Principais ataques

• Engenharia social

• Coleta de informação

• Varredura

• Negação de serviço

• Exploração de bugs

• Exploração de protocolos

• Sniffers

• Ataque do dicionário

• Código malicioso

Internet

• NÃO foi projetada para

– Uso em ambiente comerciais

– Tráfego de informações importantes/sensíveis

– Resistir a usuários/agentes maliciosos

Internet

• Conseqüências

– rede gigantesca sem controle centralizado

– vários caminhos para um mesmo ponto

– não existem limites definidos

– anonimato facilmente obtido

– SEM SEGURANÇA

Maiores Problemas

• Mecanismos fracos de identificação/autenticação

• Maioria dos meios de transmissão utilizam broadcast

– Ethernet

– IP sobre TV a Cabo

– Microondas e rádio

• Dados são transmitidos em claro

Maiores Problemas

• Mecanismos fracos de identificação/autenticação– Protocolos “confiam” na origem dos pacotes que

trafegam na Internet

– Muitos mecanismos de autenticação baseiam-se no endereço IP de origem do pacote

– CRC ou checksum não impedem falsificações (falsificador recalcula)

Maiores Problemas

• Meios de transmissão em broadcast– Permite monitorar o tráfego da rede

– Permite copiar dados transmitidos

Host A

Host B

XPara Host B

Placa de rede em operação normalPlaca de rede em modo promíscuo

Maiores Problemas

• Dados são transmitidos em claro– Qualquer um pode capturar dados da rede (sniffer)

– Qualquer um pode entender os dados sendo transmitidos

– Qualquer um pode alterar os dados sendo transmitidos (interceptar e retransmitir)

Protocolos

Protocolos TCP/IP

Deficiências do IP

• Ataques de fragmentação– Normal

– Sobreposição de fragmentos

IP Header

TCP Header

DADOS

IP Header

MAIS DADOS...

IP Header

TCP Header

DADOS

IP Header

MAIS DADOS...

Deficiências do IP

• Ataques de fragmentação– DoS (Denial of Service): ocasionados por problemas de

reconstrução de pacotes fragmentados

– Evasivos: obscurecer o ataque através de fragmentos sobrepostos, dificultando a detecção deste

– Ataques a portas bloqueadas: um atacante pode construir um pacote com um cabeçalho aceitável no primeiro fragmento, mas sobrescrevê-lo num segundo fragmento que possua um cabeçalho falso

Deficiências do IP

• IP Spoofing– Origem e/ou destino do pacote IP são forjados

– IP Spoofing é parte de um ataque mais sofisticado

– Casos em que o ataque é utilizado:» O atacante pode interceptar a resposta

» O atacante não precisa receber a resposta

» O atacante não quer a resposta, o seu objetivo e mandar a resposta para alguma outra maquina

Deficiências do IP

• IP Spoofing– O atacante pode interceptar a resposta

Vítima

Atacante

Host A

From: Host ATo: Vítima

From: VítimaTo: Host A

Deficiências do IP

• IP Spoofing– O atacante não precisa receber a resposta: DoS

Vítima

Atacante

Host A

From: Host ATo: Vítima

Deficiências do IP

• IP Spoofing– O atacante não quer a resposta, o seu objetivo e

mandar a resposta para alguma outra maquina

Vítima

Atacante

Host A

From: Host ATo: Vítima

From: VítimaTo: Host A

Deficiências do IP

• Soluções Possíveis– Redes baseadas em switch: dificultam ataques

passivos (sniffers)» mas existe ARP redirect

– Regras no firewall: » evitar que IPs diferentes dos da rede local saiam para a

Internet

» evitar que IPs iguais aos da rede local entrem pela Internet

Deficiências do ICMP

• Cabeçalho ICMP

32 bits

Tipo

(conteúdo depende do Tipo e Código da mensagem)

ChecksumCódigo

Deficiências do ICMP

Address-Mask Reply18

Address-Mask Request17

Echo Request (ping)8

Redirect (change route)5

Source Quench4

Destination Unreachable3

Echo Reply (ping)0

Mensagem ICMPCampo Type

Mensagens ICMP

Enumeração de alvos

DoS

Descoberta da rede

Deficiências do ICMP

• Enumeração de alvos– Echo Request

Atacante

Internet

Host A

Host B

Host C

Host DHost A, B, C, D

Deficiências do ICMP

• Smurf attack– IP Spoofing + ICMP Echo Request

Intermediário

Atacante

From: VítimaTo: IntermediárioPing de Broadcast

VítimaFrom: IntermediárioTo: Vítima

Deficiências do ICMP

• Denial of Service– Source Quench, ou ICMP Redirect ou ICMP

Destination Unreachable

Vítima

Atacante

Host A

From: IP SpoofedTo: VítimaDestination Unreachable

From: VítimaTo: Host A

Deficiências do ICMP

• Soluções possíveis– Bloquear pacotes ICMP no firewall

» Pode ser muito drástico

– Bloquear pacotes com IP de broadcast

– Configurar o SO para não responder a pacotes ICMP destinados a endereços de broadcast

– Bloquear certos pacotes ICMP» destination unreachable

» source quench

» Redirect

» Address-mask Request

» Echo Request

Deficiências do TCP

• Cabeçalho TCP32 bits

Porta origem Porta destino

Checksum

Dados (tamanho variável)

Número de seqüência

Número de confirmação

Tamanho da janela deslizante

Urgent pointer

Opções (tamanho variável)

Tamanho docabeçalho Reservado

FIN

SYN

RST

PSH

ACK

URG

32 bits32 bits

Porta origem Porta destino

Checksum

Dados (tamanho variável)

Número de seqüência

Número de confirmação

Tamanho da janela deslizante

Urgent pointer

Opções (tamanho variável)

Tamanho docabeçalho Reservado

FIN

SYN

RST

PSH

ACK

URG

Deficiências do TCP

• Network scanning techniques– Utilizam combinações ilegais de flags de controle do

TCP» SYN FIN é o mais conhecido

» SYN FIN PSH, SYN FIN RST, SYN FIN RST PSH e outras variações do SYN FIN

» Pacotes apenas com o bit FIN setado

» Pacotes com todos ou nenhum flag setado

Deficiências do TCP

• TCP SYN - uso normal

ServidorHost A

SYN

SYN ACK

ACK

DADOS

Host A

Deficiências do TCP

• TCP SYN Flooding (negação de serviço)

ServidorHost A

SYN

SYN ACK

SYN

Host A

SYN

SYN

Host A

Host A

Deficiências do TCP

• TCP SYN Flooding (negação de serviço distribuída)– Várias conexões são criadas junto a um servidor

» Servidor não consegue distinguir entre conexões legítimas e falsas

Deficiências do TCP

• TCP Kill– DoS baseado em pacotes RST ACK para encerrar

conexões

Vítima

Atacante

Host ATCP

RST ACK? ?

Deficiências do TCP

• TCP Hijacking

– Possibilidade de um atacante controlar uma conexão TCP existente

» Forjar pacotes TCP

» Conhecimento do número de seqüência de uma conexão

» Ter conhecimento da conexão

Deficiências do TCP

• TCP Hijacking

Vítima

Atacante

Host ATCP

cat /etc/shadow

Deficiências do TCP

• Soluções possíveis– Regras no firewall: barrar pacotes com combinações

ilegais de flags no firewall» Overhead no firewall

– Utilizar IDSs (Intrusion Detection System): monitorar pacotes “anormais” na rede

– Redes baseadas em switch: dificultam a monitoração da rede

Deficiências do UDP

• Cabeçalho UDP

32 bits

Porta origem Porta destino

Tamanho do datagrama Checksum

Dados (se existirem)

32 bits32 bits

Porta origem Porta destino

Tamanho do datagrama Checksum

Dados (se existirem)

Deficiências do UDP

• Difícil de ser monitorado– Não é orientado a conexão

– Primeira resposta recebida normalmente é aceita

– Permite a troca de informações e comunicações ilícitas: tunelamento UDP

Deficiências do UDP

• Soluções Possíveis

– Bloquear pacotes UDP no firewall» Muito drástico

» Pacotes DNS utilizam o protocolo UDP

Negação de Serviço

• DoS, ou denial-of-service

Ping of Death Pacotes de ping com tamanho exagerado ping -l 65500 host

Teardrop Datagramas IP são fragmentados e devem ser

remontados Ataque fornece valores errados de deslocamento

(valores muito grandes, valores negativos) Variações: newtear, bonk, boink

Negação de Serviço

• DoS, ou denial-of-service

Nestea Ataque de fragmentação, informando tamanhos errados

Sesquipedalian Ataque de fragmentação (primeiro fragmento de

tamanho zero) Saturação da cache de roteamento Após 4096 ataques, cache satura Nenhuma nova conexão é aceita

Negação de Serviço

• DoS, ou denial-of-service

Syn Flood Cliente envia SYN Servidor responde com SYN/ACK Cliente não responde mais Conexão cai por “time-out” Tempo entre 75 segundos a 23 minutos Ataque funciona com um pacote SYN por segundo

Negação de Serviço

• DoS, ou denial-of-service

Smurf Attack Envio de requisições de ping em broadcast, com

endereço fonte falsificado Exemplo: ICMP ECHO para x.y.z.255, a partir da vítima

x.y.z.k Todas as máquinas da sub-rede (amplifying network)

respondem para a máquina vítima

Variação: fraggle Usa porta 7 UDP - echo em vez de ICMP

Negação de Serviço

• DoS, ou denial-of-service

Octopus Abre o maior número possível de conexões na

máquina alvo Desvantagem: Requer conexões abertas no atacante

Coke: ataca WINS (Windows Internet Name Service) Pepsi: UDP flood Jolt: fragmentos super-dimensionados para Windows

9x

Negação de Serviço

• Impedir ataques de negação de serviço é quase impossível

• Toda máquina que aceita conexões do mundo externo é passível de ser atacada

• Distribuir os serviços para a maioria permanecer operacional

• Providenciar recursos suficientes para que o sistema continue funcionando mesmo com carga extrema

• Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema

Protocolos de Aplicação

• Utilizam os protocolos das camadas inferiores

• Possuem as mesmas deficiências– DNS (Domain Name System)

– Telnet

– FTP (File Transfer Protocol)

– SMTP (Simple Mail Transfer Protocol)

– POP (Post Office Protocol)

Deficiências do DNS

• DNS (Domain Name System) – Implementa uma base de dados distribuída com a

finalidade de traduzir nomes em endereços IP e vice-versa

– Utiliza basicamente o protocolo UDP, podendo também utilizar o protocolo TCP

Deficiências do DNS

• DNS não foi projetado para ser um protocolo seguro

– Não se tem como verificar a veracidade da resposta de retornada por um servidor de DNS

– O fato de utilizar preferencialmente o UDP facilita ataques

» DNS Spoofing

» DNS Cache Poisoned

Deficiências do DNS

• DNS Spoofing

Vítima

Atacante

www.ufrgs.br

Servidor DNS

Internet

www.ufrgs.br?!

www.ufrgs.br = IP atacante

X

Deficiências do DNS

• DNS Cache Poisoned

Atacante

Servidor DNS

Internet

Vítima www.ufrgs.br

www.ufrgs.br?!

www.ufrgs.br = IP atacante

IP atacante

Protocolos de Aplicação

• Telnet– Permite acesso remoto a outras máquinas

– Utiliza o protocolo TCP» Vulnerável as deficiências do protocolo TCP

» Nome e senha transmitidas em claro

» Dados da sessão transmitidos em claro

Protocolos de Aplicação

• SMTP (Simple Mail Transfer)– Protocolo utilizado para transferir mensagens de

correio eletrônico

– Utiliza o protocolo TCP» Vulnerável as deficiências do protocolo TCP

» Dados transmitidos em claro

» Autenticação fraca

Protocolos de Aplicação

• SMTP– HELO <transmissor>

– MAIL FROM:<remetente>

– RCPT TO:<destinatário>

– DATA

– QUIT

Protocolos de Aplicação

• POP (Post Office Protocol)– Permite recuperar mensagens em sistemas de

arquivos remotos (servidor de e-mail)

– Utiliza o protocolo TCP» Vulnerável as deficiências do protocolo TCP

» Exige autenticação

» Nome e senha transmitidos em claro

» Dados transmitidos em claro

Protocolos de Aplicação

• POP– USER <usuário>

– PASS <senha>

– LIST

– RETR <número mensagem>

– DELE <número mensagem>

– QUIT

Protocolos de Aplicação

• Soluções Possíveis

Uso de criptografia!

Uso de serviços seguros