Conhecendo as Ameaças
para Criar um Ambiente
Seguro
Humberto Caetano
Diretor Técnico
Pontos de Interesse

Firewall

Proxy

Antivirus

Envenenamentos (DNS, Arp)

Engenharia Social

Aplicações WEB (Senhas e bugs, SQL Injection)

Wireless

Segurança Física

DOS
Footprinting

Footprinting → É toda a informação que vai sendo
armazenada na internet que diz respeito a nossa
empresa. Muitas vezes são informações importantes e
que podem representar riscos a segurança.
– DNS, Whois e Ferramentas de domínios
– Informações gerais sobre a empresa
encontradas na internet (Google)
– Redes sociais (LinkedIn, Facebook, etc)
– Arquivos da empresa armazenados em sites na
internet
Footprinting
✔
✔
✔
http://www.pepl.com → Site que encontra informações
sobre você disponíveis na internet. (Eu achei o
endereço da minha casa registrado nesse site)
http://www.tineye.com → Caso você tenha a foto de
uma pessoa, mas não sabe quem ela é, pode usar
esse site para vasculhar a internet a procura de
informações a partir da foto.
http://www.secapps.com/a/ghdb → Ferramenta Web
para pesquisas utilizando o banco de dados do Google
Firewall
Existe uma concepção incorreta de que o Firewall existe
para proteger a rede interna de ameaças vindas da
Internet. O exemplo abaixo é uma parte de uma
configuração de Firewall encontrada no Google e
utilizada por muita gente.
# Libera todo o trafego local
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -t filter -A FORWARD -i $IF_INTERNA -j ACCEPT
Firewall
Por que bloquear o tráfego da rede interna para a Internet?
1 → Bloquear o acesso a ferramentas de download como
Torrent e a aplicações de Stream ou Chat.
2 → Impedir que nossa rede seja utilizada por botnets, virus
que utilizam conexões remotas ou softwares spammers
3 → Impedir o uso não autorizado de proxys na Internet, de
softwares de tunelamento, permitindo que um usuário
utilize ferramentas como Torrent, Messenger, Sites não
autorizados, etc.
Firewall
Túneis que podem ser utilizados para
burlar o Firewall.
→ PPTP
→ OpenVPN
→ ICMP Tunnel
→ HTTP Tunnel
Firewall
Túnel ICMP → ICMPTX
→ Servidor
# icmptx -s 10.0.1.1 &
# ifconfig tun0 mtu 65535 10.0.1.1 netmask 255.255.255.0
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
Firewall
Túnel ICMP → ICMPTX
→ Cliente
# icmptx -c 172.16.254.253
# ifconfig tun0 mtu 65535 up 10.0.1.2 netmask 255.255.255.0
# route -n
Kernel IP routing table
Destination
Gateway
Genmask
Flags Metric Ref
192.168.1.0
0.0.0.0
255.255.255.0
U
0
0
0 wlan0
0.0.0.0
192.168.1.1
0.0.0.0
UG
0
0
0 wlan0
# route del default
# route add -host 172.16.254.253 gw 192.168.1.67
# route add default gw 10.0.1.1 tun0
Use Iface
Proxy
→ Permite otimizar a
utilização de banda de
Internet
→ Possibilita o controle das
páginas acessadas pelo
usuário
→ Registra os sites
acessados pelos usuários
para posterior auditoria
Proxy
HTTP Tunnel →
Permite que
seja criado um
tunel utilizando
o protocolo
HTTP
Proxy
HTTP Tunnel
→ Servidor
# hts -F 127.0.0.1:22 443
→ Cliente
# htc -F 10022 10.0.0.2:443
# ssh -f -N -L3128:127.0.0.1:3128 [email protected] -p 10022
Proxy
Vírus

PE Explorer (http://www.heaventools.com/download.htm)
Vírus

Petite (http://www.un4seen.com/petite/)
# wine ../petite/petite.exe -9 -oteste.exe Result.exe
Petite 2.3 - Copyright (c) 1998-2005 Ian Luck. All rights reserved.
---------------------------------------> see PETITE.TXT for details
* Reading : Result.exe
Compressing :
CODE
: 400752 -> 173685 (43.3%)
DATA
: 6654 -> 3257 (48.9%)
.idata : 8325 -> 3145 (37.8%)
.reloc : 24560 -> 0 (0.0%)
Writing : teste.exe 548352 -> 289344 (52.8%)
Vírus
# clamscan -i NetBus.exe
# clamscan -i teste.exe
NetBus.exe: Troj.BD.Netbus FOUND
----------- SCAN SUMMARY --------------------- SCAN SUMMARY -----------
Known viruses: 1073702
Known viruses: 1073702
Engine version: 0.97.3
Engine version: 0.97.3
Scanned directories: 0
Scanned directories: 0
Scanned files: 1
Scanned files: 1
Infected files: 0
Infected files: 1
Data scanned: 0.37 MB
Data scanned: 0.54 MB
Data read: 0.27 MB (ratio 1.36:1)
Data read: 0.54 MB (ratio 1.01:1)
Time: 3.339 sec (0 m 3 s)
Time: 3.335 sec (0 m 3 s)
Engenharia Social
Tipos de abordagem
→ Curiosidade
→ Confiança
→ Simpatia
→ Culpa
→ Medo
Medidas de Segurança



Firewalls devem sempre bloquear tudo.
Qualquer liberação da rede interna para a
Internet deve ser feita indicando o destino.
Servidores internos que precisem ser
acessados a partir da Internet devem estar
sempre na DMZ
A utilização de um IDS é fundamental para a
saúde da rede (o Snort é uma boa opção)
Medidas de Segurança



O acesso a sites WEB deve ser, sempre que
possível, através de Proxy com autenticação
do usuário
Ter um bom antivirus não significa que você
está vacinado. Ter um comportamento de
risco torna qualquer um alvo
Todos são suscetíveis a engenharia social,
esteja atento.
Backtrack
A melhor
ferramenta para
pen tests é o
Backtrack. Ele é um
sistema operacional
baseado no Ubuntu
com várias
ferramentas de
testes previamente
instaladas. É uma
verdadeira central
de informações.
http://www.backtrack-linux.org/
Contatos

Telefone: 81-3212.1224

E-Mail: [email protected]

Site: http://www.alliance3.com.br

Facebook: http://facebook.com/Alliance3.br

Twitter: http://twitter.com/Alliance3_br
Conhecendo as Ameaças
para Criar um Ambiente
Seguro
Humberto Caetano
Diretor Técnico