento evita que um ARP seja utilizado repetidamente – Portanto, quando um host recebe um reply de ARP, ele salva o resultado no seu cache – Ao transmitir um pacote de ARP, o host olha o seu cache. Caso o endereço desejado se encontre no cache, o pacote será enviado diretamente
  104. 104. MAC Flooding • O switch monta dinamicamente uma tabela associando portas com endereço MAC • Para cada frame que entra, uma linha da MAC Address/CAM table é acrescentada, ou se já presente tem seu timer reinicializado Pós-Graduação - lato Sensu
  105. 105. CAM normal 1/3 Content Addressable Memory Pós-Graduação - lato Sensu
  106. 106. CAM normal 2/3 Content Addressable Memory Pós-Graduação - lato Sensu
  107. 107. CAM normal 3/3 Content Addressable Memory Pós-Graduação - lato Sensu
  108. 108. CAM overflow 1/2 Content Addressable Memory Pós-Graduação - lato Sensu
  109. 109. CAM overflow 2/2 Content Addressable Memory Pós-Graduação - lato Sensu
  110. 110. Contra-medidas • Port secure / MAC based filtering • Limitar a quantidade de endereços que uma porta pode aprender • Especificar os endereços que uma porta pode aprender • Administrativamente pode ser um pesadelo • Engessa a infraestrutura.... Pós-Graduação - lato Sensu
  111. 111. ARP Gratuito – cache poisoning Config IP Forwarding enviar pacotes para GW 4 1 Pós-Graduação - lato Sensu Enviar ARP reply. para redirecionar traf. Para atacante Vitima envia tráfego destinado Internet 3 2 Sniff o tráfego Pacotes são redirecionados do atacante para GW 5
  112. 112. ARP Spoofing Pós-Graduação - lato Sensu • Ferramentas – Hunt – Dsniff – Ethercap
  113. 113. Como enganar DNS Atacante sniff DNS req. 3 www.banco .com 10.1.1.56 Pós-Graduação - lato Sensu 4 Atacante ativa DNSSpoof Atacante envia falsa resp. DNS Vítima tenta resolver nome DNS 2 1 www.banco.com www.banco .com 10.22.12.41 5 Vítima navega no site do atacante Site do atacante 10.1.1.56
  114. 114. Sniffing SSL Pós-Graduação - lato Sensu 2 Atacante ativa DNSSpoof e webmitm DNSSpoof envia DNS resp com End IP do atacante 10.1.2.3 Vítima estabelece conexão SSL sem saber que atacante está fazendo proxy 3 1 Webmitm faz proxy da conexão. Estabelece Https com servidor e envia seu cert para vítima 4 10.1.2.3 5 Vítima navega no site desejado, mas tráfego é visto pelo atacante www .banco. com 10.22.12.41
  115. 115. Detectando Sniffing Pós-Graduação - lato Sensu Localmente Ifconfig – Linux Ifstatus – Solaris PromiscDetect – Windows NT 4.0 / 2000 / XP / 2003 / Vista (http://www.ntsecurity.nu/toolbox/promiscdetect) Remoto Sentinel EtherARP – envia arp request com MAC falso EtherPing – envia ping
  116. 116. Defesa contra Sniffing Pós-Graduação - lato Sensu Observar manipulação de ARP Entradas Arp erradas são sinal de sniffing Windows e Linux – Arp – a Pela Rede ARPWatch - http://www-nrg.ee.lbl.gov/ Monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP NIDS – com assinaturas específicas para tráfego ARP
  117. 117. Session Hijacking Pós-Graduação - lato Sensu Roubo de sessão Focado em sessões orientadas a aplicação telnet, ftp rlogin etc.. Ferramentas: Hunt e Ethercap
  118. 118. Procurando uma Sessão Alice faz telnet em Bob Rede Alice Bob Pós-Graduação - lato Sensu Eva
  119. 119. Capturando a Sessão Atacante pode monitorar o tráfego e gerar pacotes com o mesmo número de seqüência Atacante pode tirar Alice da jogada e fazer alterações em Bob. Os logs mostram que Alice fez as alterações Rede Alice Bob Ola, eu sou Alice Pós-Graduação - lato Sensu Eva Sniffing + spoofing Se autenticação é por token, mas sem criptografia o ataque pode ser realizado
  120. 120. Ack Storms Se atacante somente seqüestra a sessão, fazendo spoofing de pacotes, os números de seqüência nas pontas perdem o sincronismo Na tentativa de sincronia eles reenviam Syn e Acks de um lado para o outro – ack storm Rede Alice Bob Ola, eu sou Alice Pós-Graduação - lato Sensu Eva
  121. 121. Captura de Sessão e Arp Poisoning Rede Alice Bob IP=1.2.3.4 MAC=BB.BB Pós-Graduação - lato Sensu Eva Para evitar ack storm Eva faz DoS em Alice Ou, mais interessante, usa Arp cache Poisoning IP=5.6.7.8 MAC=AA.AA Arp 5.6.7.8 CC.CC... Arp 1.2.3.4 DD.DD.. IP=???? MAC=CC.CC..
  122. 122. Captura de Sessão Pós-Graduação - lato Sensu Ferramentas Hunt TTYWatcher IP-Watcher – comercial Ethercap – linux, FreeBSD e OpenBSD
  123. 123. Captura de Sessão Pós-Graduação - lato Sensu Defesas Tabela Arp fixa em redes sensíveis Port security Cada porta física – só 1 MAC Cada porta física – só MAC específico Criptografia na sessão e autenticação forte Não use aplicações inseguras para configurar equipamentos – telnet ou ssh?? Use ARPWatch na rede Atenção a msg de erro (browser e ssh)
  124. 124. Spoofing de IP • Spoofing – tentar se passar por alguém • Finalidade – Enganar roteadores – Enganar firewalls – Se aproveitar de relações de confiança – DoS Pós-Graduação - lato Sensu • 3 tipos principais – Sabor 1 - Trocar o IP – Sabor 2 - Spoofing de IP – guessing sequence number (previsão de número de seqüência) – Sabor 3 - Spoofing de IP – Source routing
  125. 125. Sabor 1 - Trocar o IP • Efetuar a troca de IP na interface de rede • Utilizar gerador de pacotes com IP • Simples, mas – Não haverá respostas – o pacote será roteado para o IP verdadeiro – Não fecha o three-way handshake Pós-Graduação - lato Sensu
  126. 126. Sabor 1 - Trocar o IP Alice Bob Pós-Graduação - lato Sensu Eva Three-way handshake não acontece Syn (ISNa) Ack (ISNa + 1) Syn (ISNb) RESET !!!!!
  127. 127. Sabor 2 – Guessing sequence Number Pós-Graduação - lato Sensu Alice Bob O atacante tenta adivinhar o número de seqüência Explora relações de confiança - Unix Variante desse ataque foi usado por Kevin Mitnick
  128. 128. Sabor 2 – Guessing sequence Number Numero de seqüência, em alguns casos é previsível Atacante tenta prever número de seqüência futuro Se acontecer Bob vai pensar que Eve é Alice Mas Alice não vai dar RESET!!! Pós-Graduação - lato Sensu DoS em Alice
  129. 129. Sabor 2 - Guessing sequence Number Eva envia Syn e rcb Syn-Ack (sem spoofing) 0 Ack (ISNb + 1) Alice Bob Pós-Graduação - lato Sensu DoS Eva Syn (ISNa) Ack (ISNa + 1) Syn (ISNb) 1 3 4 2
  130. 130. Sabor 2 - Guessing sequence Number • Eva tem um canal aberto com Bob • Eva pode enviar comandos para Bob • Claro que Eva não recebe msg de Bob – Msg são enviadas para Alice – Alice não pode responder ou Resetar • Eva faz vôo cego mas pode, por um instante reconfigurar Bob – Pode reconfigurar /etc/hosts.equiv – Como detectar essa reconfiguração??? Pós-Graduação - lato Sensu
  131. 131. Sabor 3 - Spoofing IP – Source routing • Utiliza a opção Source routing • Atacante precisa receber as respostas • Ataque mais simples que o sabor 2 – Independente de plataforma e não precisa de relações de confiança • Pacote parece vir do endereço spoofado • Todos os pacotes seguem o caminho • Atacante pode interpretar as respostas • Ferramenta - netcat Pós-Graduação - lato Sensu
  132. 132. Sabor 3 - Spoofing IP – Source routing Alice Bob Pós-Graduação - lato Sensu Eva Rede entre Eva e Bob deve suportar source routing Rede entre Alice e Eva e Alice e Bob não precisa suportar source routing Rota 1 - Alice 2 – Roteador X 3 – Eva 4 - Roteador Y 5 - Bob Conteúdo Pacote Rota 1 - Bob 2 – Roteador Y 3 – Eva 4 - Roteador X 5 - Alice Conteúdo Pacote
  133. 133. Sabor 3 - Spoofing IP – Source routing • Atacante consegue completar o three-way handshake • Atacante não precisa retransmitir o pacote para Alice • Alice não participa do jogo – não há RESET Pós-Graduação - lato Sensu
  134. 134. Defesa para Spoofing • Manter número de seqüência imprevisível Pós-Graduação - lato Sensu – Patch TCP/IP stack • Cuidado com relações de confiança – Não estenda atrás de firewall – só com VPN – Cuidado com Windows e Unix • Não use autenticação baseada em IP – Senhas e outras técnicas • Utilize ssh no lugar dos r-command • Utilize filtros anti-spoof em firewalls e roteadores
  135. 135. Detalhes sobre DNS Pós-Graduação - lato Sensu Informações adicionais Cada consulta DNS tem ID própria Resposta tem que ter mesmo ID ID as vezes é previsível Serv. DNS fazem cache das respostas
  136. 136. DNS cache Poisoning Pós-Graduação - lato Sensu DNS Componente crítico da Internet Mapeia nomes para IP www.banco.com = 10.0.0.1 Mail Server banco.com mx.banco.com Internet address = 10.0.0.2 Qual é a importância?? Quase tudo depende de DNS...
  137. 137. DNS cache Poisoning – ID query Eva dns.eva.com Pós-Graduação - lato Sensu dns.legal.com Alice www.banco.com dns.banco.com 1 Atacante pergunta any.eva.com?? any.eva.com?? 3 2 Armazena query ID DNS mantido por Eva Steps 1 a 3 podem ser repetidos diversas vezes
  138. 138. DNS cache Poisoning – ID query Eva dns.eva.com Pós-Graduação - lato Sensu dns.legal.com Alice www.banco.com www.banco.com? Resposta Spoof www.banco.com =w.x.y.z (DNS ID e portas previsíveis) dns.banco.com 4 6 5 www.banco.com? 7 Cache www.banco.com =w.x.y.z
  139. 139. DNS cache Poisoning – ID query Eva dns.eva.com Pós-Graduação - lato Sensu Cache www.banco.com =w.x.y.z dns.legal.com Alice www.banco.com dns.banco.com 9 Vamos ao banco 8 www.banco.com? w.x.y.z 10
  140. 140. DNS Poisoning - Defesas Bind ou Win DNS atualizado - ID query Pós-Graduação - lato Sensu Utilize um IDS Configure DNS externos para resolver consultas recursivas somente para usuários internos Usuários externos não devem fazer consultas recursivas – separar servidores Previne steps de 1 a 3 Questão de configuração

×