View
105
Download
1
Category
Preview:
Citation preview
Segurança
Raul Fernando Weber
Instituto de Informática
Univ. Federal do Rio Grande do Sul
Tipos de segurança
• Segurança Física
• Segurança Lógica– Segurança de Dados
» Integridade
» Privacidade
» Autenticidade
– Segurança de Programas
» Programas Daninhos (vírus, cavalos de Tróia, backdoors, etc)
– Segurança de Acesso
» Intrusos (humanos e digitais)
Segurança
• Segurança Lógica
• Confidencialidade– Inclui privacidade e autenticidade
– Utiliza mecanismos de controle de acesso
– Utiliza criptografia
• Integridade– Prevenção: impedir alterações
– Detecção: descobrir alterações “o mais cedo possível”
• Disponibilidade– Ataques de negação de serviço
Segurança em PCs
• Aspectos de segurança retirados no projeto
• Arquitetura aberta
• Sistema Operacional aberto
• Controle de acesso ineficaz
• Baixo custo
• Uso muito difundido
• Conhecimento disseminado
Segurança na Internet
• Início: ARPANET, 1969
• Interligação de universidades e agencias de pesquisa
• Uso acadêmico
• Pouca preocupação com segurança– Uso por especialistas
– Correio Eletrônico
– Troca de arquivos e documentos
– Acesso restrito
– Confiança mútua
– Poucos casos de má utilização
Situação atual da Internet
• Utilização para situações não previstas
• Acesso irrestrito
• Mecanismos fracos de identificação e autenticação
• Sociedade eletrônica– Utopia x Caos
– Fonte de conhecimento x Validade da Informação
– Autoestrada da Informação x Superoferta de Informação
– Código de ética não escrito
– Existência de vândalos, malfeitores, bandidos, terroristas
– Necessidade de mecanismos de defesa
Problemas de Segurança
• Atacante Passivo– Capaz de monitorar toda a transmissão
– Pode obter cópia da transmissão
– Pode reproduzir dados transmitidos
– Pode requerer equipamento sofisticado
– Fácil de ser realizado na Internet (hardware barato e software disponível)
• Atacante Ativo– Capaz de interceptar e alterar a transmissão
– Ataque do “homem no meio”
– Pode ser realizado por Engenharia Social
– Capaz de inserir dados falsos
Segurança em Computação
• Segurança é um atributo negativo
• Segurança diminui a facilidade de uso
• Segurança diminui a liberdade do usuário
• Problemas– Falta de normalização
– Falta de suporte nos sistemas de computação
– Problemas legais de exportação/importação
– Gerenciamento da segurança
– Falta de conscientização
– Problemas de engenharia social
Sistema Seguro
• Especificação segura (Política de segurança)
• Projeto seguro
• Implementação segura
• Manutenção de um estado seguro– Inicialização segura
– Execução de qualquer programa mantém estado seguro
– Fluxo de informação de acordo com a política de segurança
Política de segurança
• Promíscuo– Tudo é permitido
• Permissivo– Tudo que não é proibido é permitido
• Prudente– Tudo o que não é permitido é proibido
• Paranóico– Tudo é proibido
Ameaças a segurança
• Ataque interno x externo– Conhecimento do atacante sobre o sistema
• Ataque local x remoto– Acesso físico ao sistema
• Ataque Benigno– Cópia de informação
– Consumo de recursos (tempo de computador, espaço de armazenamento, largura de banda, etc)
• Ataque maligno– Destruição de informação/serviços
– Alteração de informação/serviços
Fases de um ataque
• Selecionar um alvo• Coletar informações sobre alvo• Lançar um ataque sobre o alvo• Destruir evidências da invasão• Obter senhas de outras contas• Obter acesso root na máquina invadida• Configurar caminhos secundários de alguns
serviços• Encontrar máquinas que confiam na máquina
invadida• Utilizar a máquina invadida como base para outros
ataques
Níveis de um ataque
• Ataque ao correio eletrônico (mail bomb)
• Suspensão de serviços (denial of service)
• Usuário local realiza leitura não autorizada
• Usuário local realiza escrita não autorizada
• Usuário remoto obtém acesso à rede local
• Usuário remoto realiza leitura não autorizada
• Usuário remoto realiza escrita não autorizada
• Usuário remoto obtém privilégios de administrador
Principais ataques
• Engenharia social
• Coleta de informação
• Varredura
• Negação de serviço
• Exploração de bugs
• Exploração de protocolos
• Sniffers
• Ataque do dicionário
• Código malicioso
Engenharia Social
• Método: enganar as vítimas, por conversa, telefone ou correio eletrônico
• Objetivos:
– Obter informações valiosas
– Obter privilégios
– Convencer a vítima a executar ações indevidas e perigosas
Engenharia Social
• Prevenção: educação e conscientização
– Não fornecer informações a estranhos
– Exigir identificação
– Escolher boas senhas
– Não executar ações sem pensar (como executar um programa anexo à uma mensagem)
Coleta de Informação
• Informações úteis (ao atacante) Sobre o domínio e seus servidores (obtida por whois e nslookup)
Sobre números IP utilizados (obtida por nslookup e traceroute)
Sobre a arquitetura das máquinas (tipo e modelo de CPU, sistema operacional)
Sobre os servidores (versões e plataforma) Sobre serviços de proteção (firewall, redes privadas (VPNs),
mecanismos de controle de acesso (ACL) Sobre acesso remoto (números de telefone, usuários autorizados) Sobre localização (endereço geográfico, conexões à Internet) Sobre usuários (nomes, cargos, funções)
Coleta de Informação
• Problema: algumas informações devem ser públicas
• Prevenção: evitar o fornecimento de informação desnecessária
• Toda a informação vital para operação deve ser obviamente fornecida, mas qualquer informação adicional deve ser suprimida
Varredura (Scanning)
• Teste sistemático dos números IP de uma organização
• Determinação dos serviços estão ativos (quais portas estão escutando)
– Varredura com ping– Consultas ICMP– Varredura de portas (strobe, udp_scan, netcat)
• Programas de varredura: COPS,ISS, SATAN, SAINT, Nessus, nmap
Varredura (Scanning)
• Prevenção: limitar o tráfego desnecessário (filtro de pacotes ou firewall)
• Bloqueio do acesso a todas as portas que não necessitem ser visíveis para a Internet
• Não ativar mais serviços em uma máquina do que o necessário (nem todo mundo precisa de sendmail ou webserver)
• Uso de programas específicos para detectar que uma varredura automática está sendo realizada
Negação de Serviço
• DoS, ou denial-of-service
• Objetivo: impedir o uso legítimo do sistema, ou “derrubar” a máquina
• Inúmeras formas
Ping of Death Teardrop Nestea Syn Flood Smurf Attack UDP Flood
Negação de Serviço
• Impedir ataques de negação de serviço é quase impossível
• Toda máquina que aceita conexões do mundo externo é passível de ser atacada
• Distribuir os serviços para a maioria permanecer operacional
• Providenciar recursos suficientes para que o sistema continue funcionando mesmo com carga extrema
• Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema
Exploração de bugs
• Explorar “furos” de implementação para obter privilégios
• Para evitar este tipo de ataque (em programas próprios)
– Utilizar boas práticas de engenharia de software
– Verificar erros comuns que podem causar grandes danos
– Não permitir estouros de buffers ou acessos fora dos limites
– Tratar falta de memória e falta de espaço em disco
– Verificar as entradas
– Implementar a lei do menor privilégio
– Não fornecer a processos mais poder do que necessitam
Exploração de bugs
• Para evitar este tipo de ataque (em programas de terceiros)
– Verificar vulnerabilidades conhecidas
– Aplicar os patches disponíveis
– Manter-se informado e atualizado
• Nenhum sistema é seguro
• Nenhum patch é perfeito
• Mas a maioria dos atacantes só sabe explorar bugs, e não criá-los
Exploração de protocolos
• Muitos são derivados de falhas no mecanismo de autenticação
– No IP spoofing, o atacante falsifica ou utiliza um endereço IP confiável
– A idéia do DNS Spoofing é subverter (envenenar) o servidor de nomes
– O Source Routing Attack se utiliza dos mecanismos de roteamento
– Um ataque ao RIP (Routing Informatin Protocol) consiste no envio de informações de roteamento falsas
– No ICMP (Internet Control Message Protocol) as mensagens ICMP mais exploradas são redirect e destination unreachable
Sniffer
• sniffing - interface de rede que opera modo promíscuo, capturando todos os pacotes
• É fácil para um sniffer obter username e password dos usuários
• Utilização de sniffer é difícil de ser detectada
• Medidas contra sniffer requerem o uso de hardware específico, ou aplicativos que utilizem criptografia
Ataque do dicionário
• Um dos arquivos mais cobiçados por atacantes é o de senhas
• Unix: /etc/passwd• Windows: *.pwl• Windows NT: SAM• Senhas não são armazenadas na forma de um
texto normal, mas sim são cifradas através de um algoritmo unidirecional (hash), não reversível
• Para impedir que usuários com a mesma senha tenham o mesmo hash, utiliza-se um identificador único para o usuário (salt)
Ataque do dicionário
• Na autenticação (login), o hash é novamente gerado a partir da senha fornecida pelo usuário
• Se o resultado é igual ao hash armazenado, o usuário é autenticado
• Pessoas utilizam senhas facilmente memorizáveis, como nomes próprios ou palavras de uso corriqueiro
• Neste fato se baseia o ataque do dicionário• O atacante compõe um dicionário e experimenta
todas as palavras deste dicionário contra o hash armazenado no arquivo de senhas
Ataque do dicionário
• Vários programas disponíveis (Crack, etc)
• Ação preventiva: atacar o próprio arquivo de senhas
• Não utilizar senhas derivadas de palavras e nomes
• Utilizar letras iniciais de frases ou palavras com erros
Código Malicioso
• Vermes (via redes)– Verme da Internet (1988)
• Cavalos de Tróia (não se propagam)– Falsa tela de Login
– Falsa Operação
• Vírus– Vírus de Boot (bootstrap)
– Vírus de Arquivo (executáveis)
– Vírus de Macro (MS Word)
• Backdoors
• Controle Remoto (Netbus, Back Orifice)
Código Malicioso
• Prevenção: Monitores
• Detecção: Verificadores de Integridade
• Identificação: Reconhecedores de vírus e código daninho
• Impossível tratamento exato e confiável
• Manter anti-vírus atualizado
• Preparar procedimento de emergência
• Preparar procedimento manual
Medidas de segurança
• O que se está querendo proteger?
• O que é preciso para proteger?
• Qual a probabilidade de um ataque?
• Qual o prejuízo se o ataque for bem sucedido?
• Implementar procedimentos de segurança irá ser vantajoso no ponto de vista custo-benefício?
Mecanismos para segurança
• Wrappers
• Firewalls
• Mecanismos de autenticação
• Ferramentas de detecção de falhas
• Métodos criptográficos
Wrapers
• TCP Wrappers são um conjunto de programas que “encapsulam” os daemons dos serviços de rede visando aumentar sua segurança
• Funcionam como um filtro e estendem o serviço original
• O wrapper não pode ser considerado uma ferramenta para segurança total
• Visa suprir deficiências dos servidores atuais e aumentar o controle sobre sua utilização
• Ótima ferramenta para registro (log)
Firewalls
• Um firewall é um conjunto de componentes colocados entre duas redes e que coletivamente implementam uma barreira de segurança
• Sua finalidade é retardar os efeitos de um ataque até que medidas administrativas contrárias sejam executadas
• O objetivo básico de um firewall é defender a organização de ataques externos. Como efeito secundário, ele pode ser utilizado para regular o uso de recursos externos pelos usuários internos
Firewalls
• Um firewall pode ser implementado utilizando dois mecanismos básicos:
– filtragem de pacotesanálise dos pacotes que passam pelo firewall
–servidores proxyanálise dos serviços sendo utilizados
Arquiteturas firewall
• Screening router: somente um filtro de pacotes
• Dual homed host: somente um bastion host
• Screened subnet: dois filtros de pacotes e uma sub-rede para os bastion hosts. É a arquitetura mais recomendada, pois cada componente individual (filtros e hosts) tem funções simples e portanto são fáceis de configurar
• Screened host: é uma arquitetura screened subnet sem o roteador (filtro) interno
Arquiteturas firewall
Filtro Interior
Filtro Exterior
perimeter network
Rede Interna
Rede Externa
Bastion Hosts
Mecanimos de autenticação
• A grande maioria dos serviços utilizam o mecanismo “alguma coisa que você sabe” (senha)
• Senhas podem ser capturadas por sniffers ou descobertas por um ataque do dicionário
• Uma solução possível é utilizar senhas que não são reusáveis (one time passwords)
• O sistema apresenta ao usuário um desafio (challenge). O usuário realiza cálculos sobre este desafio, incluindo uma pass phrase secreta, e devolve o resultado ao servidor (que verifica o resultado)
Detecção de falhas
• Ferramentas de análise
• Verificadores de integridade
• Verificadores de senhas
• Analisadores de log
• Sistemas de Detecção de Intrusão
Ferramentas de Análise
• COPS (Computer Oracle and Password Program)
• SATAN (Security Analysis Tool for Auditing Network)
• ISS (Internet Security Scanner)
• SAINT (Security Administrator’s Integrated Network Tool)
• TIGER (auditoria e análise de arquivos)
• Nessus (um dos mais atuais)
Verificadores de Integridade
• Verificar se arquivos e configurações permanecem inalterados
• Compara a situação atual com a situação inicial
• Utiliza funções de checksum e hash
• Hash a nível criptográfico: MD5, SHA
• Exemplo: Tripwire, TAMU
Verificadores de Senhas
• Verificar se uma senha pode ser “quebrada”
– Exemplo: Crack
• Verificar se uma senha é “fácil”
– Exemplos: npasswd, passwd+
Analisadores de Logs
• Facilitar a análise de arquivos de logs
• Realizar logs mais detalhados (além de um grep)
• Exemplos: – Swatch (Simple Watcher)– Netlog– LogSurfer
Sistemas de Detecção de Intrusão
• Detectar um intruso o mais cedo possível
• Detectar tentativas de intrusão
• Detectar ações suspeitas
• Detectar desvios nos padrões dos usuários
• Análise em “tempo real” (o mais cedo possível)
Métodos criptográficos
• Não existe sistema absolutamente seguro
• Toda criptografia pode ser “quebrada”
• Complexidade temporal
• Complexidade econômica
• Segurança “computacional”
Criptografia de chave única
• Única chave para cifragem e decifragem
• Substituição, permutação, operações algébricas
• Alta velocidade
• Problemas na distribuição de chaves
• Exemplos– DES (Data Encryption Standard) - 56 bits
– 3DES - DES triplo - 112 bits
– RC4_128 - 128 bits
– RC2_CBC_40 - 40 bits
– IDEA (Inter. Data Encryption Algorithm) - 128 bits
– CAST - 64 bits
Criptografia de chave pública
• Duas chaves: uma pública e outra secreta
• Cifragem com uma chave somente é decifrada com a outra chave
• Privacidade: cifrar com chave pública; somente chave secreta pode decifrar
• Assinatura: cifrar com chave secreta; chave pública decifra e identifica usuário
• Operação: funções aritméticas complexas
• Baixa velocidade, fácil distribuição de chaves
• Exemplos: RSA, DSS, DH, El Gamal (512 a 2048 bits)
Métodos criptográficos
• PGP (Pretty Good Privacy)
• RIPEM (Riordan’s Internet PEM) - uma implementação do PEM (Privacy Enhanced Mail)
• SSH (Secure Shell)
• SSL (Secure Sockets Layer) - Netscape
• PCT (Private Communication Technology) - Microsoft
• Kerberos - um protocolo de autenticação
• SET - Secure Electronic Transaction
• IPv6 e IPsec - IP com suporte a autenticação e privacidade, implementadas através de extensões do cabeçalho
Conclusões
• Espectro de aplicações da Internet é muito maior que os seus projetistas jamais sonharam
• Com o crescimento da Internet cresceram também, e em uma escala muito maior, os seus problemas de segurança
• A maioria dos serviços da rede foi projetado e desenvolvido quando a confiança mútua ainda existia na rede, e os casos de vandalismo eram raros e isolados
• Ambiente da Internet intrinsicamente inseguro
Conclusões
• Segurança implica em:– Conscientização
– Boa administração
– Contínua atualização
– Boa compreensão das ferramentas
• Muitas soluções na própria Internet– CERT, FIRST, COAST
– PGP, SSH, Nessus
– Vários sites dedicados à segurança
Recommended