Analise de Vulnerabilidade

Pós-Graduação - lato Sensu

Prof: Cássio Alexandre Ramoscassioaramos (at) gmail (dot) comhttp://cassioaramos.blogspot.comhttp://www.facebook.com/cassioaramos

BEM-VINDO À DISCIPLINA DE:Análise de Vulnerabilidades


Análise de Vulnerabilidades e

Metodologia de Ataque


• Fraquezas que podem ser exploradas

– Hardware/firmware

– Software

– Física

– Configuração

– Política

Vulnerabilidades


• Ataques de Segurança

• Tentativa de Intrusão

• Atividade Suspeita

• Anomalia de Protocolo

Definições


Ataques Contra a Segurança


TENTATIVA DE INTRUSÃO

Tentativa de exploração de vulnerabilidade conhecida

Sendmail address parcing buffer overflow

Microsoft WebDAVbuffer overflow

Raramente resultamem alarme falso (falsopositivo)


ATIVIDADE SUSPEITA

� Atividades que precedem um ataque� Mapeamento da rede� Mapeamento de portas

� Pode ser um aviso de que o ataque é iminente� Dificil de se definir


ANOMALIA DE PROTOCOLO

Tráfego não conforme comos padrões das RFC

Exemplo

TCP ACK Scans

Flags TCP setadas de forma estranha

Pode ser umaviso de umexploit desconhecido


Propósito

� Propósito é entender a metodologia de ataque e não formar atacantes

� ..... Poderemos implementar estratégias de defesa efetivas

� Como são realizados os ataques?


Metodologia de Ensino

� Por que escolhemos essas ferramentas e tecnologias?� Porque são de uso corrente� Provêem fundamentação sobre os princípios

utilizados pelos atacantes� Ilustram o que precisamos para uma defesa

efetiva� Algumas delas são bastante interessantes e ““““sujas ””””

� NUNCA subestime o adversário


Metodologia de Ensino � Tentativa – ataque ser independente de plataforma

� Ferramentas individuais podem rodar em Unix, Window s etc

� Enfoque em conceitos de ataque que podem funcionar em diversas plataformas (Novell, VAX, MVS etc)

� Serão incluídos links das ferramentas� Utilize por sua conta e risco� Podem causar danos� Recomenda-se o uso em ambientes de teste e

segregados� O uso de algumas ferramentas pode ser ilegal (verif ique

com o setor jurídico)� Só utilize as ferramentas com permissão formal


Informações do Underground

� Existe muita informação sobre vulnerabilidades de segurança disponível publicamente

� Ferramentas de ataque cada vez mais amigáveis e fáceis de se distribuir

� Script kiddies abusam dessas ferramentas� Ferramentas de qualidade e extremamente

funcionais� Atacante não precisa recriar a roda

� Existe debate a respeito – vulnerabilidades de segurança devem ser publicadas ou devem ser escondidas até que a efetiva defesa esteja disponível???


Informações do Underground

� Atacantes tem excelente rede de comunicações� Chat, IRC, web, twitter, grupos informais e até

conferências oficiais (DEFCON)� Comunidade de segurança precisa aprender a

compartilhar informações� Aumento nas atividades de hacktivismo

� Interesses políticos� Forma mais normal – alteração de sites Web


Informações do Underground• Atacantes estão aprendendo a ganhar dinheiro com có digo

malicioso� Verifique – aonde tem mais dinheiro, maior é a ativi dade

dos atacantes• Como ganhar dinheiro com código malicioso?

� Vendendo código para backdoor / bots� http://rootkit.host.sk/antidetection.php para uma lista de

preços� Venda de keystroke loggers para roubo de informaçõe s

financeiras� Páginas Web dinâmicas – simulam sites de banco� Phishing� Extorsão� Aluguel de bots (robôs)


Informações do Underground• Atacantes alteram site web/ftp e incluem backdoor• Todos que fazem download das ferramentas são afetad os

� Nov 2002: tcpdump.org – alteração na libpcap por backdoor – funcionalidades do tcpdump não foram alteradas

� Março 2003 – gnu.org hackeado e nenhum software alterado (acredita-se)

� Novembro de 2003 – servidores de desenvolvimento Debian comprometidos

� Janeiro 2005: jabber.org comprometido – arquivos de vários projetos alterados

• Grandes nomes já passaram por isso - ..... Windows u pdate .......


Introdução• Atacantes alteram site web e incluem backdoor

• Jan 2013: Site do Banco do Brasil é invadido e tirado do ar por

grupos hackers. Existe suspeita de inclusão de arquivos

maliciosos no mesmo.



• Jun 2013: página oficial do governo brasileiro

(www.brasil.gov.br) na Internet, teve seu conteúdo

alterado indevidamente.



• Ago 2013: Site do PMD é invadido por hackers pela segunda

semana e cobram de Sergio Cabral explicações sobre

paradeiro de amarildo.



• Set 2013: Um dos Sites da Apple destinado a

desenvolvedores foi invadido por um hacker que pode ter

roubado informações pessoais desses profissionais.


Informações do Underground - defesas

• O que fazer para não baixar backdoor?� Checar hashes .... em vários mirrors

� md5 e sha-1, pelo menos� md5sum e sha1sum são nativos do linux� md5summer – disponível para win em

md5summer.org� Não colocar software novo em produção - teste

primeiro� Período de testes - tempo valioso para verificar

em sites especializados se há algum problema no download


Informações do Underground – Golden Age

• Casamento de ferramentas e virus/worms resultaem poderosas técnicas de hacking� Worms cada vez mais sendo utilizados para carregar

backdoors, password crackers e scanners

• Época de ouro para hacking e cracking –conseqüentemente é tempo de Segurança daInformação


Metodologia um Ataque

� Fases� Reconhecimento� Scanning� Obtenção de Acesso� Negação de Serviço� Manutenção do Acesso� Cobertura – limpeza de rastros


Reconhecimento

� Ajuda o atacante a conhecer a vítima antes de desferir qualquer pacote ofensivo� Internet é um tesouro de informações de

interesse� Essas informações são públicas – não há crime

� Antes de um assalto a banco é boa prática conhecer a rotina de funcionários, horários de abertura e fechamento do cofre, localização de câmeras etc


Reconhecimento

� Baixa Tecnologia

� Pesquisa na Web

� Base de Dados Whois

� DNS

� Principais Ferramentas de Reconhecimento


Reconhecimento

� Baixa Tecnologia

� Engenharia Social

� Acesso Físico

� Dumpster Diving


Reconhecimento

� Baixa Tecnologia� Engenharia Social

� Ataque a boa fé� Telefone para helpdesk como funcionário

solicitando abertura de conta, e-mail, ramal VoIP

� Simular gerente com problemas de acesso� Simular admin pedindo que usuário troque

senha� Solicitação de acesso remoto� etc....� Kevin Mitnick's. The Art of Deception


Reconhecimento� Baixa Tecnologia

� Acesso Físico� Intruso quebra segurança física � Não precisa invadir sistema para obter

informações� Pode plantar backdoors em sistemas� Atacante pode ter acesso a rede local, que

não está protegida por firewall� Roubo de pen drives, CDs, HDs, DVDs e

documentos� Pode utilizar técnicas de engenharia social

em conjunto


Reconhecimento

� Dumpster Diving� Coleta de Lixo

� Papel� CD, DVD, HD etc

� Defesas� Classificação de material controlado� Trituradores de papel, DVDs etc� Procedimento de descarte de mídias e

computadores ((((Ex...caiu na net!!!!!))))� Conscientização


Reconhecimento� Pesquisa na Web

� Pesquisa no site da instituição� Posições oficiais sobre determinados assuntos, como

por exemplo software livre e Tecnologias utilizadas� Cultura e linguagem corporativa - dicionários� Nomes de diretores e empregados� Recentes aquisições e fusões� Telefones de contato (war dialing e engenharia soci al) e

e-mails� Pesquisa em sites relacionados

� Parceiros de negócios� Provedores de Internet� Fornecedores


Reconhecimento - Defesas

� Limitar e controlar as informações no site da instituição

� Verificar atividade – web spider/crawler� logs apresentam acesso ao site inteiro, página por

página em curto período (5 min)� Pode ser somente um robo do google ou outra

ferramenta de busca� Alguém pode estar fazendo download do site

inteiro


Reconhecimento

� Dados públicos� Sites de emprego

� Vagas de emprego anunciadas. Ex. precisa-se de empregado com experiência em

Web Server IIS 5� Sites de jornais – noticias sobre a instituição� Sites de relacionamento – comunidades

relacionadas



� CPF, nomes de funcionários - extorsão



� Endereço, situação fiscal etc..É só colocar o CPF que se verifica o nome completo.....


Reconhecimento

� Pesquisa na Web - GOOGLE� O google possui inúmeras informações que

auxiliam o atacante� Pergunte ao google que ele responde� Grande fonte de recursos

� ““““Ihackstuff ”””” – http://johnny.ihackstuff.com –site com base de dados de google hacking (GHDB)

� Johnny escreveu ““““google hacking for penetration testers ””””


Reconhecimento� Pesquisa na Web – GOOGLE

� Robôs do google visitam os web sites constantemente – é só verificar os logs

� Servidores VNC, servidores Web com backdoors, servidores com Páginas default

� Ex. site:bigbank.com filetype:xls cpf� site:banco.com filetype:asp� site:banco.com .asp� site:banco.com filetype:cgi� site:banco.com filetype:php� allinurl:"exchange/logon.asp ““““


Reconhecimento� Pesquisa na Web – GOOGLE

� Diretiva ““““site ”””” – procura somente no domínio� Diretiva ““““link ”””” – procura os sites que tem link para

determinado site� Diretiva ““““intitle ”””” – mostra páginas que o título bate com

critério de busca� Diretiva ““““inurl ”””” – mostra páginas em que a URL bate com o

critério de busca� Outros exemplos

� ““““social security number ”””” – nome exato� site:.edu SSN xls –pdf – procurar em sites .edu, planilhas

excel que contenham SSN e não incluir arquivos pdf� kickstart file automatically generated by anaconda

rootpw filetype:cfg� etc.....


Reconhecimento

� Pesquisa na Web – GOOGLE� ““““cache:www.site.com.br ”

� Mostra uma versão cacheada da página� Código html é carregado do google� Robôs do google só recebem 101k do código html

e colocam em cache� As imagens vem do site original� Links também vem do site original� Da para ver páginas recentemente removidas


Reconhecimento

� Pesquisa na Web – GOOGLE como proxy� Navegar no cache não é uma boa alternativa de

navegação anonima� Google pode ser usado como serviço de tradução,

trabalhando como proxy limitado� Proxy anônimo mais profissional

� www.all-nettools.com/toolbox� Possui outras funcionalidades


Reconhecimento� Pesquisa na Web – ““““Wayback Machine ””””

� http://www.archive.org � Mostra como o site era no passado� Permite que se navegue interativamente no cache � As imagens, se ainda estiverem no site original, s erão

carregadas deste. Caso contrário virão do cache


Reconhecimento• Pesquisa na Web – GOOGLE

� Pode-se usar o google para pesquisas associadas a falhas comuns em servidores web ou de desenvolvimento� Página web default (apache, IIS, ColdFusion, etc)

� Alguns worms usam essas técnicas para localizar sistemas vulneráveis � Worm saint de Dez de 2004 procurava por

vulnerabilidades em scripts phpBB• Lista mantida em GHDB – johnny.ihackestuff.com


Reconhecimento - Whois

• Quando se registra um domínio algumas informações devem ser providas� Endereços� Tel de contato� Servidores de domínio autoritativos

• Essas informações podem ser utilizadas em um ataque� Engenharia social – nomes de contatos� War dialing – números de telefone� War driving – endereço � Scanning – endereços IP


Pesquisa Whois por blocos IP• Atacantes buscam blocos de IP designados a alvos em bancos

de dados whois geográficos • http://www.countryipblocks.net/country-blocks/selec t-formats/

� ARIN (american registry for internet numbers)� http://www.arin.net

� RIPE NCC (reseaux IP europeens network coordination centre)� http://www.ripe.net

� LACNIC (latin american and caribbean NIC)� http://lacnic.net

� DoDNIC (department of defense NIC)� http://www.nic.mil/dodnic/

• Outros sites uteis para checar informações Whois� http://www.allwhois.com e http://www.uwhois.com


Base Whois

• Bancos de dados Whois estão distribuídos pela Internet e contém inúmeras informações� Muitos podem ser acessados via web� Alternativamente podem ser utilizados comandos

em implementações Unix• 1º procure o alvo no InterNIC (international network

information) para determinar o registrar� http://www.internic.net/whois.html� http://registro.br


Pesquisa Whois • Consulta a site - http://registro.br/cgi-bin/whois/# lresp


Pesquisa Whois• Whois checkpoint.com

• Server Name: CHECKPOINT.COM• IP Address: 216.200.241.66• Registrar: NETWORK SOLUTIONS, LLC.• Whois Server: whois.networksolutions.com• Referral URL: http://www.networksolutions.com

• Whois 216.200.241.66• CHECKPOINT SOFTWARE MFN-B655-216-200-241-64-28

(NET-216-200-241-64-1) 216.200.241.64 - 216.200.241.79• Abovenet Communications, Inc ABOVENET-5 (NET-216-

200-0-0-1) 216.200.0.0 - 216.200.255.255• American Registry for Internet Numbers NET216 (NET-

216-0-0-0-0) 216.0.0.0 - 216.255.255.255


Defesa contra Reconhecimento Whois

• Simplesmente conviva com isso ....� A Internet é assim

• Use o nome da organização, telefone e e-mail alias –[email protected]� É importante que esses dados estejam corretos – caso

contrário, em caso de problemas, vc não será encontrado

• Pode-se utilizar registros anônimos� www.domainsbyproxy.com� Dificilmente vc será encontrado caso ocorra algum

problema – Ex. seu site atacando outros


Reconhecimento

� Base de Dados Whois� Informações de domínio, IP, contatos etc.� Autoridades de registro

� www.internic.net/alpha.html ,


Reconhecimento� DNS

� Servidores de nomes possuem informações úteis sobre alvos

� O objetivo dos atacantes é descobrir o maior número de IP associados ao domínio vítima

� Informações de DNS são públicas� Comando nslookup pode ser usado para interagir com

o DNS Server� Incluído no Windows NT/2000/XP� Algumas implementações Unix não possuem ou

não tem todas as funcionalidades, como por exemplo transferência de zonas

� Outra ferramenta útil - dig


Reconhecimento

� DNS� Consulta interativa

� root@bt:~# nslookup�> www.checkpoint.com�Server: 172.16.49.2�Address: 172.16.49.2#53

�Non-authoritative answer:�Name: www.checkpoint.com�Address: 216.200.241.66


Reconhecimento


� root@bt:~# nslookup� > set type=mx� > checkpoint.com� Server: 172.16.49.2� Address: 172.16.49.2#53� Non-authoritative answer:� checkpoint.com mail exchanger = 12 cale.checkpoint.com .� checkpoint.com mail exchanger = 15 usmail-as.zonelabs.com .


Reconhecimento


� > set type=ns� > checkpoint.com� Server: 172.16.49.2� Address: 172.16.49.2#53� Non-authoritative answer:� checkpoint.com nameserver = ns2.checkpoint.com.� checkpoint.com nameserver = ns6.checkpoint.com.� checkpoint.com nameserver = ns8.checkpoint.com.� checkpoint.com nameserver = ns1.checkpoint.com.


Reconhecimento


� root@bt:~# nslookup ns2.checkpoint.com�Server: 172.16.49.2�Address: 172.16.49.2#53

�Non-authoritative answer:�Name: ns2.checkpoint.com�Address: 208.185.174.141


Reconhecimento

� DNS� Transferência de zona – atacante pode determinar

que máquinas são acessíveis pela Internet� Uso do nslookup

c:\> nslookup> server [IP_do_servidor_autoritativo]> set type=any> ls –d [dominio_alvo]

� Lembre-se de utilizar esses comandos nos servidores primários e secundários


Reconhecimento

� DNS� Transferência de zona – em ambientes Unix o

nslookup pode ser utilizado em algumas versões� Algumas versões não suportam o nslookup e

outras não suportam todas as funcionalidades � Nesse caso deve-se utilizar o dig

$ dig @[dns_server_IP] [domínio_alvo] –t AXFR


Reconhecimento � DNS

� Transferência de zona� root@bt:~# host -t ns offensive-security.com� offensive-security.com name server ns2.no-ip.com.� offensive-security.com name server ns4.no-ip.com.� offensive-security.com name server ns3.no-ip.com.� offensive-security.com name server ns1.no-ip.com.� offensive-security.com name server ns5.no-ip.com.� root@bt:~# host -l offensive-security.com ns4.no-ip.com� ; Transfer failed.� Using domain server:� Name: ns4.no-ip.com� Address: 75.102.60.46#53� /pentest/enumeration/dnsenum# ./dnsenum.pl dominio


Reconhecimento DNS - Defesas

� Não permitir transferência de zona com qualquer sistema � Servidor primário só aceita transferência para o

secundário e terciário etc� Secundário e terciário não transferem para

nenhum sistema� Utilize arquitetura dividida

� Servidores externos e internos� Assegure-se que seus servidores DNS externos

passaram por Hardening� Verifique nos logs DNS tentativas de transferência de

zona - tcp porta 53


Reconhecimento� Ferramenta de Reconhecimento

� Freeware Sam Spade de Steve Atkins - www.samspade.org

� Ping

� Pesquisa Whois

� Nslookup

� Zone transfer

� Traceroute

� Finger

� SMTP VRFY

� Web Browser


Reconhecimento

• Ferramenta de Reconhecimento � SamSpade – caracteristicas adicionais

� crawl website – faz download do site e cria espelho local

� Faz o mesmo que wget –r

• Scanning pode ser feito por aplicação cliente ou via web – se web, toda atividade será lançada pelo site


Reconhecimento

• Diversos sites oferecem pesquisa e ataque a outros sites• Para a lista completa – www.attackportal.net• Links para scanning Web (traceroute, ping, port sca n,

smurf, testes DoS etc..� www.samspade.org� www.blackcode.com/net-tools/� http://www.tracert.com/trace_exe.html� www.network-tools.com� www.cotse.com� privacy.net/analyze/� www.securityspace.com


Scanning – War Driving

� É o processo de procurar redes wireless desprotegidas

� Cada vez mais os próprios usuários criam suas redes sem fio sem autorização institucional

� É necessário um laptop e um cartão wireless � Informações adicionais em www.wardriving.com



� Muitos AP wireless sem a mínima preocupação de segurança� Default SSID

� Por default muitos AP respondem a request de SSID� Mesmo os AP configurados para não responder, o

SSID será enviado em texto claro para usuários autenticados� Lembre-se – SSID não provê segurança

� Alguns protocolos de segurança wireless tem vulnerabilidades significativas (WEP e LEAP)� Mesmo habilitando esses protocolos não é

suficiente


Scanning – War Driving� Ferramenta Netstumber

� Desenvolvida por Marius Milner� www.netstumber.com� Free, mas sem código fonte� Detecta rede 801.11a/b/g/n� Win (95, 98, ME, 2000 e XP, vista e 7) e alguns mob iles – não

funciona com NT� Pode ser usada com GPS� Alguns problemas com hardware

� Ver compatibilidade www.stumber.com/compat/� Muito barulhenta – funciona enviando beacon request

� Não detecta AP que não respondem a beacon (broadcas t desabilitado)

� Mesmo assim AP pode ser detectado – é só usar outra ferramenta - Wellnreiter


Scanning – War Driving� Ferramenta Netstumber

� Busca de access points� Scanning ativo – envio de probes (netstumbler)



� Ferramenta Wellenreiter� Desenvolvido por Max Moser, Michael Lauer, Steffen

Kewitz e Martin J. Muench� Excelente sniffer wireless – captura dados no format o

tcpdump� Diferente do netstumber pode funcionar em passivo –

escuta equipamentos que não fazem broadcast de SSID� Funciona em ambiente Linux� www.wellenreiter.net e sourceforge.net/projects/

� Analisa protocolo DHCP – consegue identificar o range de IP alocado a rede alvo


Scanning – War Driving� Ferramentas adicionais

� Sniffer tradicional pode ser utilizado� Tcpdump, wireshark etc

� Sniffer para uso específico em redes wireless –melhor análise no frame de dados� Kismet – para linux www.kismetwireless.net ,

descobre AP passivamente� Airsnort – airsnort.sourceforge.net – utilizado

para crack de WEP


Ataque a cliente wireless

� Hotspotter – Ataque a clientes XP� Desenvolvida por Max Moser� Disponível em www.remote-exploit.com� Funciona em Linux e monitora passivamente frames

request probe de clientes XP� Durante o boot, em power safe e em caso de perda de

sinal XP envia frames listando suas redes preferida s � Quando hotspotter vê isso, manda resposta dizendo q ue

é o AP� Em ambientes públicos........� Cliente se associa, hotspotter fica no controle

� Envia IP, faz scan, infecta a vítima com worm, MITM


War Driving – Defesas

• Use SSID aleatório/discretos – evite SSID ““““banco_tal ””””• Use filtro de MAC

� Não escala bem e pode ocorrer spoof• Utilize protocolos de autenticação e criptografia fo rtes

� 801.11i é mais seguro� Use TKIP para troca de chaves� AES para criptografia� WPA

• Utilize VPN


Scanning – War Dialers

� War Dialing – discam uma sequência de números telefônicos na tentativa de localizar modems

� Demon Dialers – discam para um número para conduzir ataques de força bruta em senhas

� Muitos modems estão desprotegidos, o que facilita a entrada de atacantes

� THC-Scan 2.0 – escrito por Van Hauser� Disponível em http://www.thc.org/release.php� Ferramenta é uma versão atualizada do ““““ToneLoc


Scanning� War Dialing

� THC-Scan 2.0� Ferramentas automatizam a busca – atacante pode

escanear até 1000 tel em uma noite� Acesso interno a rede� Como buscar telefones: google, site da instituição,

Whois, engenharia social, Páginas Amarelas etc

� Verificar banners

� Quebrar senhas, se existirem

� Escanear a rede

� Escuta passiva


Defesas - War Dialing

� Rígida política de uso de Modems na Instituição� Ter inventário de todos os modems com respectivas

necessidades� Se modems são necessários deve-se fortalecer seus

métodos de autenticação (token, cripto etc)� Conduzir exercícios de war dialing na sua rede

� Lista de telefones da Instituição – verificar pela c onta telefônica

� Ferramenta comercial de war dialing� Sandstorm ´́́́s Phonesweep – www.phonesweep.com


Scanning

� Mapeamento de Rede� Atacantes podem fazer mapeamento

� Pela Internet� Pela Rede sem fio identificada em War Driving� Pela rede local via modem ou com acesso físico� Nessa fase o atacante tenta conhecer a topologia da

rede� Arquitetura da rede – Firewall, DMZ, IPs, regras� Serviços disponíveis – Http, Ftp, Smtp etc� Sistemas Operacionais em uso


Scanning

� Mapeamento de Rede� Atacantes querem entender a topologia da rede alvo

� Conectividade com a Internet – DMZ, perímetro, serviços disponíveis

� Redes internas – acessiveis por modems ou wireless

� Disposição dos roteadores e hosts pode expor vulnerabilidades

� Cheops-ng – ferramenta para linux utilizada para mapeamento de rede, escrita por Brent Priddy� cheops-ng.sourgeforge.net


Scanning

� Cheops-ng – BT-Final� Ferramenta de gerencia – GUI

� Barulhenta...não é utilizada por atacante tentando mapeamento stealthy

� Facilmente detectável por IDS� Front-end para:

� Trace� Ping� O.S fingerprint


Scanning

� Mapeamento de Rede� ICMP echo request

� Pacotes TCP porta 80

� Pacotes TCP ACK

� Pacotes UDP portas estranhas

� Traceroute

� Regras Fw....

� etc


Scanning� Mapeamento de Rede

� Ferramenta Cheops-ng automatiza (linux)� Faz fingerprint de S.O

� http://cheops-ng.sourceforge.net� http://news.netcraft.com/


Cheops -ng Defesas

� Desabilitar ICMP incoming� Seus usuários não conseguirão pingar� Isso é ruim???

� Desabilitar mensagens outgoing ICMP TTL Exceded

� Seus usuários não conseguirão fazer trace� Isso é ruim??

� IDS tem assinaturas que procuram ping sweep e traceroute

� Podem acontecer falso positivos


Ping Sweeping

� Muitos port scanners testam se um sistema está em uso antes de fazer scanner

� Fazem isso por meio de ping sweeping� Enviam echo request para diversos IPs – se sistema

responde está vivo. Caso contrário está desligado� Alguns port scanners, por default, somente fazem sc an

em sistemas em que possam pingar

� Pode ser reconfigurado � -P0 informa ao nmap para não pingar o alvo


Scanning – Port Scanning

• TCP e UDP possuem portas� 65536 portas cada

• Port Scanner envia pacotes para várias portas para determinar quais estão em escuta� Encontra tcp 80 – web server� Encontra tcp 23 – telnet server� Encontra udp 53 – DNS server

• Números de portas podem ser encontrados em:� http://www.iana.org/assignments/port-numbers


Port Scanning com NMAP

• Ferramenta muito utilizada com avançadas capacidades de scanning

• Muito popular na comunidade de segurança• Desenvolvida por Fyodor• http://www.insecure.org/nmap• Nmapfe – versão GUI• Disponível para linux e Windows


Scanning� Como determinar portas abertas

� Atacante pode identificar serviços rodando� Serviços são normalmente associados a portas

� www.iana.org/assignments/port-numbers� Ferramenta – nmap www.insecure.org/Nmap



� Tipos de scan� TCP Connect – 3 way Completo (não é stealth)� TCP Syn – envia Syn e aguarda Syn+Ack (mais

silencioso)� TCP Fin – envia Fin – RST indica porta fechada, sem

resposta, a porta pode estar aberta� TCP Xmas – todas a flags setadas - RST indica

porta fechada, sem resposta, a porta pode estar aberta

� Ack scan� Idle Scanning – faz scan com spoof de origem� UDP scanning� S.O fingerprint


Scanning

� Como determinar portas abertas� Tipos de scan

� TCP Connect – 3 way Completo (não é stealth)� Aderente a RFC� Fácil de detectar – cria log no sistema final


Scanning

� Como determinar portas abertas� Tipos de scan

� TCP Syn – envia Syn e aguarda Syn+Ack (mais silencioso, pois não completa 3 Way

� Envia Syn, recebe Syn+Ack e envia RST� Stealth e mais rápido – não cria entrada no log� Roteadores, firewalls e IDS detectam



� Tipos de scan

� TCP Ack Scan

� Indica se hosts estão vivos e filtros aplicados



� Idle Scan

� Determina portas abertas (spoof IP do atacante)

� Monitora ID do inocente –campo do header IP (frag)

� Inocente deve ser silencioso (idle) e ter ID incremental ou previsível (muitos Win)

� Scan – atacante envia Syn com IP origem de inocente –se porta aberta, inocente recebe Syn+Ack e envia RST (incrementa ID). Se porta fechada inocente recebe RST e não responde (não incrementa ID)


Scanning

� Scanner de Vulnerabilidades� O que o atacante sabe até agora?

� Lista de hosts ativos� Topologia � Lista de portas ativas� Sistemas Operacionais� Regras de filtragem


Scanning� Scanner de Vulnerabilidades

� Idéia – automatizar o processo de conexão ao alvo e verificar se existem vulnerabilidades

� Ferramentas tem inventário de vulnerabilidades de s istemas� Erros comuns de configuração� Configurações default� Vulnerabilidades bem conhecidas

� Ex. scanner verifica se sistema está rodando versão vulnerável de SSH

� Lista de serviços e versões rodando nos hosts� Exemplos

� ISS's Internet Scanner ( www.iss.net )� E-eye's Retina Scanner ( www.eeye.com )� Nessus ( http://www.nessus.org )


Scanning

� Scanner de Vulnerabilidades� Nessus

� Verifica

� Backdoors

� CGIs

� Cisco

� Contas Unix default

� Windows

� DoS

� Problemas SMTP

� SNMP

� etc.....


Obtenção de Acesso pela Rede

� Sniffers� O que é? � Protocolos Vulneráveis� MAC flooding� ARP Poisoning� Captura de Sessão� Contra-medidas

� Spoofing e defesas� Ataques a Servidores DNS� Ataques HTTP


Sniffer

Sniffing


Sniffers• São capazes de capturar informações

– Ethernet permite uso de sniffers – captura de senhas e informações

– Ethernet – utiliza broadcast no segmento• Switch limita essa característica


Sniffers• Capturam pacotes da rede

– Captura em tempo real ou salvando no disco para posterior análise– Essenciais para fins de teste e depuração– Interceptação passiva: difícil de detectar

• Analisadores de Protocolo– Decodificam os dados binários para um formato mais legível para o ser humano

• Impacto de segurança– Muitos protocolos transmitem dados sensíveis às claras, sem nenhum tipo de proteção especial


Sniffers• Dependência da Ligação Física

– Hubs: Todos os pacotes retransmitidos pelo hub em todas as portas - permite a captura dos dados no mesmo “segmento”– Switches: somente broadcasts e pacotes para o destino

• Modo promíscuo– placa de rede processa os pacotes, mesmo os que não sejam destinados para o seu endereço MAC– Maior quantidade de pacotes a analisar - impacta a performance– Os SOs tipicamente requerem privilégios de administrador para habilitar esse modo


Sniffers

• Tcpdump e windump – freeware• Snoop – solaris• Wireshark – free, open• Snort – free, open e comercial• Sniffit – free e open• dsniff - free e open (suite de ferramentas)


Sniffers

• Wireshark

�Linux ou Win

�Formato libpcap

�Entende mais de 500 protocolos

�GUI

�Cuidado com bugs


Sniffers• Dsniff

– Suite de ferramentas que facilitam o monitoramento– Escrita por Dug Song– Funciona em redes sem fio e cabeadas– Linux e alguns componentes foram portados para Win32

• Dsniff, mailsnarf, urlsnarf e webspy– Componentes

• Dsniff, arpspoof, macoff, tcpkill, tcpnice, mailsnarf, urlsnarf, webspy, DNSSpoof, Webmitm, SSHmitm


Sniffing: contra-medidas• Usar protocolos “fortes”:

– Criptografia: previne que os dados capturados sejam analisados (“previne interceptação”)– Verificação de integridade:

previne ataques de inserção– Geralmente não é uma opção disponível

• Controlar o acesso ao meio físico– Rigor na ativação de pontos de rede– Controle rigoroso de acesso físico ao cabeamento– Evitar usuários com poderes de admin nos PCs

• Segurança dos Roteadores– Hosts usados como roteadores devem ser difíceis de serem invadidos

• Detectores de sniffers– Eficácia questionável


Alguns protocolos vulneráveis• Correio: SMTP, POP3, IMAP• Compartilhamento de arquivos• – NetBIOS, NFS (e praticamente tudo de RPC)

• Transferência de arquivos: FTP• Shell remoto: – RLOGIN, TELNET, RSH• Controle remoto e sistemas de janelas:– VNC, X11• Multimídia– H.323 (NetMeeting)• Instant messaging e chat: AIM, IRC, Talk• Web: HTTP


Mais protocolos

• Resistentes– controle remoto: pcAnywhere, ICA (Cytrix WinFrame)– Web: SSL/TLS– Rede: IPSec (sob certas condições)– Shell remoto: SSH (não usar versão 1)– Permite tunelar conexões TCP quaisquer, podendo tornar X11 e vários outros protocolos mais resistentes


Sniffers especializados• Decodificam protocolos de rede comuns

– Extraem os dados das aplicações (correio, etc)– Isolam logins, senhas, credenciais

• ReplayTools– Remonta as sessões TCP

• DSniff– Remonta sessões e extrai login/senhas de mais de 30 protocolos comuns

• Mailsnarf– Captura e-mails e salva em arquivos texto

• Webspy– Captura URLs e move o browser até elas em tempo real


Protocolo ARP

• Address Resolution Protocol - RFC 826– Protocolo de Resolução de Endereços

• Mapeia Endereços IP ⇔ Endereços MAC– Só faz sentido no âmbito de IP sob Ethernet– Totalmente sem autenticação– Crédulo: aceita respostas a perguntas que ele

não fez


Protocolo ARP

• Cache ARP

– Mantém na memória do computador durante algum tempo (da ordem de minutos) as associações entre endereços IPs e MACs

– Registra qualquer coisa que lhe seja mandada, inclusive o que não perguntou.


ARP• CACHE DE RESOLUÇÃO DE ENDEREÇO

– Broadcast é muito caro para ser usado sempre que uma máquina queira transmitir um pacote para outra, pois isto requer que toda máquina processe o pacote de broadcast

– Para reduzir custos de comunicação, hosts que utilizam ARP - mantêm um cache das associações de endereços Internet-ETHERNET obtidos recentemente

– Esse armazenamento evita que um ARP seja utilizado repetidamente

– Portanto, quando um host recebe um reply de ARP, ele salva o resultado no seu cache

– Ao transmitir um pacote de ARP, o host olha o seu cache. Caso o endereço desejado se encontre no cache, o pacote será enviado diretamente


MAC Flooding

• O switch monta dinamicamente uma tabela associando portas com endereço MAC

• Para cada frame que entra, uma linha da MAC Address/CAM table é acrescentada, ou se já presente tem seu timer reinicializado


CAM normal 1/3Content Addressable Memory






CAM overflow 1/2Content Addressable Memory


CAM overflow 2/2Content Addressable Memory


Contra-medidas

• Port secure / MAC based filtering• Limitar a quantidade de endereços que

uma porta pode aprender• Especificar os endereços que uma porta

pode aprender• Administrativamente pode ser um

pesadelo• Engessa a infraestrutura....


ARP Gratuito – cache poisoning

4

Config IP Forwarding enviar pacotes para GW

Enviar ARP reply. para redirecionar traf. Para atacante

Vitima envia tráfego destinado Internet

3

2

Sniff o tráfego

1

Pacotes são redirecionados do atacante para GW

5


ARP Spoofing

• Ferramentas

– Hunt

– Dsniff

– Ethercap


Como enganar DNS

4

Atacante ativa DNSSpoof

Atacante envia falsa resp. DNS

Vítima tenta resolver nome DNS

2

1

www.banco.com10.22.12.41www.banco .com

Atacante sniff DNS req.3

www.banco .com10.1.1.56

5 Vítima navega no site do atacante

Site do atacante10.1.1.56


Sniffing SSL

2

Atacante ativa DNSSpoof e webmitm

DNSSpoof envia DNS resp com End IP do atacante10.1.2.3

Vítima estabelece conexão SSL sem saber que atacante está fazendo proxy

3

1

Webmitm faz proxy da conexão. Estabelece Https com servidor e envia seu cert para vítima

4

10.1.2.3

5 Vítima navega no site desejado, mas tráfego é visto pelo atacante

www .banco. com10.22.12.41


Detectando Sniffing

� Localmente� Ifconfig – Linux� Ifstatus – Solaris� PromiscDetect – Windows NT 4.0 / 2000 / XP / 2003 /

Vista (http://www.ntsecurity.nu/toolbox/promiscdetect)

� Remoto� Sentinel

� EtherARP – envia arp request com MAC falso� EtherPing – envia ping


Defesa contra Sniffing

� Observar manipulação de ARP� Entradas Arp erradas são sinal de sniffing� Windows e Linux – Arp – a

� Pela Rede � ARPWatch - http://www -nrg.ee.lbl.gov/

� Monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP

� NIDS – com assinaturas específicas para tráfego ARP


Session Hijacking

� Roubo de sessão� Focado em sessões orientadas a aplicação

� telnet, ftp rlogin etc..� Ferramentas: Hunt e Ethercap


Procurando uma Sessão

Eva

Alice Bob

Rede

� Alice faz telnet em Bob


Capturando a Sessão

Ola, eu sou Alice

Eva

Alice Bob

Rede

� Atacante pode monitorar o tráfego e gerar pacotes c om o mesmo número de seqüência

� Atacante pode tirar Alice da jogada e fazer alteraç ões em Bob. Os logs mostram que Alice fez as alterações

� Sniffing + spoofing� Se autenticação é por token, mas sem criptografia o ataque

pode ser realizado


Ack Storms

Ola, eu sou Alice

Eva

Alice Bob

Rede

� Se atacante somente seqüestra a sessão, fazendo spoofing de pacotes, os números de seqüência nas pontas perdem o sincronismo

� Na tentativa de sincronia eles reenviam Syn e Acks de um lado para o outro – ack storm


Captura de Sessão e Arp Poisoning

IP=1.2.3.4MAC=BB.BB

Eva

Alice Bob

Rede

� Para evitar ack storm� Eva faz DoS em Alice� Ou, mais interessante, usa Arp cache Poisoning

IP=5.6.7.8MAC=AA.AA

Arp 5.6.7.8CC.CC...

Arp 1.2.3.4DD.DD..

IP=????MAC=CC.CC..


Captura de Sessão

� Ferramentas� Hunt� TTYWatcher � IP-Watcher – comercial� Ethercap – linux, FreeBSD e OpenBSD


Captura de Sessão

� Defesas� Tabela Arp fixa em redes sensíveis� Port security

� Cada porta física – só 1 MAC� Cada porta física – só MAC específico

� Criptografia na sessão e autenticação forte� Não use aplicações inseguras para configurar

equipamentos – telnet ou ssh??� Use ARPWatch na rede� Atenção a msg de erro (browser e ssh)


Spoofing de IP• Spoofing – tentar se passar por alguém• Finalidade

– Enganar roteadores– Enganar firewalls– Se aproveitar de relações de confiança– DoS

• 3 tipos principais– Sabor 1 - Trocar o IP– Sabor 2 - Spoofing de IP – guessing sequence

number (previsão de número de seqüência)– Sabor 3 - Spoofing de IP – Source routing


Sabor 1 - Trocar o IP

• Efetuar a troca de IP na interface de rede• Utilizar gerador de pacotes com IP • Simples, mas

– Não haverá respostas – o pacote será roteado para o IP verdadeiro

– Não fecha o three-way handshake


Sabor 1 - Trocar o IP

BobAlice

Eva

Three-way handshake não

acontece Syn (ISNa)

Ack (ISNa + 1) Syn (ISNb)

RESET !!!!!


Sabor 2 – Guessing sequence Number

Bob

Alice

� O atacante tenta adivinhar o número de seqüência

� Explora relações de confiança - Unix� Variante desse ataque foi usado por

Kevin Mitnick


Sabor 2 – Guessing sequence Number

� Numero de seqüência, em alguns casos é previsível

� Atacante tenta prever número de seqüência futuro

� Se acontecer Bob vai pensar que Eve é Alice� Mas Alice não vai dar RESET!!!� DoS em Alice


Sabor 2 - Guessing sequence Number

BobAlice

EvaDoSSyn (ISNa)

Ack (ISNa + 1) Syn (ISNb)

Eva envia Syn e rcb Syn-Ack (sem

spoofing)

0

1

3

4

Ack (ISNb + 1)

2


Sabor 2 - Guessing sequence Number

• Eva tem um canal aberto com Bob• Eva pode enviar comandos para Bob• Claro que Eva não recebe msg de Bob

– Msg são enviadas para Alice– Alice não pode responder ou Resetar

• Eva faz vôo cego mas pode, por um instante reconfigurar Bob– Pode reconfigurar /etc/hosts.equiv– Como detectar essa reconfiguração???


Sabor 3 - Spoofing IP – Source routing

• Utiliza a opção Source routing • Atacante precisa receber as respostas• Ataque mais simples que o sabor 2

– Independente de plataforma e não precisa de relações de confiança

• Pacote parece vir do endereço spoofado• Todos os pacotes seguem o caminho• Atacante pode interpretar as respostas• Ferramenta - netcat



BobAlice

Eva

Rede entre Eva e Bobdeve suportar sourcerouting

Rede entre Alice e Eva eAlice e Bob não precisasuportar source routing

Rota

1 - Alice

2 – Roteador X

3 – Eva

4 - Roteador Y

5 - Bob

Conteúdo Pacote

Rota

1 - Bob

2 – Roteador Y

3 – Eva

4 - Roteador X

5 - Alice

Conteúdo Pacote



• Atacante consegue completar o three-way handshake

• Atacante não precisa retransmitir o pacote para Alice

• Alice não participa do jogo – não há RESET


Defesa para Spoofing• Manter número de seqüência imprevisível

– Patch TCP/IP stack• Cuidado com relações de confiança

– Não estenda atrás de firewall – só com VPN– Cuidado com Windows e Unix

• Não use autenticação baseada em IP– Senhas e outras técnicas

• Utilize ssh no lugar dos r-command• Utilize filtros anti-spoof em firewalls e roteadores


Detalhes sobre DNS

� Informações adicionais � Cada consulta DNS tem ID própria� Resposta tem que ter mesmo ID� ID as vezes é previsível� Serv. DNS fazem cache das respostas


DNS cache Poisoning

� DNS � Componente crítico da Internet� Mapeia nomes para IP

� www.banco.com = 10.0.0.1� Mail Server banco.com

� mx.banco.com Internet address = 10.0.0.2� Qual é a importância??

� Quase tudo depende de DNS...


DNS cache Poisoning – ID query

Eva

dns.eva.com

Alice

dns.legal.com

www.banco.comdns.banco.com

1Atacante pergunta

any.eva.com??

any.eva.com ??

3

2

Armazena query ID

DNS mantido por Eva

Steps 1 a 3 podem ser repetidos diversas vezes



Eva

dns.eva.com

Alice

dns.legal.com

www.banco.com

dns.banco.com

4

www.banco.com?

Resposta Spoofwww.banco.com=w.x.y.z (DNS ID e portas previsíveis)

6

5

www.banco.com ?

7Cachewww.banco.com=w.x.y.z



Eva

dns.eva.com

Alice

dns.legal.com

www.banco.com

dns.banco.com

9

Vamos ao banco

8

Cachewww.banco.com=w.x.y.z

www.banco.com? w.x.y.z

10


DNS Poisoning - Defesas

� Bind ou Win DNS atualizado - ID query� Utilize um IDS� Configure DNS externos para resolver

consultas recursivas somente para usuários internos� Usuários externos não devem fazer

consultas recursivas – separar servidores� Previne steps de 1 a 3� Questão de configuração

Technology

Analise de Vulnerabilidade