segurança na era internet: como open-source ajuda a detectar ameaças, defender ataques e...

8/9/2019 Segurança na era Internet: como open-source ajuda a detectar ameaças, defender ataques e recuperar-se de invasões

http://slidepdf.com/reader/full/seguranca-na-era-internet-como-open-source-ajuda-a-detectar-ameacas-defender 1/39

Um pouco de historia Seguranca na era Internet Seguranca com Open Source Mandriva Linux Conclusoes

Seguranca na era Internet: como open-source

ajuda a detectar ameacas, defender ataques e

recuperar-se de invasoes.

Evgueni [email protected]

1 / 3 9

http://find/

http://goback/




Evolucao da computacao

Um pouco de historia

Evolucao da Internet:1950: mainframes, terminais interconectados.1960: primeiros computadores, redes logicas, Arpanet,surgimento de UNIX, ...1970: computadores comerciais, redes publicas, e-mail, BBS,

X.25, redes interconectadas, ...1980: computadores pessoais, TCP/IP, Internet, HTML, ...1990: computadores portateis, HTTP, Netscape, celulares, ...2000: notebooks, netbooks, MMORPG, Google, redes 3G, ...2010+: cloud computing, ubiquidade.

2 / 3 9

http://find/

http://goback/





Evolucao de computadores

Evolucao de hardware:Ambientes de MainframeComputadores pessoais / DesktopsComputadores portateis / notebooks e netbooksCelulares, tablets, smartphones, ...

Evolucao de software / sistemas operacionais:Ambientes locais: ms-dos, OS/2, Windows 3.11, primeirasdistribuicoes LinuxAmbientes locais compatıveis com a Internet: Windows 95,NextStep, Mac OS, ambientes KDE, Gnome

Ambientes voltados para Internet: Windows 7, Mac OS X,KDE 4, Gnome 2, Google Chrome OS

3 / 3 9

http://find/

http://goback/





Tendencias

Internet, conectividade e Cloud computing:Recursos localizados “em algum lugar na nuvem (Internet)”Recursos acessıveis de qualquer lugar e com qualquer aparelhoComputadores pessoais funcionam apenas como meio deacesso a Internet

Quake Live, Gmail, Google Docs, Google Wave, WindowsLive, ...

Internet realmente se tornou a rede global .

Com isso, os computadores e redes como conhecemos hojevao deixar de existir?

NAO!Redes locais e corporativasComputadores pessoaisSalas de aulaLan houses

etc4 / 3 9

U d hi ´ i S I S O S M d i Li C l ˜

http://find/

http://goback/




Seguranca

E a seguranca?

Pergunta essencial: como garantir a seguranca?Prevencao: prevenir-se de possıvel problemas antecipadamenteDeteccao: detectar invasoes, ataques ou usuarios maliciososRecuperacao: voltar o ambiente ao estado funcional,detectando e fechando brechas de seguranca

Como abordar tudo isso?Solucoes fechadas: alto custo, dependencia do fornecedor, naose sabe exatamente como funciona, precisa de suportededicado.Solucoes abertas: custo zero (*), possibilidade de expansao,

integracao e modificacao completa, customizacoes,comunidade.

5 / 3 9

U d hi t´ i S I t t S O S M d i Li C l ˜

http://find/

http://goback/




Entendendo vulnerabilidades

Ameacas

Como classificar ameacas?Quanto a abrangencia:

Local, Rede local, Remoto

Quanto a complexidade:Complexidade alta, media, baixa

Quanto a autenticacao:Nenhuma, unica, multiplas

Quanto a confidencialidade:Nenhuma, parcial, completa

Quanto a integridade:Nenhuma, parcial, completa

Quanto a disponibilidade:Nenhuma, parcial, completa

Combinacao das caracterısticas de ameacas e denominada de“vulnerability vector”.

Necessidade de um padrao!6 / 3 9


http://find/

http://goback/





Detectando vulnerabilidades

CVE: Common Vulnerabilities and Exposures(http://cve.mitre.org)

Base de dados sobre todas as vulnerabilidades conhecidasPadrao de descricao e notificacao sobre vulnerabilidades

7 / 3 9


http://find/

http://goback/






Notificacoes dos fornecedoresMDVSA: Mandriva Security Advisory

ex: MDVSA-2009:294 – Security Advisory for Mozilla Firefox

RHSA: RedHat Security Advisory

ex: RHSA-2010:0046 – Important: kernel security and bug fix

updateDSA: Debian Security Advisory

ex: DSA-2038-1 – Debian Security Advisory for pidgin

SUSE Security Announcement

ex: SUSE-SA:2008:004 – SUSE Security Announcement:

php4, php5Gentoo Linux Security Advisory

ex: GLSA 201003-01 – sudo: Privilege escalation

E (quase) todos os demais.

8 / 3 9


http://find/

http://goback/






OSVDB: Open Source Vulnerability DatabaseBase de dados global sobre vulnerabilidades em aplicacoes esistemas open-sourcehttp://osvdb.org

Oss-Security: Open Source Security wiki and mailing list

Site central de seguranca para aplicacoes open-source, e listade discussao sobre ameacas recenteshttp://oss-security.openwall.org

BugTraq: The premier general security mailing listMaior lista de emails do mundo sobre seguranca, falhas em

aplicacoes, etchttp://seclists.org/bugtraq/

Full Disclosure: forum for disclosure of security informationForum de discussao sobre seguranca, ponto de encontro depessoas que seguem a filosofia “full disclosure”.

http://seclists.org/fulldisclosure/9 / 3 9


http://find/

http://goback/





Resumo

Na era Internet, a propria Internet e grande aliada paraencontrar informacoes sobre ameacas e falhas de seguranca

Antes prevenir que remediar.

10/39


http://find/

http://goback/



p g ¸ g ¸ p

Open Source para seguranca?

Como detectar vulnerabilidades?

Como detectar vulnerabilidades no seu servidor? no seu PC?na sua rede?

Alternativa 1: comprar alguma solucao de segurancaproprietaria e torcer para ela funcionar.Alternativa 2: free/open source.

E o que vamos ver daqui para frente!

11/39


http://find/

http://goback/



p g ¸ g ¸ p

Detectando ameacas


Nessus: ambiente para verificacao de falhas, vulnerabilidades econfiguracoes inseguras.

Suporta milhares de testes para encontrar diversasvulnerabilidades.As primeiras versoes foram open-source, entretanto, Nessus 3 e

Nessus 4 sao comerciais e fechados.http://nessus.org/

12/39


http://find/

http://goback/



Detectando ameacas


OpenVas: fork do Nessus, com licenca open-sourceSuporta maioria das funcionalidades de Nessus.Desenvolvimento muito mais lento.http://www.openvas.org

13/39


http://find/

http://goback/



Detectando ameacas


NMAP: mapeamento de redesMapeamento de redes, determinacao remota do SO instalado,aplicacoes e suas versoes, portas disponıveis, ...Open-sourcehttp://nmap.org

14/39


http://find/

http://goback/



Detectando ameacas


Vulnerabilidades no acessoConfiguracoes wireless inseguras

AirCrack (http://www.aircrack-ng.org/)Possibilita quebrar senhas de redes sem fio baseadas em WEPe WPA-PSK.

Senhas fracasJohn the Ripper, l0phtCrack, THC Hydra, Pwdump, ...http://sectools.org/crackers.html

Exploits e ferramentas de teste de seguranca

Metasploit (http://www.metasploit.com/)ExploitDB (http://www.exploit-db.com)Bases de dados com milhares de exploits prontos, para testar aseguranca de sistemas

...entre muitos outros.

15/39


http://find/

http://goback/



Detectando ameacas


Finalidade das ferramentas:Administradores: verificar vulnerabilidades nos servidores,computadores, pontos de acesso indevidos, configuracoesincorretas.Hackers: identificar pontos de falha para facilitar invasoes.

Qual e a solucao?Prevencao!

16/39


http://find/

http://goback/



Prevencao

Prevencao

Como detectar atividades suspeitas?Analisar os logs de acessoArmazenar logs em maquinas diferentes, para evitar forjamentoConfigurar firewall para avisar de conexoes suspeitasAdotar solucoes para busca de vulnerabilidades comuns

Verificar o estado e a integridade das aplicacoes instaladas,periodicamenteUtilizar mecanismos de hardware para garantir a integridade dedadosFerramentas completas: Intrusion Detection Systems, IDS

etc

Vamos ver com mais detalhes..

17/39


http://find/

http://goback/



Prevencao

Analise de logs

Existem inumeras ferramentas para analise de logs.Logs de firewall: webfwlog, psad, iptables log analyser, webminbandwidth module, ...Logs de proxy: sarg, calamaris, webalizer, SCALAR, ...Logs de acesso: msec, sectool, ossec, fail2ban, syslog, ...

18/39


http://find/

http://goback/



Prevencao

Armazenamento e verificacao de logs

As ferramentas presentes em sistemas operacionais UNIXpermitem armazenar os logs do sistema em diversas maquinas

Syslog, rsyslog, syslog-ng..

Solucoes para armazenar, processar e gerenciar arquivos delogs:

Rotacao periodica e analise automatica de logs: logrotate,logwatch

19/39


http://find/

http://goback/



Prevencao

Protecao preventiva

Deteccao de atividades suspeitas e proibicao automatica deacesso

Fail2ban, DenyHosts, Stockade, ...Analise automatica e preventiva de acessos ao sistemaDeteccao e restricao de acessos suspeitos

20/39


http://find/

http://goback/



Prevencao

Protecao preventiva

Busca por vulnerabilidades comunsChkrootkit, RkhunterFerramentas para deteccao de rootkits mais comuns

21/39


http://find/

http://goback/



Prevencao

Protecao preventiva

Verificacao periodica do sistemaMSEC, SectoolFerramentas para verificacao periodica do sistema,encontrando arquivos com permissoes inseguras, contas semsenha, portas de rede suspeitas, e outras brechas de seguranca

22/39


http://find/

http://goback/



Prevencao

Deteccao de intrusoes

IDS: Intruder Detection SystemSNORT, Untangle: ferramentas completas para detectaratividades suspeitas e tomar medidas preventivasHoneypots (honeypot, honeyd, mwcollect, honeywall):ferramentas para criacao de sites falsos para detectar e

observar os intrusos

23/39


http://find/

http://goback/



Prevencao

Protecao no nıvel de hardware

TPM (Trusted Platform Module), LaGrandeSolucao de hardware e software, utilizada para garantir aseguranca de dadosPrevencao de modificacoes a dados do sistema, boot comsistema adulterado, roubo de equipamentos, ...

24/39


http://find/

http://goback/



Prevencao

Recuperacao de falhas

Como recuperar-se de invasoes, ataques, ...?Computacao forense: uso de metodos cientıficos parapreservacao, coleta, validacao, identificacao, analise,interpretacao, documentacao e apresentacao de evidenciadigital.Descobrir quem, quando e como fez o ataque.Identificar falhas de seguranca utilizadas no ataque para evitarocorrencias futuras.

Como usar Open Source para isso?Uso de Live-CD para analise forense (Mandriva ONE, DEFTLinux, Live CDs de Linux em geral)

Ferramentas para recuperacao de evidencias (foremost,extundelete, dd, ...)

Qual e o desafio?E necessario conhecer a fundo o sistema operacional,ferramentas existentes, e detalhes de funcionamento para

recuperar os detalhes.. 25/39


http://find/

http://goback/



Prevencao

Recuperacao de falhas

Solucoes de backupBackup remoto (Bacula, Amanda, Mondo, ...)Permitem fazer backups das maquinas em diversos locais,armazenar diversas imagens do sistema, identificar e recuperararquivos alterados..

“Existem dois tipos de pessoas: as que ainda nao fazembackups, e as que ja fazem”

26/39


http://find/

http://goback/



Prevencao

Resumo

Existem solucoes open-source para seguranca?SIM.

Porque usar open-source?

Independencia de fornecedores (o codigo e aberto)Custo zero (o codigo e aberto e distribuıdo gratuitamente)

Possibilidades infinitas para expansao e integracao...mas e necessario aprender a usar para ter eficiencia.

Quando nao e bom usar open-source?

Solucoes comerciais muitas vezes tem melhor suporte eatendimento..

Solucoes comerciais tem equipes de desenvolvimentodedicadas.

A resposta mais correta seria “tudo depende”...

27/39


M d i Li

http://find/

http://goback/



Mandriva Linux

Mandriva Linux

Como abordar a seguranca no contexto de uma distribuicaoLinux?

Mais especificamente, como Mandriva Linux trata questoes deseguranca nos seus produtos?

28/39


M d i Li

http://find/

http://goback/



Mandriva Linux

Um pouco de historia..

Mandriva LinuxConectiva Linux (1995): empresa pioneira de Linux no Brasil ena America LatinaMandrakeSoft (1998): empresa pioneira de Linux na FrancaEm 2005: fusao das duas empresas.

Mandrake + Conect

iva=

Mandriva

29/39


Mandriva Linux

http://find/

http://goback/



Mandriva Linux

O que e Mandriva Linux?

Uma distribuicao Linux completa, que abrange todas as areasda computacao:Desktops:

Mandriva Linux Free – distribuicao Linux 100% open-sourceMandriva Linux One – distribuicao Linux baseada em live-cd,com suporte completo a todos os hardwaresMandriva Linux Powerpack – versao paga, que traz de brindediversas ferramentas de codigo fechado

30/39


Mandriva Linux

http://find/

http://goback/



Mandriva Linux


Uma distribuicao Linux completa, que abrange todas as areasda computacao:Notebooks:

Mandriva Flash – uma distribuicao Linux que cabe em umpen-driveMandriva InstantOn – uma distribuicao Linux otimizada, que

inicia em instantes

31/39


Mandriva Linux

http://find/

http://goback/



Mandriva Linux


Uma distribuicao Linux completa, que abrange todas as areasda computacao:Servidores:

Mandriva Enterprise Server 5 – distribuicao Linux voltada paraservidores, com 5 anos de suporte e ferramentas exclusivas deconfiguracao do ambiente.

32/39


Mandriva Linux

http://find/

http://goback/



Mandriva Linux


Porque Mandriva Linux?Mais de 3,000,000 de usuarios.Mais de 20,000 pacotes de softwareFerramentas unicas para configuracao do hardware e software

33/39


Mandriva Linux

http://find/

http://goback/




Porque Mandriva Linux?Mais de 10 anos no mercado“Mandriva: the friendly face of Linux”

http://www.mandriva.com/

34/39


Seguranca no Mandriva Linux

http://find/

http://goback/



g


Voltando ao assunto da palestra.. como Mandriva trataseguranca nos seus produtos?

Protecao de ataques remotos: acesso a todos os servicos econfiguravel por ferramenta grafica e restrito por padrao.Protecao do sistema: central de seguranca (MSEC, MandrivaSecurity Center), que permite configurar todos os aspectos deseguranca do sistema e realizar verificacoes periodicas.Atualizacao do sistema: MDVSA (Mandriva SecurityAdvisories) e MDVA (Mandriva Bugfix Advisories)

Mais de 40 mil pacotes atualizados por questoes de segurancaem 2009

Ferramentas de segurancaMantem diversas ferramentas de seguranca nos repositorios,para todas as versoes de Mandriva LinuxProcura manter um balanco entra facilidade de uso eseguranca do sistema sempre que for possıvel.

35/39



http://find/

http://goback/




Como atualizacoes funcionam no Mandriva Linux?QATeam – equipe de testes de qualidade, responsavel porvalidar todas as atualizacoes de pacotes.SecTeam – equipe de seguranca, responsavel por assinarcriptograficamente todos as atualizacoes de pacotes, identificare corrigir falhas de seguranca nos produtos.

Como as questoes de seguranca sao tratadas?

Falhas de seguranca sao identificadas por meio das notificacoesCVE

Vulnerabilidades sao corrigidas por meio de patches , de forma

a preservar a funcionalidade das aplicacoes ao maximo.Em casos extremos, quando nao e possıvel desenvolver umpatch, as aplicacoes sao atualizadas para versoes mais recentes.Todas as informacoes sobre vulnerabilidades sao confidenciaisate que as aplicacoes afetadas sao corrigidas.

36/39



http://find/

http://goback/



Mandriva Linux

Descubra voce mesmo!http://www.mandriva.com/

37/39


http://find/

http://goback/



Seguranca

Seguranca do sistema e um processo contınuoFalhas de seguranca sao encontradas continuamenteE necessario ficar atento aos sites de seguranca para manter-seseguroUpdates de seguranca realmente sao importantes!

Principais pilares de seguranca:Identificacao de vulnerabilidadesLocalizacao de vulnerabilidadesRecuperacao

Os tres topicos sao essenciais.

38/39


http://find/

http://goback/



Perguntas?

Perguntas?

39/39

http://find/

http://goback/

segurança na era internet: como open-source ajuda a detectar ameaças, defender ataques e...

Documents