Download
1 / 45
450 likes | 677 Views
Tipos de Ataques. Luiz Kacuta Luiz Romero Viviane Oliveira. Objetivo Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns. Plano de Trabalho. Agenda Motivação Porque atacar? Quem são os atacantes? O que os ataques exploram?
E N D
Tipos de Ataques Luiz Kacuta Luiz Romero Viviane Oliveira
Objetivo Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns. Plano de Trabalho • Agenda • Motivação • Porque atacar? • Quem são os atacantes? • O que os ataques exploram? • Qual o impacto para a organização? • Tipos de Ataques: • IP Spoofing • Buffer overflow • Seqüestro de Sessão • Denial of Service • Intrusion Detection System
Motivação • 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003; • 80% das empresas admitiram ter sofrido perdas financeiras; • 44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000; • perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000); • pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque. • somente 61% das empresas utilizam Intrusion Detection Systems. • Fonte: Computer Security Institute
Porque atacar? • Curisiodade • Diversão • Obtenção de ganhos financeiros • Espionagem industrial • Vingança (ex-funcionários, funcionários descontentes) • Desafio
Quem são os atacantes? • Hackers • Crackers • White hat (hacker ético) • Funcionários insatisfeitos • Ex-funcionários, ex-prestadores de serviço • “Segurança é um problema social, não somente tecnológico”
O que os ataques exploram? • Bugs no desenvolvimento • Senhas fracas • Mau uso de ferramentas/serviços legítimos • Configuração inadequada de recursos • IDS mau implementado • “Ferramentas existentes vão proteger somente contra os ataques conhecidos”
Qual o impacto para a organização? • Vazamento de informações confidenciais • Modificação indevida de dados • Indisponibilidade de serviço • Fraude, perdas financeiras • Reputação prejudicada • Perda de negócios, clientes e oportunidades • “Algumas perdas são irreversíveis”
Tipos de AtaquesIP SpoofingBuffer OverflowSeqüestro de SessãoDenial of Service
IP Spoofing - Definição O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote.
IP Spoofing - Como é feito? • Exemplo 01:
IP Spoofing - Como é feito? • Exemplo 02:
IP Spoofing - Formas de exploração • Alteração básica de endereço nas configurações da rede • Utilização do roteamento de origem • Exploração da relação de confiança
IP Spoofing - Medidas Preventivas e Corretivas • Limitar o acesso as configurações da máquina; • Utilizar filtros ingress e egress; • Desabilitar o roteamento de origem; e • Não utilizar relação de confiança nos domínios Unix.
Buffer Overflow - Definição O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita. Condições de buffer overflow podem geralmente resultar: - execução de códigos arbitrários nos sistemas; - modificação de dados e/ou perda de informações; - perda da controle do fluxo de execução do sistema.
Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado. Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer. Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do ataque. Buffer Overflow - Como é feito? Exemplificação:
Buffer Overflow - Medidas Preventivas e Corretivas • Revisão nos códigos fonte; • Aplicação de patches; • Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO; • Execução de sistemas com o menor privilégio; • Utilização de IPS - Intrusion Prevention System.
Buffer Overflow - Ataques Conhecidos • Ping of Death; • Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas);
Seqüestro de Sessão - Definição • Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente. • Também classificado como um ataque “man in the middle”.
Seqüestro de Sessão - Como é feito? • Atividades necessárias para seqüestro da conexão: • - Encontrar o alvo • - Encontrar uma sessão ativa • - Executar a predição da sequência que são trocadas entre as máquinas • - Tornar o computador offline • - Assumir a sessão • Tipos de seqüestro: • - Ativo • - Passivo • - Híbrido
IP Spoofing x Seqüestro de Sessão IP Spoofing Seqüestro de Sessão
Seqüestro de Sessão - Medidas Preventivas e Corretivas • Utilização de criptografia • Utilização de um protocolo seguro • Limitar o número de conexões entrantes • Minimizar acesso remoto • Adotar autenticação forte (menos efetivo)
Denial of Service - Definição Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida.
Denial of Service - Como é feito? Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho: - SYN Flooding - Fragmentação IP
SYN seq = x Cliente Servidor SYN seq = y; ACK x+1 ACK y+1 Denial of Service - SYN flooding Explora o mecanismo de estabelecimento de conexão do TCP. Ações preventivas: - comparação das taxas de requisição e conexões em aberto - monitorar número de seqüência (faixa específica) - estabelecer time out da conexão - aumentar a fila de conexões
Denial of Service - Fragmentação IP MTU: quantidade máxima de dados que podem passar em um pacote por meio físico. Overflow da pilha TCP no momento do reagrupamento dos pacotes.
Distributed Denial of Service - DDOS Diversos hosts sendo atacados simultaneamente Ataque de difícil contenção
Denial of Service - Medidas Preventivas e Corretivas • Design robusto e efetivo da rede • Limitar a largura de banda • Manter os sistemas atualizados • Executar a menor quantidade de serviços ativo • Permitir somente o tráfego necessário • Bloquear o endereço IP
Objetivos Descrever o funcionamento de IDS para os ataques descritos. Estratégias de Defesa Agenda Trinômio da Segurança IDS - Síndrome da “Bala de Prata” Conceitos Estratégias de Prevenção IDS x IPS Topologia de uma solução Política para DOS - Denial of Service Eventos de Intrusão Eventos Avaliados Outros Ataques Lógica de Funcionamento Conclusão
Trinômio da Segurança • Prevenção • Criptografia, • Firewall, • Vulnerabilidade • Monitoração • IDS • Syslog Server • Reação
IDS - Síndrome da “Bala de Prata” • Intrusion Detection System • A solução de todos os problemas de segurança
Conceitos • Problemas de Gerenciamento IDS: • Altissima interação e constante monitoração. • Complexidade a detecção,monitoramento e respostas a incidentes. • Falso Positivos (avalanche de informações imprecisas) • Integração com todo ambiente
Conceitos • Problemas de Gerenciamento IDS:
Estratégias de Prevenção • Melhores práticas para gerenciar o IDS • Riscos, Ameaças e Vulnerabilidade; • Politica de Segurança; • Estratégia de Implementação do IDS; • Auditória e Teste.
IDS x IPS • Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente gerar uma ação.
Conclusão Cada vez mais torna-se evidente que nem tecnologia, nem políticas isoladas podem realmente oferecer proteção para sua organização…as organizações que querem sobreviver necessitam desenvolver uma abordagem abrangente em relação a segurança da informação, a qual deve combinar pessoas, tecnologia e processo.
Obrigado! Luiz Kacuta Luiz Romero Viviane Oliveira
