sds - vulnerabilidades e ataques

VULNERABILIDADES E POSSIBILIDADES DE ATAQUEEmilio Tissato [email protected] [email protected]

I SdS - Vulnerabilidades e Ataques

10/05/02

Emilio Tissato Nakamura

O qu? Aquele site foi atacado?

Ataques de hackers cada vez mais sofisticados resultam em impactos cada vez maiores para as vtimas ... .. Mais do que sofisticados, os ataques podem ser executados por qualquer hacker


10/05/02


O que iremos discutir hojeOs ataques mais conhecidos A motivao e as conseqncias de um ataque A evoluo da tcnica utilizada pelos hackers Como uma invaso torna-se possvel Tendncias de ataques Cenrios para o futuro Segurana da informao


10/05/02


Um ataque clssico9 de agosto de 1999 Kevin Mitnick condenado a 46 meses de priso por crimes relativos a 2 anos e meio de hacking Pego em fevereiro de 1995 e condenado por fraude eletrnica, fraude de computadores e interceptao ilegal de comunicao eletrnica. O mais procurado criminoso de computadores


10/05/02


Um ataque clssicoNa corte, ele admitiu a invaso a diversos sistemas e roubo de softwares proprietrios de empresas como a Motorola, Novell, Fujitsu, Sun Microsystems

Telefones clonados + engenharia social + sniffers + ferramentas hackers Invadiu sistemas do University of Southern California para armazenar softwares roubados.


10/05/02


Um ataque clssicoRoubou e-mails, monitorou sistemas e impersonou funcionrios de empresas como a Nokia Mobile Phones (junto com De Payne, tentou fazer com que um software de US$ 240 mil fosse enviado a Southern California) Libertado em 21 de janeiro de 2000, aps 5 anos de priso.


10/05/02


Um ataque clssicoO ataque contra Shimomura - 2 tcnicas utilizadas IP Spoofing Seqestro de conexo (Session Hijacking) via Sequence Number Prediction


10/05/02


Um ataque clssicoPasso 1 verificar a relao de confiana entre os 3 equipamentos:

alvo # finger -l @target # finger -l @server # finger -l root@server # finger -l @x-terminal # showmount -e x-terminal # rpcinfo -p x-terminal # finger -l root@x-terminal

servidor

x-terminal


10/05/02


Um ataque clssicoPasso 2 SYN Flooding no servidor, usando IP Spoofing:

Vrias solicitaes de conexo (SYN) na porta 513 alvo servidor

Mitnick

x-terminal


10/05/02


Um ataque clssicoHandshake do TCP e SYN Floodingcliente SYN seq=x servidor Vrios pacotes SYN -> fila das conexes do servidor cheia -> SYN Flooding

SYN seq=y, ACK x+1

ACK y+1

conexo estabelecidaI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Um ataque clssicoPasso 3 Estudar o comportamento do nmero de seqncia do x-terminal:apollo.it.luc.edu > x-terminal: S 1382726990 x-terminal > apollo.it.luc.edu: S 2021824000 ack 1382726991 apollo.it.luc.edu > x-terminal: R 1382726991 apollo.it.luc.edu > x-terminal: S 1382726991 x-terminal > apollo.it.luc.edu: S 2021952000 ack 1382726992 apollo.it.luc.edu > x-terminal: S 1382726992 x-terminal > apollo.it.luc.edu: S 2022080000 ack 1382726993

Comportamento do x-terminal: acrscimo de 128.000I SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Um ataque clssicoPasso 4 Abusar da relao de confiana entre o xterminal e o servidor:Mitnick, como se fosse o servidor SYN seq=x x-terminal servidor

SYN seq=y, ACK x+1

ACK y+1

conexo estabelecidaI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Um ataque clssicoO ataque:Ataque ao x-terminal IP Spoofing Mitnick SYN Flooding alvo

servidor Sequence Number Prediction

x-terminalI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Nmero de ataques aumentandoIncidentes reportados ao CERT/CC16,000 15,000 14,000 13,000 12,000 11,000 10,000 9000 8000 7000 6000 5000 4000 3000 2000 100016,000

8268

3734 2340 132 252 406 773 2412 2573 2134

6

1989

1990

1991

1992

1993

1994 1995

1996

1997

1998

1999

2000


10/05/02


Por que o aumento significativo? (1)Estamos na Era da Informao Exploso da Internet e do comrcio eletrnico Rpida adoo da tecnologia por todos Milhares de vulnerabilidades nas tecnologias Falta de maior preocupao com a segurana Falta de leis especficas Escopo internacionalI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Por que o aumento significativo? (2)Democratizao do hacking Mais de 30.000 sites orientados a hackers A tica hacker original no persistiu Atualmente no necessrio ser um guru Possibilidade de fazer download de programas de hacking com interface grfica Advento do hacktivismo como protesto poltico e socialI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Por que o aumento significativo? (3)


10/05/02


Por que o aumento significativo? (4)


10/05/02


Por que o aumento significativo? (5)Motivao para o hacking Dinheiro Curiosidade Experimentos e desejo de aprender Mentalidade bandida Necessidades psicolgicas e emocionais Vingana e razes maliciosas Necessidade de colocar a vtima em maus lenis Espionagem industrialI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Por que o aumento significativo? (6)Tcnicas de ataques cada vez mais sofisticadas Exemplos? Casamento de tcnicas de hacking com tcnicas de vrus -> alto poder de disseminao


10/05/02


As tcnicas de ataqueAtaques no nvel de rede SYN Flooding, ICMP Flooding, UDP Flooding IP Spoofing Seqestro de conexes Fragmentao de pacotes Smurf, Fraggle, Pepsi Land, Teardrop Sniffing Port Scanning FirewalkingI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Smurf e Fraggle

Hacker

IP Spoofing, como se o alvo requisitasse a resposta

alvo Todos da rede enviam as respostas da requisio para o alvo

Trfego multiplicado por um fator entre 50 e 200


10/05/02


As tcnicas de ataqueAtaques no nvel de servios Explora bugs e vulnerabilidades de servios Explora bugs e vulnerabilidades de SO Explora bugs e vulnerabilidades de protocolos Ataques a servios de e-mail, web, banco de dados Ataques de fora bruta a senhas Ataques do dicionrio a senhasI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

As tcnicas de ataqueOutras tcnicas de ataque Engenharia social Dumpster diving War dialing OS Fingerprinting Adivinhao de senhas (password guessing) Ataques distribudos e coordenadosI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Vulnerabilidades

Vulnerabilidade uma falha de segurana que pode ser explorada em ataques Vulnerabilidade uma condio existente em software ou hardware que pode resultar em perda de confidencialidade, disponibilidade ou integridade das informaes


10/05/02


VulnerabilidadesTipos de vulnerabilidades Senhas Compartilhamentos Confiana excessiva Buffer overflow Missing Format String Falta de checagem de parmetrosI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

VulnerabilidadesSegundo o CERT, 95% das invases so resultados de vulnerabilidades conhecidas ou de erros de configurao Segundo o CERT, a grande maioria das vulnerabilidades podem ser facilmente prevenidas


10/05/02


Internet WormNovembro de 1988 3 mtodos de disseminao Opo debug do sendmail Abuso da relao de confiana (.rhosts) Buffer overflow no finger


10/05/02


Buffer OverflowInsere um string grande em uma rotina que no checa os limites

Injeta cdigo

Cdigo de ataque

O string reescreve o endereo de retornoModifica o endereo de retorno Ataque buffer overflow

Stack frame

Endereo de retorno

O string injeta o cdigo

buffer

A funo pula para o cdigo injetado


10/05/02


Um ataque tpico

Acesso de usurio Identifica um sistema para atacar Acesso privilegiado Apaga rastros

Ataca outros sistemas

Rouba ou altera informaes

Outras atividades ilcitas


10/05/02


Ataque de negao de servio (DoS)Causa interrupo dos acessos aos recursos SYN Flooding Ping of Death Smurf


10/05/02


Ataque de negao de servio distribudo (DDoS)

Ataques coordenados, de grande impacto Primeiro ataque em 1999, quando o governo da Indonsia atacou o domnio de Timor Leste Tribe Flood Network (TFN) e trinoo (trin00) em julho de 1999 Stacheldraht em agosto de 1999 Tribe Flood Network 2000 (TFN2K) em dezembro de 1999 Uso intensivo do Stacheldraht em janeiro de 2000I SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Ataque de negao de servio distribudo (DDoS)Fevereiro 2000, grandes ataques a grandes sites


10/05/02


Ataque de negao de servio distribudo (DDoS)Como funciona um ataque DDoS?hacker

masters

daemons

vtimaI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Ataque de negao de servio distribudo (DDoS)Alto grau de evoluo IP Spoofing SYN Flooding Smurf Execuo de comandos remotos Pacotes decoy Fragmentao de pacotes Criptografia na comunicao entre o hacker e os masters ...I SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Ataque de negao de servio distribudo (DDoS)Outras ferramentas de DDoS t0rnkit Trinity Carko Abril de 2002 provedor escocs edNET 12 horas de downtime 2 links de 45 mbps saturados Outros provedores atacados em 2002: Basingstoke ISP Cloud Nine e Tiscali (Reino Unido)I SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Ciclo de explorao de vulnerabilidades


10/05/02




10/05/02




10/05/02


Muitas novas vulnerabilidades?


10/05/02


Vrus e Worms so perigosos?Prejuzos em 2001 SirCam US$ 1,15 bi Code Red US$ 2,62 bi Nimda US$ 635 mi Total em 2001 US$ 13,2 bi


10/05/02


Vrus e Worms so perigosos?SirCam Grande impacto, menos bvio do que Melissa e I Love You Menos publicidade devido ao Code Red Tcnicas avanadas de contgio, via e-mail e compartilhamento Possui um servidor de e-mail prprio Subject aleatrio, pego do arquivo do computador da vtimaI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Vrus e Worms so perigosos?Que mapa esse?


10/05/02


Vrus e Worms so perigosos?Code Red Buffer overflow do Internet Information Service (IIS) Semente esttica para o gerador de nmeros aleatrios Checa a data da vtima e gera uma lista aleatria de endereos IP para contgio Fase de infestao: 1 a 19 de cada ms De 20 a 28 de cada ms: atacar o site da Casa BrancaI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Vrus e Worms so perigosos?Nimda No revolucionrio, mas efetivo Diferentes meios de disseminao Bug do IIS E-mail, via Automatic Execution of Embedded MIME Types JavaScript CompartilhamentoI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Vrus e Worms so perigosos?Klez Desabilita o anti-vrus Bomba lgica capaz de destruir dados No preciso abrir o e-mail para o contgio Faz o spoofing de sua origem Infecta arquivos aleatrios e os envia via e-mail Servidor de e-mail prprio


10/05/02


Vrus e Worms so perigosos?Top 10 de abril de 2002 (vnunet.com)1 2 3 4 5 6 7 8 9 10 Klez.G/H Klez.E BadTrans.B Elkern.C Magistr.B Klez.A MyLife.F Magistr.A SirCam Nimda.D Others 77.8% 5.8% 4.7% 0.9% 0.8% 0.7% 0.7% 0.5% 0.5% 0.5% 7.1%


10/05/02


TendnciasAtaques distribudos, cooperados e coordenados Scanning: phpdistributedportscanner, Dscan, SIDEN Password cracking: Saltine Cracker, Mio-star DDoS Ataques no somente a servidores, mas tambm a desktops Cable modems, DSL Vrus e worms Home users e telecommutersI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

TendnciasEvoluo das ferramentas de ataque Casamento de ferramentas de ataque e virus Ferramentas mais poderosas No futuro, ferramentas como scanners, backdoors, sniffers se espalhando como vrus?


10/05/02


TendnciasPolimorfismo Fim das ferramentas de defesa baseadas em assinaturas? Focar no modelo de segurana baseado nos usurios uma boa? SSL (Secure Socket Layer) SSH (Secure Shell)


10/05/02


TendnciasEra de ouro do hacking? Adoo rpida de novas tcnicas e tecnologias, muitas delas no testadas Utilizamos algumas dessas tecnologias para a proteo da informao Grande nmero de vulnerabilidades Informaes amplamente disponveis para o aprendizadoI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

Tendncias2 cenrios Pessimista Otimista


10/05/02


TendnciasCenrio pessimista O expertise dos hackers est aumentando A sofisticao dos ataques e das ferramentas de ataque est aumentando A efetividade das invases est aumentando O nmero de invases est aumentando O nmero de usurios da Internet est aumentando (negcios e internautas)I SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

TendnciasCenrio pessimista A complexidade dos protocolos, das aplicaes e da rede est aumentando A complexidade da prpria Internet est aumentando Existem problemas de projeto na infra-estrutura da informao O ciclo de desenvolvimento e testes de software est diminuindo Softwares com vulnerabilidades, algumas repetidas, continuam a serem desenvolvidosI SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

TendnciasCenrio otimista Desenvolvimento de software com preocupao com a segurana Projetos de rede com preocupao com a segurana Segurana fazendo parte de qualquer aspecto da tecnologia, assim como a qualidade faz parte de produtos e processos


10/05/02


Referncias


10/05/02


Vulnerabilidades e Ataques OBRIGADO !!!

?DVIDAS [email protected] [email protected] SdS - Vulnerabilidades e Ataques 10/05/02 Emilio Tissato Nakamura

sds - vulnerabilidades e ataques

Documents