Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Vulnerabilidades Am eaccedilas
Riscos
Vulnerabilidades Am eaccedilas e Riscos
Capiacutetulo 2 Pensando em Am eaccedilas eRiscos
Capiacutetulo 3 Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Pensando em Am eaccedilas e Riscos
Objet ivos
Avaliar ameaccedilas e r iscos agrave seguranccedila de redes
Apoacutes concluir este capiacutetulo vocecirc estaraacute preparado para executar as seguintes tarefas
Tarefas
I dent ificar as necessidades de seguranccedila de redeI dent ificar algum as das causas dos problem as de seguranccedila de redeI dent ificar caracteriacutest icas e fatores m ot ivadores de invasatildeo de rede
Tarefas
I dent ificar as ameaccedilas m ais significat ivas na seguranccedila de rede
Conceituar vulnerabilidade ameaccedila r isco e gerenciamento de r isco
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Vulnerabilidades Am eaccedilas e Riscos
Capiacutetulo 2 Pensando em Am eaccedilas eRiscos
Capiacutetulo 3 Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Pensando em Am eaccedilas e Riscos
Objet ivos
Avaliar ameaccedilas e r iscos agrave seguranccedila de redes
Apoacutes concluir este capiacutetulo vocecirc estaraacute preparado para executar as seguintes tarefas
Tarefas
I dent ificar as necessidades de seguranccedila de redeI dent ificar algum as das causas dos problem as de seguranccedila de redeI dent ificar caracteriacutest icas e fatores m ot ivadores de invasatildeo de rede
Tarefas
I dent ificar as ameaccedilas m ais significat ivas na seguranccedila de rede
Conceituar vulnerabilidade ameaccedila r isco e gerenciamento de r isco
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Pensando em Am eaccedilas e Riscos
Objet ivos
Avaliar ameaccedilas e r iscos agrave seguranccedila de redes
Apoacutes concluir este capiacutetulo vocecirc estaraacute preparado para executar as seguintes tarefas
Tarefas
I dent ificar as necessidades de seguranccedila de redeI dent ificar algum as das causas dos problem as de seguranccedila de redeI dent ificar caracteriacutest icas e fatores m ot ivadores de invasatildeo de rede
Tarefas
I dent ificar as ameaccedilas m ais significat ivas na seguranccedila de rede
Conceituar vulnerabilidade ameaccedila r isco e gerenciamento de r isco
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Objet ivos
Avaliar ameaccedilas e r iscos agrave seguranccedila de redes
Apoacutes concluir este capiacutetulo vocecirc estaraacute preparado para executar as seguintes tarefas
Tarefas
I dent ificar as necessidades de seguranccedila de redeI dent ificar algum as das causas dos problem as de seguranccedila de redeI dent ificar caracteriacutest icas e fatores m ot ivadores de invasatildeo de rede
Tarefas
I dent ificar as ameaccedilas m ais significat ivas na seguranccedila de rede
Conceituar vulnerabilidade ameaccedila r isco e gerenciamento de r isco
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Tarefas
I dent ificar as necessidades de seguranccedila de redeI dent ificar algum as das causas dos problem as de seguranccedila de redeI dent ificar caracteriacutest icas e fatores m ot ivadores de invasatildeo de rede
Tarefas
I dent ificar as ameaccedilas m ais significat ivas na seguranccedila de rede
Conceituar vulnerabilidade ameaccedila r isco e gerenciamento de r isco
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Tarefas
I dent ificar as ameaccedilas m ais significat ivas na seguranccedila de rede
Conceituar vulnerabilidade ameaccedila r isco e gerenciamento de r isco
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Por que seguranccedila
Porque para garant ir a seguranccedila nos negoacutecios eacute preciso atualizar constantem ente as defesas para reduzir a vulnerabilidade agraves am eaccedilas inovadoras dos invasores
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Desafios
Seguranccedila eacute difiacutecil de ser im plem entada uniform em ente em toda a empresa
Escolha de um a alternat iva ou com binaccedilatildeo adequada de diversas opccedilotildees de soluccedilotildees
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Desafios
Escolher ent re vaacuterias opccedilotildees diferentes e disponiacuteveis e adotar aquelas que sat isfaccedilam os requisitos exclusivos da rede e dos negoacutecios
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Desafios
Os produtos diferentes devem ser integrados em toda a empresa a fim de se at ingir um a uacutenica poliacutet ica de seguranccedila estaacutevel
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Porque tem os problemas de seguranccedila
Fragilidade da Tecnologia
Fragilidade de Configuraccedilatildeo
Fragilidade da Poliacutet ica de Seguranccedila
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fragilidade da Tecnologia
TCP I P
Sistema Operacional
Equipam entos de Rede
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fragilidade de Configuraccedilatildeo
Satildeo problem as causados pelo fato de natildeo se configurar equipam entos inter ligados para im pedir problem as de seguranccedila conhecidos ou provaacuteveis
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fragilidade de Configuraccedilatildeo
Consideraccedilotildees default inseguras nos produtosEquipam ento de rede configurado equivocadam enteContas de usuaacuterios insegurasContas de sistemas com senhas previsiacuteveis
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fragilidade do Equipamento de Rede
Proteccedilatildeo de senha insegura
Falhas de autent icaccedilatildeo
Protocolos de Roteam ento
Brechas no Firewall
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fragilidades da Poliacutet ica de Seguranccedila
Falta de um a poliacutet ica escritaPoliacutet icas internasFalta de cont inuidade dos negoacuteciosCont roles de acesso para equipam entos de rede natildeo satildeo aplicadosA adm inist raccedilatildeo de seguranccedila eacute negligente inclusive a m onitoraccedilatildeo e a auditor ia
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fragilidades da Poliacutet ica de Seguranccedila
Falta de conhecim ento sobre ataques
Alteraccedilotildees e instalaccedilatildeo de software e hardware natildeo seguem a poliacutet ica
Falta de Planejam ento de Cont ingecircncia
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Conheccedila seus invasores
Script KiddieNatildeo possuem m uita habilidadeMas teve a sorte de encont rar um sistema rem oto que natildeo aplicou o patch de correccedilatildeo a tem po
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Script Kiddie
Satildeos bons na razatildeo inversamente proporcional agrave negligecircncia de adm inist radores usuaacuterios que natildeo acom panham listas de seguranccedila e dem ais paacuteginas de fornecedores ou CERT (Com puter Em ergency Response Team )
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Script Kiddie
Um invasor que faz int rusatildeo vinculada a um a falha conhecida
Natildeo buscam inform accedilotildees e ou m aacutequinas especiacuteficas Ou seja ganhar acesso de root
Basta ter acesso para desconfigurar hom epages de form a m ais faacutecil possiacutevel
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Script Kiddie
Sua teacutecnica consiste em ficar revirando a I nternet at raacutes de m aacutequinas vulneraacuteveis e fazer exploraccedilotildees com exploits ferramentas que perm itam explorar as falhas em serviccedilos
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Script Kiddie
Podem desenvolver suas proacuteprias ferramentas
Existem os que natildeo conhecem nenhum a teacutecnica e tudo o que sabem eacute executar as ferramentas fornecidas por out ro script kiddie
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Cracker
Um invasor de bons conhecimentos teacutecnicos e assim sendo ele seraacute capaz de apagar seus rast ros de m aneira m ais sut il
Se caracter iza pelo alto niacutevel teacutecnico na m edida em que cada passo da invasatildeo eacute realm ente estudado e bem pensado
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Cracker
Busca dados com o configuraccedilotildees padrotildees ou senhas padrotildees que ele possa explorar
Tem capacidade para desenvolve seus proacuteprios exploits Satildeo geniais e cr iat ivos para a m aacute intenccedilatildeo
Realiza ataques inteligentes para com prom eter a seguranccedila da rede
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Cracker
Suas at itudes furt ivas poderatildeo enganar ateacute aos m ais experientes adm inist radores
Satildeo os verdadeiros invasores ( int rusos) ou ateacute m esm o crim inosos ciberneacutet icos
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Hacker
Um program ador apaixonadoConst roem e tornam o m undo m elhor
Exem plos
Stallm an Linus Torvalds Ada Lovelace Douglas Engelbart Dennis Ritchie Ken Thom pson Arnaldo Melo Marcelo Tossat i Alan Cox
Natildeo satildeo fuacuteteis desconfiguradores de paacuteginas
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Hacker
(Hacking ou Hacking Eacutet ico)
Program ador ou adm inist rador que se reserva a quest ionar os problem as de seguranccedila nas tecnologias disponiacuteveis e as form as de provar o conceito do que eacute discut ido
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Hacker Eacutet ico
Um a pessoa que invest iga a integridade e a seguranccedila de um a rede ou sistem a operacional
Usa o conhecim ento avanccedilado sobre SW e HW para ent rar no sistem a at raveacutes de form as inovadoras
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Hacker Eacutet ico
Com part ilha seu conhecim ento gratuitam ente at raveacutes da I nternet
Natildeo usa de maacutes intenccedilotildees Tenta oferecer um serviccedilo agrave com unidade interessada
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Conceito de I nvasor
Script Kiddie
Cracker
Hacker
Phracker (pessoas que fazem acesso natildeo autor izado a recursos de telecom unicaccedilotildees)
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Caracteriacutest icas de um I nvasor
Sabem codificar em vaacuterias linguagens de program accedilatildeoConhecim entos aprofundados sobre ferramentas serviccedilos e protocolosGrande experiecircncia com I nternet Conhecem int im am ente pelo menos dois Sos
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Caracteriacutest icas de um I nvasor
Tecircm um t ipo de t rabalho que usa redes Usam equipam entos com o se fossem m odo de vida
Colecionam SW e HW
Tecircm vaacuterios com putadores para t rabalhar
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Mot ivos para am eaccedilas
Exploraccedilatildeo de em occedilotildees (Notoriedade Diversatildeo)
Concorrecircncia de m ercado
I nim igos poliacutet icos
Ladrotildees (at ividades furt ivas)
Espiotildees (Espionagem indust r ial)
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Mot ivos para am eaccedilas
Funcionaacuterios host isem pregados ou ant igos em pregados v inganccedila ataque de Troca de Senhas ou Sessotildees Abertas)
I nvest igaccedilatildeo legal
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Vulnerabilidades
Ausecircncia de proteccedilatildeo cobrindo um a ou m ais am eaccedilas
Fraquezas no sistem a de proteccedilatildeo
Vulnerabilidades satildeo claram ente associadas com am eaccedilas
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Exem plos
A am eaccedila a acesso natildeo autorizadoestaacute ligada a controles de acesso inadequados
A am eaccedila de perda de dados cr iacutet icos e apoio ao processam ento se deve ao planejam ento de cont ingecircncia ineficaz
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Exem plo
A am eaccedila de incecircndio estaacute associada a vulnerabilidade da prevenccedilatildeo contra incecircndio inadequada
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Bens
Bens TangiacuteveisAqueles que satildeo paupaacuteveis HW SW suprimentos docum entaccedilotildees
Bens I ntangiacuteveisPessoa reputaccedilatildeo mot ivaccedilatildeo moral boa vontade oportunidade
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Bens
Os bens mais im portantes satildeo as inform accedilotildees
I nform accedilotildees ficam em algum lugar ent re os bens tangiacuteveis e os intangiacuteveis
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
I nform accedilotildees Sensiacuteveis
I nform accedilotildees que se perdidas m al usadas acessadas por pessoas natildeo autorizadas ou m odificadas podem prejudicar um a organizaccedilatildeo quanto ao funcionamento de um negoacutecio ou a privacidade de pessoas
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
O que eacute um a am eaccedila
Um a am eaccedila eacute algum fato que pode ocorrer e acarretar a lgum perigoa um bem
Tal fato se ocorrer seraacute causador de perda
Eacute a tentat iva de um ataque
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Agente de um a am eaccedila
Eacute um a ent idade que pode iniciar a ocorrecircncia de um a am eaccedila
Ent idade um a pessoa invasor int ruso
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Am eaccedilas Natildeo- I ntencionais
Erros hum anos
Falhas em equipamentos
Desast res naturais
Problem as em com unicaccedilotildees
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Am eaccedilas I ntencionais
Furto de inform accedilatildeo
Vandalism o
Ut ilizaccedilatildeo de recursos violando as m edidas de seguranccedila
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
I m pacto
Resultados indesejados da ocorrecircncia de um a am eaccedila cont ra um bem que resulta em perda m ensuraacutevel para um a organizaccedilatildeo
Quase todo r isco tem um im pacto embora de difiacutecil previsatildeo
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Risco
Eacute um a m edida da probabilidade da ocorrecircncia de um a am eaccedila
Eacute a probabilidade do evento causador de perda ocorrer
Oficialm ente um risco corresponde ao grau de perda
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Am eaccedilas Riscos Severidade
Ameaccedilas variam em severidade
Severidade grau de dano que a ocorrecircncia de um a am eaccedila pode causar
Riscos variam em probabilidade
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Tipos de Am eaccedilas agrave Seguranccedila
Acesso natildeo-autorizado
Reconhecim ento
Recusa de Serviccedilo
Manipulaccedilatildeo de Dados
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Acesso Natildeo-Autor izado
Objet ivo obter acesso com o adm inist rador num com putador remoto
Cont rolar o com putador de dest ino e ou acessar out ros inter ligados
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Form as de Acesso Natildeo-Autor izado
Acesso inicialCom base em senhasPrivilegiadoAcesso secundaacuterioPerm issatildeo de acesso remotoVulnerabilidades de program aArquivos natildeo autorizados
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Reconhecim ento
Monitoramento de vulnerabilidades serviccedilos sistem as ou t raacutefego de rede no sent ido de levantar inform accedilotildees visando um ataque futuro
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Form as de Reconhecim ento
Varreduras de porta
I nvest igaccedilatildeo- observaccedilatildeo passiva do t raacutefego de rede
com um ut ilitaacuter io visando padrotildees de t raacutefego ou capturar pacotes para anaacutelise e furto de inform accedilatildeo
- Snooping de rede (sniffing de pacotes)
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Recusa de Serviccedilo
Denial of Service (DoS)
Tentat iva de desat ivar ou corrom per serviccedilos sistem as ou redes no sent ido de im pedir o funcionamento norm al
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Form as de Recusa de Serviccedilo
Sobrecarga de recurso
Dist r ibuted Denial of Service
Bom bas de email
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Manipulaccedilatildeo de Dados
Captura alteraccedilatildeo e repet iccedilatildeo de dados at raveacutes de um canal de com unicaccedilatildeoFalsificaccedilatildeo de I PRepet iccedilatildeo de sessatildeoRepuacutedio
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Falsificaccedilatildeo de I P
Ocorre quando um invasor da fora de um a rede finge ser um com putador confiaacutevel dent ro da rede
O I P usado estaacute dent ro do intervalo da rede invadida ou eacute usado um I P externo autorizado confiaacutevel e para o qual eacute disponibilizado acesso a recursos na rede
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Falsificaccedilatildeo de I P
Ocorre at raveacutes da m anipulaccedilatildeo de pacotes I P
Um endereccedilo I P de origem de um com putador confiaacutevel eacute falsificado para assum ir ident idade de uma m aacutequina vaacutelida para obter pr ivileacutegios de acesso no com putador invadido
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Seguranccedila da I nform accedilatildeo
Som ente pessoas devidam ente autorizadas devem estar habilitadas a ler criar apagar ou m odificarinform accedilotildees
Controlar o acesso agraves inform accedilotildees
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Controle de acesso quat ro requisitos
(1) Manter confidenciais inform accedilotildees pessoais sensiacuteveis (privacidade )
(2) Manter integridade e precisatildeo das inform accedilotildees e dos program as que a gerenciam
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Controle de acesso quat ro requisitos
(3) Garant ir que os sistem as inform accedilotildees e serviccedilos estejam disponiacuteveis (acessiacuteveis) para aqueles que devem ter acesso
(4) Garant ir que todos os aspectos da operaccedilatildeo de um SI estejam de acordo com as leis regulam entos licenccedilas cont ratos e pr inciacutepios eacutet icos estabelecidos
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Sobre requisitos
I m pedir acesso a alguns usuaacuterios ( requisito 1) e autorizar faacutecil acesso a out ros ( requisito 3) requer filt ragemm uito bem feita
Filt ragem corresponde a int roduccedilatildeo de controles de seguranccedila que visem a reduzir r iscos
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
ConfidencialidadeI ntegridade
AcessibilidadeLeis Eacutet ica
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Am eaccedilas
Cavalos de TroacuteiaViacuterusWorm sVazamento de I nform accedilotildeesElevaccedilatildeo de PrivileacutegiosPiratar iaFalhas de HardwareFraude
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Am eaccedilas
FalsificaccedilatildeoBackdoorDesfalqueI ncecircndios ou Desast res Naturais
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Am eaccedilas
Erros de Program adoresSniffersEnt rada I nesperadaFurto de inform accedilatildeo
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Cavalo de Troacuteia
Program a que se apresenta executando um a tarefa e na realidade faz out raAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo pode ser m uito difiacutecilSeveridade potencialm ente m uito elevada
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Viacuterus
Eacute um programa que infecta out ros program as por m odificaacute- los A m odificaccedilatildeo inclui uma coacutepia do viacuterus o qual pode entatildeo infectar out rosAmeaccedila agrave I APrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediataSeveridade pode ser baixa ou potencialm ente muito elevada
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Worm s
Eacute um program a usa conexotildees de rede para se espalhar de sistem a a sistem a
Um a vez at ivo um worm pode com portar-se como a viacuterus pode im plantar program as cavalos de t roacuteia ou realizar qualquer accedilatildeo dest rut iva
Um worm se replica usando facilidade de em ail capacidade de execuccedilatildeo rem ota e capacidade de login rem oto
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Worm s
Ameaccedila agrave I ntegridade AcessibilidadePrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo norm alm ente im ediata at raveacutes de ant iviacuterus Severidade pode ser baixa ou potencialm ente muito elevada
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Piratar ia de Software
Coacutepia ilegal de software e docum entaccedilatildeo e re-embalagem para com ercializaccedilatildeoAmeaccedila agrave Leis Eacutet icaPrevenccedilatildeo muito difiacutecilDetecccedilatildeo Pode ser difiacutecilFrequecircncia ext rem am ente com umSeveridade Potencialm ente m uito elevada
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Erros de Program adores
Erros naturais de programaccedilatildeo ao codificar provocando bugs em proporccedilotildees alarmantesAmeaccedilas agrave C I APrevenccedilatildeo impossiacutevelDetecccedilatildeo agraves vezes difiacutecilFrequecircncia com um Severidade potencialm ente m uito elevada
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Sniffers
Program as que podem ler qualquer aspecto de t raacutefego em um a rede com o por exem plo capturando senhas em ails e arquivosAmeaccedila agrave ConfidencialidadePrevenccedilatildeo im possiacutevelDetecccedilatildeo possivelm ente detectadosSeveridade potencialm ente m uito elevada
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Desfalque
Norm alm ente se refere a furto de dinheiroAmeaccedila agrave integridade e recursosPrevenccedilatildeo difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fraude
Qualquer exploraccedilatildeo de sistema de inform accedilatildeo tentando enganar uma organizaccedilatildeo ou tom ar seus recursosAmeaccedila agrave I ntegridadePrevenccedilatildeo difiacutecilDetecccedilatildeo difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Falsificaccedilatildeo
Criaccedilatildeo ilegal de docum entos ou regist ros intencionalm ente produzidos com o reaisAmeaccedila agrave I e out ros recursosPrevenccedilatildeo pode ser difiacutecilDetecccedilatildeo pode ser difiacutecilFrequecircncia desconhecidaSeveridade potencialm ente m uito elevada
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Backdoor
Um program a que eacute colocado num a m aacutequina com o se fosse um serviccedilo associado a um a porta m as que tem a incum becircncia de fazer um a int rusatildeoAmeaccedila agrave C I APrevenccedilatildeo muito difiacutecilDetecccedilatildeo possivelm ente detectaacutevelSeveridade potencialm ente m uito elevada
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Controles e Proteccedilotildees
Controles satildeo procedim entos ou m edidas que reduzem a probabilidade associada aos r iscos
Proteccedilotildees satildeo cont roles fiacutesicos m ecanism os ou poliacutet icas que protegem os bens de am eaccedilas
Exem plos de proteccedilatildeo alarm es senhas cont roles de acesso
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Custos das Medidas
Os gastos com seguranccedila devem ser just ificados com o qualquer out ro
A chave para selecionar m edidas de seguranccedilas adequadas eacute a habilidade de est im ar a reduccedilatildeo em perdas depois da im plementaccedilatildeo de certas proteccedilotildees
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Custo-Benefiacutecio
Um a anaacutelise de custo-benefiacutecio perm ite just ificar cada proteccedilatildeo proposta
O custo das m edidas de seguranccedila deve ser sempre infer ior ao valor das perdas evitadas
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Exposiccedilotildees
Exposiccedilotildees satildeo aacutereas da rede com probabilidade de ldquoquebrardquo m aior que out ras
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Especialista em Seguranccedila
Apresentar controles para m odificar as exposiccedilotildees de modo que todos os eventos de determ inada severidade tenham a m esm a probabilidade
Minim izar o custo de controles ao m esm o tem po m axim izando a reduccedilatildeo de exposiccedilotildees
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Gerenciam ento de Riscos
Espect ro de at ividades incluindo os cont roles procedim entos fiacutesicos teacutecnicos e adm inist rat ivos que levam a soluccedilotildees de seguranccedila de baixo custo
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Gerenciam ento de Riscos
Procura obter as proteccedilotildees m ais efet ivas cont ra am eaccedilas intencionais (deliberadas) ou natildeo intencionais (acidentais) cont ra um sistem a com putacional
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Gerenciam ento de Riscos
Tem quat ro partes fundamentais
Anaacutelise de Risco (determ inaccedilatildeo de r isco)Seleccedilatildeo de ProteccedilatildeoCert ificaccedilatildeo e Credenciam entoPlano de Cont ingecircncia
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Anaacutelise RiscoPedra fundam ental da gerecircncia de r iscos
Procedim entos para est im ar a probabilidade de am eaccedilas e perdas que podem ocorrer devido a vulnerabilidade do sistem a
O propoacutesito eacute ajudar a detectar proteccedilotildees de baixo custo e prover o niacutevel de proteccedilatildeo necessaacuterio
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Seleccedilatildeo de Proteccedilatildeo
Os gerentes devem selecionar proteccedilotildees que dim inuem certas ameaccedilas
Devem determ inar um niacutevel de r isco toleraacutevel e implem entar proteccedilotildees de baixo custo para reduzir perdas em niacutevel aceitaacutevel
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Seleccedilatildeo de Proteccedilatildeo
As proteccedilotildees podem atuar de diversos m odos- Reduzir a possibilidade de ocorrecircncia
de am eaccedilas- Reduzir o impacto das ocorrecircncias das
am eaccedilas- Facilitar a recuperaccedilatildeo das ocorrecircncias
das am eaccedilas
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Seleccedilatildeo de Proteccedilatildeo
A gerecircncia deve focalizar aacutereas que tecircm grande potencial para perdas
As proteccedilotildees devem ter boa relaccedilatildeo custo-benefiacutecio isto eacute t razer m ais retorno que os gastos com im plem entaccedilatildeo e m anutenccedilatildeo
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Cert ificaccedilatildeo
Podem ser im portantes elementos da gerecircncia de r isco
Cert ificaccedilatildeo eacute verificaccedilatildeo teacutecnica de que as proteccedilotildees e cont roles selecionados satildeo adequados e funcionam corretam ente
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Credenciam ento
Credenciam ento eacute a autorizaccedilatildeo oficial para operaccedilatildeo correccedilotildees de seguranccedila ou suspensatildeo de certas at iv idades
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Plano de Cont ingecircncia
Eventos indesejados acontecem independente da eficiecircncia do program a de seguranccedila
Perm ite um a resposta cont rolada que m inim iza danos e recupera operaccedilotildees o m ais raacutepido possiacutevel
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Plano de Cont ingecircncia
Eacute um docum ento ou conjunto de docum entos que perm item accedilotildees antes durante e depois da ocorrecircncia de evento natildeo desejado (desast re) que interrom pe operaccedilotildees da rede
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Avaliando am eaccedilas
Exem plos (m aterial escrito dist r ibuiacutedo em aula)
Caracterizando am eaccedilas
Exam inar as am eaccedilas possiacuteveis agrave um a rede
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Preparaccedilatildeo para AtaquesFootprint e Fingerprint
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Busca detalhada de inform accedilotildees sobre o alvo para um a int rusatildeo
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Footprint
Eacute a organizaccedilatildeo de ideacuteias com o um todo tentando cr iar o m elhor e m ais com pleto perfil do alvo a ser atacado
O intuito eacute cr iar um perfil de um a m aacutequina-alvo para descobrir falhas que possam ser exploradas a part ir de configuraccedilotildees e senhas padrotildees
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Footprint
A part ir do resultado do Footprint eacute que eacute t raccedilado a est rateacutegia de ataque
Um Footprint dura enquanto for necessaacuterio
Pode ser colocado em praacutet ica de m uitas form as e eacute lim itado apenas pela im aginaccedilatildeo do atacante
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Objet ivos com uns de Footprint
Levantam ento de I nform accedilotildees de Domiacutenios
- Nom es de dom iacutenios- Responsaacuteveis pelos dom iacutenios- Servidores de dom iacutenios
I dent ificaccedilatildeo do SO de m aacutequina-alvo (Fingerprint ) Descobrir subredesServiccedilos TCP e UDP disponiacuteveisTopologia da rede
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Objet ivos com uns de Footprint
Contas de Em ail FTP e out ros serviccedilos Nom es de usuaacuterios e de gruposBanners que ident ificam versotildees de serviccedilosI dent ificaccedilatildeo de roteador e Tabelas de roteam entoServidores ocultos por NAT (NetworkAddress Translator) Endereccedilos de e-m ails
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Objet ivos com uns de Footprint
I nform accedilotildees de serviccedilos SNMP mal configuradosI ntervalos (Ranges) de I P de dom iacuteniosEst rutura de seguranccedila quanto a existecircncia de
- Firewalls- Sistem as I DS- Honeypots
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Footprint
Engenharia SocialLevantam ento de I nform accedilotildees do Alvo Whois ou com ando host (Linux Unix) Leitura de Banners para ident ificar servidoresFingerprint do SOEnum eraccedilatildeo dos Serviccedilos e VersotildeesEnum eraccedilatildeo das I nform accedilotildees dos ServiccedilosEnum eraccedilatildeo das Vulnerabilidades
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Engenharia Social
Eacute um a form a pessoal iliacutecita ut ilizada por crackers para adquir ir disfarccediladam ente quaisquer inform accedilotildees fundam entais para a m anutenccedilatildeo da seguranccedila de um sistema
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na Base Whois ( Internic)whois ltdominiogtwhois ltipdominiogtregistrobrfwhois ltdominiogtxwhois ltdominiogt (ferramenta Linux)
Procura na FAPESP (base do paiacutes) httpregistrofapespbr
O domiacutenio procurado estaacute num provedor ou numa estaccedilatildeo da proacutepria empresa
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Levantam ento de I nform accedilotildees de Dom iacutenio
Consulta na base DNS pelos com andos host ou dig ou nslookup (ut ilitaacuter io que pesquisa DNS) no Linux Cada dom iacutenio possui um a base de dados DNS dos sub-dom iacutenios ali cadast rados
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Com ando host
Consultando toda a base DNSgthost ndashl ndashv ndasht any ltempresagtcombr
Descobrindo qual eacute o servidor de em ailgthost ndasht mx ltempresagtcombr
Descobrindo os I Ps de servidores DNSgthost ndasht ns ltempresagtcombr
Verificando os CNAME (quais o servidores FTP Web e out ros)
gthost ndasht CNAME ltempresagtcombr
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Com ando dig
Buscando inform accedilotildees sobre o servidor DNS
gtdig ndasht ns ltempresagtcombr
Buscando inform accedilotildees do regist ro MX
gtdig ndasht mx ltempresagtcombr
Buscando informaccedilotildees sobre o registro SOA
gtdig ndasht soa ltempresagtcombr
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Com ando nslookup
Varredura nas inform accedilotildees de um dom iacutenio (consultando CNAME)
CNAME = nom es canocircnicosgtnslookup
Set type=cname
wwwltempresagtcombr
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantam ento de URL at raveacutes de consulta DNS com a ferram enta I PZoner
gtIPZoner ndashs ltip_degt -t ltip_paragt
Exem plo
gtIPZoner ndashs 195131271 ndasht 19513127254
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Levantam ento de I nform accedilotildees de Dom iacutenio
Levantamento de rotas de pacotes num a ent re redes (quais servidores e roteadores existem a topologia da rede e ident ificar a est rutura de seguranccedila) at raveacutes do ut ilitaacuter io traceroute (Linux Unix) ou tracert (Windows)
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Rota de pacotes
Exem plo traceroute vitimacombrrouter -gt router -gt maacutequina -gt gt servidor
Exem plo Traceroute analisando um a porta
traceroute ndashp25 19216802
testa se haacute resposta na porta 25 (SMTP)
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Leitura de Banners
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Leitura de Banners
I dent ificando o servidor SMTP
- Com Netcat na porta 25gt nc ltipgt 25
- Com a ferram enta SMTPScan que ut iliza um banco de dados de perfil de servidores SMTP
gt smtpscan infufscbr
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Leitura de Banners - DNS
I dent ificando a versatildeo BI ND em um servidor DNS
- Com a ferram enta dnsverplgtdnsverpl ndasht 50 ndashv ltipgt
- Com a ferram enta m ig-namedgtmig-named ndashh ltipgt -t 15 ndashd
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Leitura de Banners - DNSI dent ificando versatildeo BI ND de DNS porta 53 com a ferramenta grabbb
gtgrabbb -m -a 200 -b 200 254 53
200 10353200 19953200 353
gtmig-named ndashh 200 103 ndasht 50 ndashd[200 103][53] 921
gt gtmig-named ndashh 200 3 ndasht 50 ndashd[200 3][53] 921
BI ND (Berkeley I nternet Name Domain) eacute uma implementaccedilatildeo do Domain Name System (DNS)
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
I dent ificando SSH WebI dent ificando servidores SSH porta 22
gtgrabbb ndashm ndasha 200 2 ndashb 200 254 22
gtscanssh 200 024 | grep ndashv refused | grep ndashv timeout | grep ndashv unreachable
Identificando servidores Webgtgrabbb ndashm ndasha 200 104 ndashb 200 254 80 200 19580200 10680gthttpdtype 200 195gthttpdtype 200 106
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Contram edidas ndash Leitura de Banners
Ut ilizar a obscuridade por m eio de elim inaccedilatildeo de banners rest r iccedilatildeo a consultas DNS e configuraccedilotildees que dificultem o levantam ento das inform accedilotildees de bannersObscuridade eacute complem ento de seguranccedilaPara agregar valor agrave seguranccedilaVer wwwlinuxsecuritycombrFazer atualizaccedilotildees de patches
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Conceituando Portas Protocolos TCP I CMP UDP I PBase para Scanners de Porta
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
Sistem a Operacional kernel serviccedilos do sistem a serviccedilos de com unicaccedilatildeo ( rede) e aplicaccedilotildees dos usuaacuterios que podem se ut ilizar de serviccedilos
A form a de ident ificaccedilatildeo de um ponto de acesso de serviccedilo de rede (SAP OSI ) eacute a porta de protocolo TCP I P
Sockets TCP I P = ( I P portas)
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
A porta eacute a unidade que perm ite ident ificar o t raacutefego de dados dest inado a diversas aplicaccedilotildees
A ident ificaccedilatildeo uacutenica de um processo acessando os serviccedilos de rede TCP I P eacute o socket TCP I P form ado pelo par I P da m aacutequina e a porta(s) usada(s) para acessar um serviccedilo(s) de rede ut ilizado(s) por um a aplicaccedilatildeo
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas sim ultacircneas
Cada processo pode ut ilizar mais de um a porta sim ultaneam ente (ent rada saiacuteda) m as em um dado instante um a porta soacute pode ser usada por um a aplicaccedilatildeo
processoporta porta
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
Um a aplicaccedilatildeo que deseje ut ilizar os serviccedilos de rede deveraacute requisitar um a ou mais portas para realizar a com unicaccedilatildeo
A mesm a porta usada por um a aplicaccedilatildeo pode ser usada por out ra desde que a primeira tenha liberado aquela de ut ilizaccedilatildeo
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
A form a de ut ilizaccedilatildeo de portas m ost ra uma dist inccedilatildeo ent re a parte cliente e a parte servidora de um a aplicaccedilatildeo TCP I P
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
Um a aplicaccedilatildeo-servidora deve ut ilizar um nuacutem ero de porta bem conhecido de m odo que um cliente qualquer querendo ut ilizar os serviccedilos do servidor tenha que saber apenas o endereccedilo I P da maacutequina onde o serviccedilo estaacute sendo executado
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
A aplicaccedilatildeo cliente pode ut ilizar um nuacutem ero de porta qualquer
Os nuacutem eros de porta de 1 a 1023 satildeo nuacutem eros bem conhecidos para serviccedilos de rede at r ibuiacutedos pela I ANA ( I nternet Assigned Num bersAuthot ity)
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas
Os nuacutem eros de 1024 a 65535 podem ser at r ibuiacutedos para out ros serviccedilos e satildeo geralm ente usados pelos program as-cliente de um protocolo
As portas servem para ident ificar o t ipo de aplicaccedilatildeo que gerou as mensagens de dados e para qual t ipo de aplicaccedilatildeo as m ensagens de dados devem ser ent regues
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Portas TCP
Serviccedilos e Aplicaccedilotildees
Sistema Operacional
Hardware do Computador e de Rede
TCP
IP
portas
UDP ICMP
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Applications services
Computer and network hardware
Platform
Operating system
Middleware
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Applications services
Middlewarelayers
request-reply protocol
marshalling and external data representation
UDP and TCP
Thischapter
RMI and RPC
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Protocolo TCP ndash Segm ento TCP
sequence number
acknowledgement number
6 bits not usedURG
ACK
PSH
RST
SYN
FIN
TCPHeaderlenght
window size ndash max=64KB
source port destination port
4 66 16
checksum urgent pointer
Options (0 or more 24 bit-words)
Application Data (optional) - maacuteximo de 536 bytes
padding
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
TCP ndash Bits de Cont role
O t ransm issor chegou ao fim de seus dadosFIN
Sincronismo determina o nuacutemero de sequecircncia inicial
SYN
Reiniciar a conexatildeoRST
Forccedila a entrega de dadosPSH
O cam po nuacutem ero de confirm accedilatildeo eacute vaacutelidoACK
O cam po indicador Urgente eacute vaacutelidoURG
SignificadoBit
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Protocolo I CMP
Encapsulado no protocolo I P m as natildeo eacute um protocolo de alto niacutevel (TCP UDP)
8 8 16
Tipo de Msg ICMP Coacutedigo ICMP Checksum
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Solicitaccedilatildeo de Redirecionamento5
Mensagem de Echo8
Tempo de Vida Excedido (Time To Live)11
Problema nos paracircmetros12
Alguns Tipos de m ensagem I CMPValor
Reduccedilatildeo da Velocidade de Transmissatildeo4
Aviso de destino inalcanccedilaacutevel3
Resposta agrave mensagem de Echo0
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Bits de Varredura
Varreduras usando TCP usam os bits de cont role
SYN ACK RST FI N URG PSH
Varreduras usando I CMP usam pacotes I P contendo I CMP t ipo 3
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Protocolo UDPSuite de protocolos I nternet
User Datagram Protocol (RFC 768)
Um protocolo de t ransporte sem conexatildeo
Provecirc um m odo de aplicaccedilotildees enviarem datagram as UDP encapsulados em pacotes I P
Muitas aplicaccedilotildees que tecircm um request e um response usam UDP (Echo Whois DNS )
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
O segm ento UDP
Um segm ento UDP consiste de um cabeccedilalho de 8 bytes seguido por dados da aplicaccedilatildeo
Source Port Destination Port
UDP lenght UDP checksum
32 bits
Application Data (maximo de 548 bytes)
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
O Pseudo Cabeccedilalho TCP UDP
IP Source Address
IP Destination Address
0 0 0 0 0 0 0 0Protocol
TCP=6 or UDP=17in a packet IP
TCPUDP segment lenght
32 bits
UDP Data = 0 or more data bytes = 0 or more 32 bits words
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Est rutura de um pacote I Pv4Versatildeo (4 bits)
Tamanho do Cabeccedilalho (4bits)
Tipo de Serviccedilo (1 byte)
Tamanho Total (4 bytes)
Identificaccedilatildeo (4 bytes)
Flags (3 bits)
Deslocamento do Fragmento (13 bits)
Tempo de Vida (1 byte)
Protocolo TCP UDP ICMP (1 byte)
Checksum do Cabeccedilalho (4 bytes)
Endereccedilo IP de Origem (4 bytes)
Opccedilotildees + Padding (4 bytes ndash opcional)
Endereccedilo IP de Destino (4 bytes)
Dados TCP UDP ICMP (ateacute 65511 ou 65515 bytes) Segmentos TCP ou UDP ou ICMP
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Encapsulam ento de Segm entos
Cabeccedilalho de Quadro
Cabeccedilalho IP
CabeccedilalhoTCP UDP
Aacuterea de Dados TCP UDP
Aacuterea de Dados de um pacote IP = Segmento TCP ou UDPou Segmento ICMP
Aacuteres de Dados de um Quadro ndash Camada 2
Segmento TCP ou UDP
Pacote IP
Quadro da Camada 2
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Pseudo Cabeccedilalho
Existe apenas apara efeito de caacutelculo do checksum Natildeo eacute t ransm it idoO checksum do TCP eacute calculado da m esm a form a que no UDPO ckecksum eacute calculado som ando-se o cabeccedilalho o pseudo-cabeccedilalho e o cam po de dados
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Enum eraccedilatildeo dos Serviccedilos e Versotildees
Scanners de Porta
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Scanners de Portas
Pesquisam faixas de endereccedilos I PDescobrem portas abertas (que tecircm serviccedilos rodando) I nform accedilotildees sobre o Sistem a Operacional de uma maacutequina alvo (Fingerprint )
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Scanner Nm ap
Nmap (httpwwwnmaporg)
Coacutedigo Aberto
Licenccedila GNU GPL
Auditoria de Sistemas
Pode ser usado para Footprint e Fingerprint
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Mostrando o Nm ap
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Teacutecnica de levantam ento de inform accedilotildees para identificar o sistema operacional da maacutequina-alvo
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint
I nform accedilatildeo fundam ental para um invasor buscar um a possibilidade de int rusatildeoTeacutecnicas ClaacutessicasTeacutecnicas mais elaboradasCrackers e Script Kiddies ut ilizam ferram entas Queso Nm ap Queso foi projetada para fingerprint Nm ap pode fazer fingerprint na pilha TCP do host -alvo (usando UDP TCP I CMP)
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
O conceito de I nt rusatildeo
Anaacutelise da Vulnerabilidade (descobrir o m elhor cam inho para chegar ateacute a invasatildeo) Preparaccedilatildeo das Ferram entas (const roacutei ou escolhe as ferram entas para a invasatildeo) Am eaccedila ou Tentat iva (quando o invasor pula o m uro) Ataque (concret iza o arrom bam ento) I nvasatildeo (quando obteacutem sucesso)
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
I deacuteia baacutesica para um a int rusatildeo
Ao determ inar qual SO estaacute rodando o invasor pode organizar suas ferram entas de acordo com a plataform a-alvo
O invasor pode ter com o objet ivo ldquorootearrdquo a m aacutequina-alvo e deve sem pre saber as diferenccedilas dos form atos binaacuterios de cada sistema
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
I deacuteia baacutesica para um a int rusatildeo
O invasor tem em mente que ao saber o SO de um host-alvo ele pode visar um serviccedilo do respectivo sistema
descubrir uma vulnerabilidade desse serviccedilo e tendo em matildeos um exploit funcional para explorar esse serviccedilo
ele teraacute uma oportunidade que lhe perm it iraacute ldquorootearrdquo (assumir o perfil de administrador com senha de root)
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
I nvest idas Errocircneas
Um invest ida errocircnea sobre o serviccedilo pode t iraacute- lo do ar e ou chamar a atenccedilatildeo do adm inist rador
Casos frequumlentes de queda de serviccedilos por razotildees desconhecidas verificaccedilatildeo dos arquivos de log do servidor Firewall e I DS
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Form as de Fingerprint
Teacutecnicas Claacutessicas
Fingerprint com CheopsFingerprint com Nmap ou Nmap e Nift
UDP Echo
TCP SynTCP EchoTCP Ack
ICMP Echo
Usar ferramentas como snmpwalk ou LANguard sobre servidores habilitados com SNMP e configurados de form a padratildeo
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint com Cheops
Cheops eacute um programa mapeador de redes pequenas que tem vaacuterios recursos ent re eles a capacidade de fazer fingerprint
Natildeo ident ifica todos os sistem as remotos
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint com Nm ap
Fingerprint at raveacutes da Pilha TCP I P
Ext rair inform accedilotildees de um a m aacutequina at raveacutes das caracteriacutest icas im plem entadas em sua pilha TCP I P
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint com Nm apnmapndashos-fingerprints (nome do arquivo dos perfis de SOs)
Para usar o recurso de Fingerprint utilizar a opccedilatildeo ldquo-Ordquo
nmap ndashO ltipgtFingerprint em uma uacutenica porta
nmap ndashO ndashp80 ltipgtFingerprint com modo de varredura maacutexima
nmap ndashO ndashp21 ndashosscan_guess ltipgt
nmap ndashn ndashp80 ndashPO -O --osscan_guess ltipgtnmap ndashn ndashP6001 ndashPO ndashO ndashosscan_guess localhost
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint com NiftNift eacute um a ferram enta front - end para Nm ap e outas ferram entas
Apresenta um a interface graacutefica
Tem recursos para varreduras de serviccedilos fingerprint e varredura I CMP
O objet ivo de Nift eacute ident ificar o alvo e enum erar serviccedilos
Download de Nift em
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint com Nm apDescobrir quais os respectivos SOs
nmap ndashsS ndashp80 ndashO ndashv lthostgtnmap ndashsS ndashp80 ndashO ndashosscan_guess ndashv lthostgt
Fazendo um teste numa corporaccedilatildeo de nome empresa O paracircmetro ltempresagtlog eacute um arquivo de log
nmap ndashsS ndashF ndasho ltempresagtlog ndashv ndashO wwwltempresagtcom24
Este comando faz SYN scan nas portas conhecidas em(etcservices) ldquologardquo o resultado no arquivo ltarquivogtlog e em seguida faz um scan do SO e um scanna classe ldquoCrdquo Veja o resultado Site e o SO
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Fingerprint com Nm ap
Quando eacute anunciado um ldquobugrdquo de seguranccedila esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal ldquobugrdquo
ldquom odus operandi do script kiddierdquo
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Teacutecnicas de VarredurasEnum eraccedilatildeo dos Tipos de Serviccedilos e Versotildees
Varredura de Portas ServiccedilosServiccedilos Varredura de Vulnerabilidades
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Enum eraccedilatildeo
Ext raccedilatildeo de inform accedilotildees do ambiente-alvo com o os serviccedilos de rede TCP e UDP que requerem portas
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Enum eraccedilatildeo dos Tipos de Serviccedilos Disponiacuteveis e Versotildees
Varreduras de Portas ClaacutessicasVarreduras TCP UDP I CMP
Port Scanners- NetStat (Windows) - Netcat- Nmap- Amap (ideal para leitura de banners)- Blaster- Hping2
I nt rusatildeo ou para Auto- Monitoram ento
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Enum eraccedilatildeo de I nform accedilotildees dos Serviccedilos
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Varreduras a part ir de Serviccedilos
SMTP Scan ( levanta dados a part ir do serviccedilo SMTP) SMB Scan (com part ilham ento Windows em UNI X provido pelo Sam ba) RPC Scan ( levanta dados a part ir do serviccedilo
de RPC)
I nt rusotildees ou Auto- Monitoram ento
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Vulnerabilidades
Satildeo as falhas de seguranccedila em um sistemas de software ou de hardware que podem ser exploradas para perm it ir a efet ivaccedilatildeo de um a int rusatildeo
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Descoberta de vulnerabilidades
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Um scanner de vulnerabilidades
Nessus (ht tp wwwnessusorg)
Scanner de seguranccedila que ident ifica vulnerabilidades e tenta testar as encont radas
Adm inist raccedilatildeo Remota
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Varredura de Vulnerabilidades
Enum eraccedilatildeo das falhas e configuraccedilotildees padrotildees dos serviccedilos
Serve para concret izar ataques
satildeo usados Exploits ( ferram entas para a exploraccedilatildeo de vulnerabilidades) para os respect ivos serviccedilos levantados
Ou para realizar Auto- Monitoram ento
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Mostrando o Nessus
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Mostrando o Nessus
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Mostrando o Nessus
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
SUSSEN - I nterface para Nessus
Um cliente natildeo oficial para o Nessus denom inado SUSSEN
I ntegraccedilatildeo com MySQL Server V40 como backendSuporte a m uacutelt iplos servidores NessusSuporte a geraccedilatildeo de m uacutelt iplos relatoacuter iosBaseado em GNOME Gtk+ 22 API s
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
SUSSEN - I nterface para Nessus
I ntegraccedilatildeo com ajuda de manual on-linePoliacutet ica de gerenciamento de pluginse scanners de portaSuporte a internacionalizaccedilatildeo e localizaccedilatildeoSuporte agrave XMLht tp
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg
Referecircncias para Scanners
Noordergraaf Alex Enterprise Server Products HowHackers Do It Trick Tools and Techniques SunBluePrintstrade OnLine ndash May 2002
httpwwwsuncomblueprintsCERT httpwwwcertorgNessus httpwwwnessusorgNmap httpwwwnmaporgSerafim Viniacutecius da Silveira Atacantes Suas principais teacutecnicas e ferramentas Gseg - UFRGS
httpwwwinfufrgsbr~gsegCVE httpcvemitreorg