Tipos de Ataques
Luiz Kacuta
Luiz Romero
Viviane Oliveira
Plano de Trabalho
Agenda
Motivação
Porque atacar?
Quem são os atacantes?
O que os ataques exploram?
Qual o impacto para a organização?
Tipos de Ataques:
• IP Spoofing
• Buffer overflow
• Seqüestro de Sessão
• Denial of Service
Intrusion Detection System
Objetivo
Obter entendimento
básico sobre o
funcionamento dos
tipos de ataques mais
comuns.
2
Novembro/2003
Motivação
• 90% das empresas detectaram falhas de segurança no sistema, entre abril
2002 e abril 2003;
 80% das empresas admitiram ter sofrido perdas financeiras;
 44% (223 dos entrevistados) relataram perdas financeiras no montante de
$455.848.000;
3
 perdas financeiras mais significativas ocorreram com o roubo de
informações privadas (26 empresas acusaram perdas de $170.827.000) e
fraudes financeiras (25 empresas acusaram perdas de $115.753.000);
• pelo quinto ano consecutivo, a maioria das empresas (74%) citou a
conexão Internet como o ponto mais freqüente do ataque.
• somente 61% das empresas utilizam Intrusion Detection Systems.
Fonte: Computer Security Institute
Novembro/2003
Porque atacar?
• Curisiodade
• Diversão
• Obtenção de ganhos financeiros
4
• Espionagem industrial
• Vingança (ex-funcionários, funcionários
descontentes)
• Desafio
Novembro/2003
Quem são os atacantes?
• Hackers
• Crackers
• White hat (hacker ético)
5
• Funcionários insatisfeitos
• Ex-funcionários, ex-prestadores de serviço
“Segurança é um problema social, não somente
tecnológico”
Novembro/2003
O que os ataques exploram?
• Bugs no desenvolvimento
• Senhas fracas
• Mau uso de ferramentas/serviços legítimos
6
• Configuração inadequada de recursos
• IDS mau implementado
“Ferramentas existentes vão proteger somente
contra os ataques conhecidos”
Novembro/2003
Qual o impacto para a organização?
• Vazamento de informações confidenciais
• Modificação indevida de dados
• Indisponibilidade de serviço
7
• Fraude, perdas financeiras
• Reputação prejudicada
• Perda de negócios, clientes e oportunidades
“Algumas perdas são irreversíveis”
Novembro/2003
Tipos de Ataques
IP Spoofing
Buffer Overflow
Seqüestro de Sessão
Denial of Service
IP Spoofing - Definição
O IP spoofing é uma técnica na qual o endereço
real do atacante é mascarado, de forma a evitar
que ele seja encontrado.
9
A manipulação do endereço é feito diretamente
nos campos do cabeçalho do pacote.
Novembro/2003
IP Spoofing - Como é feito?
•Exemplo 01:
10
Novembro/2003
IP Spoofing - Como é feito?
•Exemplo 02:
11
Novembro/2003
IP Spoofing - Formas de exploração
•Alteração básica de endereço nas configurações
da rede
•Utilização do roteamento de origem
12
•Exploração da relação de confiança
Novembro/2003
IP Spoofing - Medidas Preventivas e
Corretivas
•Limitar o acesso as configurações da máquina;
•Utilizar filtros ingress e egress;
•Desabilitar o roteamento de origem; e
13
•Não utilizar relação de confiança nos domínios
Unix.
Novembro/2003
Buffer Overflow - Definição
O ataque buffer overflow funciona inserindo muitos
dados dentro da pilha de memória, o que causa que
outra informação que está na pilha seja sobrescrita.
14
Condições de buffer overflow podem geralmente
resultar:
- execução de códigos arbitrários nos sistemas;
- modificação de dados e/ou perda de informações;
- perda da controle do fluxo de execução do
sistema.
Novembro/2003
Buffer Overflow - Como é feito?
Exemplificação:
15
Etapa 01: envio de uma string grande em uma rotina que não
checa os limites do buffer.
Etapa 03: o código do ataque é injetado na posição da memória
que já foi sobrescrita no Passo 02.
Etapa 02: o endereço de retorno, é sobrescrito por um outro
endereço, que está incluído na string e aponta para o código do
ataque.
Etapa 04: a função pula para o código do ataque injetado, baseado
no endereço do retorno que também foi inserido. Com isso, o
código injetado pode ser executado.
Novembro/2003
Buffer Overflow - Medidas
Preventivas e Corretivas
•Revisão nos códigos fonte;
•Aplicação de patches;
•Alocação aleatória dos buffers de memórias,
produto SECURED, da MEMCO;
16
•Execução de sistemas com o menor privilégio;
•Utilização de IPS - Intrusion Prevention System.
Novembro/2003
Buffer Overflow - Ataques Conhecidos
•Ping of Death;
•Ataques aos sites de leilões eBay (instalação de
um executável para captura de senhas);
17
Novembro/2003
Seqüestro de Sessão - Definição
Sequestro de sessão é o processo de tomar
posse de uma sessão ativa existente.
18
Também classificado como um ataque “man
in the middle”.
Novembro/2003
Seqüestro de Sessão - Como é feito?
Atividades necessárias para seqüestro da conexão:
- Encontrar o alvo
- Encontrar uma sessão ativa
- Executar a predição da sequência que são trocadas entre as máquinas
- Tornar o computador offline
- Assumir a sessão
19
Tipos de seqüestro:
- Ativo
- Passivo
- Híbrido
Novembro/2003
IP Spoofing x Seqüestro de Sessão
20
IP Spoofing
Seqüestro de
Sessão
Novembro/2003
Seqüestro de Sessão - Medidas
Preventivas e Corretivas
•Utilização de criptografia
•Utilização de um protocolo seguro
•Limitar o número de conexões entrantes
21
•Minimizar acesso remoto
•Adotar autenticação forte (menos efetivo)
Novembro/2003
Denial of Service - Definição
Os ataques de negação de serviço (Denial of
Service) fazem com que recursos sejam
explorados de maneira agressiva, de modo que
usuários legítimos ficam impossibilitados de
utilizá-los, por estarem indisponíveis, ou por
terem tido sua performance extremamente
reduzida.
22
Novembro/2003
Denial of Service - Como é feito?
Existem diversos formas de efetuar o Denial of
Service, será escopo desse trabalho:
23
- SYN Flooding
- Fragmentação IP
Novembro/2003
Denial of Service - SYN flooding
SYN seq = x
Explora o mecanismo
de estabelecimento
de conexão do TCP.
Cliente
Servidor
SYN seq = y; ACK x+1
ACK y+1
24
Ações preventivas:
- comparação das taxas de requisição e conexões em aberto
- monitorar número de seqüência (faixa específica)
- estabelecer time out da conexão
- aumentar a fila de conexões
Novembro/2003
Denial of Service - Fragmentação IP
MTU: quantidade máxima de dados que
podem passar em um pacote por meio físico.
25
Overflow da pilha TCP no momento do
reagrupamento dos pacotes.
Novembro/2003
Distributed Denial of Service - DDOS
Diversos hosts sendo
atacados
simultaneamente
26
Ataque de difícil
contenção
Novembro/2003
Denial of Service - Medidas
Preventivas e Corretivas
Design robusto e efetivo da rede
Limitar a largura de banda
Manter os sistemas atualizados
27
Executar a menor quantidade de serviços ativo
Permitir somente o tráfego necessário
•Bloquear o endereço IP
Novembro/2003
Intrusion Detection
System - IDS
Estratégias de Defesa
Agenda
Trinômio da Segurança
IDS - Síndrome da “Bala de Prata”
Conceitos
Estratégias de Prevenção
IDS x IPS
Topologia de uma solução
Política para DOS - Denial of Service
Eventos de Intrusão
Eventos Avaliados
Outros Ataques
Lógica de Funcionamento
Conclusão
Objetivos
Descrever o
funcionamento de
IDS para os ataques
descritos.
29
Novembro/2003
Trinômio da Segurança
• Prevenção
– Criptografia,
– Firewall,
– Vulnerabilidade
30
• Monitoração
– IDS
– Syslog Server
• Reação
Novembro/2003
IDS - Síndrome da “Bala de Prata”
Intrusion Detection System
A solução de todos os
problemas de segurança
31
Novembro/2003
Conceitos
Problemas de Gerenciamento IDS:
• Altissima interação e constante monitoração.
• Complexidade a detecção,monitoramento e respostas
a incidentes.
32
• Falso Positivos (avalanche de informações
imprecisas)
• Integração com todo ambiente
Novembro/2003
Conceitos
Problemas de Gerenciamento IDS:
33
Novembro/2003
Estratégias de Prevenção
Melhores práticas para gerenciar o IDS
• Riscos, Ameaças e Vulnerabilidade;
• Politica de Segurança;
34
• Estratégia de Implementação do IDS;
• Auditória e Teste.
Novembro/2003
IDS x IPS
Solução integrada capaz de
gerenciar dinamicamente os
ataques e automaticamente
gerar uma ação.
35
Novembro/2003
Topologia de uma solução
36
Novembro/2003
Política para DOS - Denial of Service
37
Novembro/2003
Eventos de Intrusão
38
Novembro/2003
Eventos Avaliados
39
Novembro/2003
Outros Ataques
40
Novembro/2003
Eventos Avaliados
41
Novembro/2003
Eventos Avaliados
42
Novembro/2003
Lógica de Funcionamento
43
Novembro/2003
Conclusão
Cada vez mais torna-se evidente que nem
tecnologia, nem políticas isoladas podem
realmente oferecer proteção para sua
44
organização…as organizações que querem
sobreviver necessitam desenvolver uma
abordagem abrangente em relação a segurança
da informação, a qual deve combinar pessoas,
tecnologia e processo.
Novembro/2003
Obrigado!
Luiz Kacuta
Luiz Romero
Viviane Oliveira
Download

Tipos de Ataques