Tipos de Ataques

1
Tipos de Ataques
Luiz Kacuta Luiz Romero Viviane Oliveira
2
Plano de Trabalho

• Agenda
• Motivação
• Porque atacar?
• Quem são os atacantes?
• O que os ataques exploram?
• Qual o impacto para a organização?
• Tipos de Ataques
• IP Spoofing
• Buffer overflow
• Seqüestro de Sessão
• Denial of Service
• Intrusion Detection System

• Objetivo
• Obter entendimento básico sobre o funcionamento
  dos tipos de ataques mais comuns.

3
Motivação

• 90 das empresas detectaram falhas de segurança
  no sistema, entre abril 2002 e abril 2003
• 80 das empresas admitiram ter sofrido perdas
  financeiras
• 44 (223 dos entrevistados) relataram perdas
  financeiras no montante de 455.848.000
• perdas financeiras mais significativas ocorreram
  com o roubo de informações privadas (26 empresas
  acusaram perdas de 170.827.000) e fraudes
  financeiras (25 empresas acusaram perdas de
  115.753.000)
• pelo quinto ano consecutivo, a maioria das
  empresas (74) citou a conexão Internet como o
  ponto mais freqüente do ataque.
• somente 61 das empresas utilizam Intrusion
  Detection Systems.
• Fonte Computer Security Institute

4
Porque atacar?

• Curisiodade
• Diversão
• Obtenção de ganhos financeiros
• Espionagem industrial
• Vingança (ex-funcionários, funcionários
  descontentes)
• Desafio

5
Quem são os atacantes?

• Hackers
• Crackers
• White hat (hacker ético)
• Funcionários insatisfeitos
• Ex-funcionários, ex-prestadores de serviço
• Segurança é um problema social, não somente
  tecnológico

6
O que os ataques exploram?

• Bugs no desenvolvimento
• Senhas fracas
• Mau uso de ferramentas/serviços legítimos
• Configuração inadequada de recursos
• IDS mau implementado
• Ferramentas existentes vão proteger somente
  contra os ataques conhecidos

7
Qual o impacto para a organização?

• Vazamento de informações confidenciais
• Modificação indevida de dados
• Indisponibilidade de serviço
• Fraude, perdas financeiras
• Reputação prejudicada
• Perda de negócios, clientes e oportunidades
• Algumas perdas são irreversíveis

8
Tipos de AtaquesIP SpoofingBuffer
OverflowSeqüestro de SessãoDenial of Service
9
IP Spoofing - Definição
O IP spoofing é uma técnica na qual o endereço
real do atacante é mascarado, de forma a evitar
que ele seja encontrado. A manipulação do
endereço é feito diretamente nos campos do
cabeçalho do pacote.
10
IP Spoofing - Como é feito?

• Exemplo 01

11
IP Spoofing - Como é feito?

• Exemplo 02

12
IP Spoofing - Formas de exploração

• Alteração básica de endereço nas configurações da
  rede
• Utilização do roteamento de origem
• Exploração da relação de confiança

13
IP Spoofing - Medidas Preventivas e Corretivas

• Limitar o acesso as configurações da máquina
• Utilizar filtros ingress e egress
• Desabilitar o roteamento de origem e
• Não utilizar relação de confiança nos domínios
  Unix.

14
Buffer Overflow - Definição
O ataque buffer overflow funciona inserindo
muitos dados dentro da pilha de memória, o que
causa que outra informação que está na pilha seja
sobrescrita. Condições de buffer overflow podem
geralmente resultar - execução de códigos
arbitrários nos sistemas - modificação de dados
e/ou perda de informações - perda da controle
do fluxo de execução do sistema.
15
Buffer Overflow - Como é feito?
Exemplificação
16
Buffer Overflow - Medidas Preventivas e
Corretivas

• Revisão nos códigos fonte
• Aplicação de patches
• Alocação aleatória dos buffers de memórias,
  produto SECURED, da MEMCO
• Execução de sistemas com o menor privilégio
• Utilização de IPS - Intrusion Prevention System.

17
Buffer Overflow - Ataques Conhecidos

• Ping of Death
• Ataques aos sites de leilões eBay (instalação de
  um executável para captura de senhas)

18
Seqüestro de Sessão - Definição

• Sequestro de sessão é o processo de tomar posse
  de uma sessão ativa existente.
• Também classificado como um ataque man in the
  middle.

19
Seqüestro de Sessão - Como é feito?

• Atividades necessárias para seqüestro da conexão
• - Encontrar o alvo
• - Encontrar uma sessão ativa
• - Executar a predição da sequência que são
  trocadas entre as máquinas
• - Tornar o computador offline
• - Assumir a sessão
• Tipos de seqüestro
• - Ativo
• - Passivo
• - Híbrido

20
IP Spoofing x Seqüestro de Sessão
IP Spoofing
Seqüestro de Sessão
21
Seqüestro de Sessão - Medidas Preventivas e
Corretivas

• Utilização de criptografia
• Utilização de um protocolo seguro
• Limitar o número de conexões entrantes
• Minimizar acesso remoto
• Adotar autenticação forte (menos efetivo)

22
Denial of Service - Definição
Os ataques de negação de serviço (Denial of
Service) fazem com que recursos sejam explorados
de maneira agressiva, de modo que usuários
legítimos ficam impossibilitados de utilizá-los,
por estarem indisponíveis, ou por terem tido sua
performance extremamente reduzida.
23
Denial of Service - Como é feito?
Existem diversos formas de efetuar o Denial of
Service, será escopo desse trabalho - SYN
Flooding - Fragmentação IP
24
Denial of Service - SYN flooding
Explora o mecanismo de estabelecimento de conexão
do TCP.
Ações preventivas - comparação das taxas de
requisição e conexões em aberto - monitorar
número de seqüência (faixa específica) -
estabelecer time out da conexão - aumentar a fila
de conexões
25
Denial of Service - Fragmentação IP

MTU quantidade máxima de dados que podem passar
em um pacote por meio físico. Overflow da pilha
TCP no momento do reagrupamento dos pacotes.
26
Distributed Denial of Service - DDOS
Diversos hosts sendo atacados simultaneamente Ata
que de difícil contenção
27
Denial of Service - Medidas Preventivas e
Corretivas

• Design robusto e efetivo da rede
• Limitar a largura de banda
• Manter os sistemas atualizados
• Executar a menor quantidade de serviços ativo
• Permitir somente o tráfego necessário
• Bloquear o endereço IP

28
Intrusion Detection System - IDS
29
Estratégias de Defesa
Agenda Trinômio da Segurança IDS - Síndrome da
Bala de Prata Conceitos Estratégias de
Prevenção IDS x IPS Topologia de uma
solução Política para DOS - Denial of
Service Eventos de Intrusão Eventos
Avaliados Outros Ataques Lógica de
Funcionamento Conclusão

• Objetivos
• Descrever o funcionamento de IDS para os
  ataques descritos.

30
Trinômio da Segurança

• Prevenção
• Criptografia,
• Firewall,
• Vulnerabilidade
• Monitoração
• IDS
• Syslog Server
• Reação

31
IDS - Síndrome da Bala de Prata

• Intrusion Detection System
• A solução de todos os problemas de
  segurança

32
Conceitos

• Problemas de Gerenciamento IDS
• Altissima interação e constante monitoração.
• Complexidade a detecção,monitoramento e respostas
  a incidentes.
• Falso Positivos (avalanche de informações
  imprecisas)
• Integração com todo ambiente

33
Conceitos

• Problemas de Gerenciamento IDS

34
Estratégias de Prevenção

• Melhores práticas para gerenciar o IDS
• Riscos, Ameaças e Vulnerabilidade
• Politica de Segurança
• Estratégia de Implementação do IDS
• Auditória e Teste.

35
IDS x IPS

• Solução integrada capaz de gerenciar
  dinamicamente os ataques e automaticamente gerar
  uma ação.

36
Topologia de uma solução

37
Política para DOS - Denial of Service

38
Eventos de Intrusão

39
Eventos Avaliados

40
Outros Ataques

41
Eventos Avaliados

42
Eventos Avaliados

43
Lógica de Funcionamento

44
Conclusão
Cada vez mais torna-se evidente que nem
tecnologia, nem políticas isoladas podem
realmente oferecer proteção para sua
organizaçãoas organizações que querem sobreviver
necessitam desenvolver uma abordagem abrangente
em relação a segurança da informação, a qual deve
combinar pessoas, tecnologia e processo.
45
Obrigado!
Luiz Kacuta Luiz Romero Viviane Oliveira