fundamentos de segurança da informação - willian

William da Silva Vianna – D. ScInstituto Federal Fluminense

FUNDAMENTOS SEGURANÇA DA INFORMAÇÃO

IFF [email protected] 2

FUNDAMENTOS SEGURANÇA DA INFORMAÇÃO

ROTEIRO

- Introdução;- Etapas de um ataque;- Tipos de ataque;- Fontes de (in)segurança;- Algumas medidas de segurança.


INTRODUÇÃO

Desde o surgimento da Internet, a busca por melhores estratégias de segurança tem aumentado consideravelmente, tendo em vista milhares de ataques à segurança da informação, causando perdas e pânico. Esses ataques têm causado prejuízos financeiros e de imagem para empresas, instituições e pessoas físicas. Políticas de acesso e uso, firewalls, sistemas de detecção de intrusos, projetos de rede, backups, entre outros; têm sido as “armas” defensivas nesta guerra da informação.


INTRODUÇÃOConceito de segurança de computadores

Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.

A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários.


INTRODUÇÃOConceito de incidente de segurança

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.

São exemplos de incidentes de segurança:

* tentativas de ganhar acesso não autorizado a sistemas ou dados;

* ataques de negação de serviço;

* uso ou acesso não autorizado a um sistema;

* modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;

* desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.


INTRODUÇÃOConceito de vulnerabilidade

Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.

Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.

Fontes de pesquisa:

http://metasploit.com/

http://packetstormsecurity.org/

http://www.securityfocus.com/vulnerabilities

http://www.exploit-db.com/

http://metasploit.com/

http://www.securityfocus.com/vulnerabilities

http://www.exploit-db.com/


INTRODUÇÃOConceito de malware

Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso".

Alguns exemplos de malware são:

* vírus;

* worms e bots;

* backdoors;

* cavalos de tróia;

* keyloggers e outros programas spyware;

* rootkits.


INTRODUÇÃOVídeo sobre malware

videos/cgi-invasores-g.wmv

CGI.br- Comitê Gestor da Internet no Brasil

http://www.cgi.br/


INTRODUÇÃOConceitos de segurança física e lógica

Lógica – Proteção dos dados utilizando: sistemas de software (IDS, NIDS, filtros/firewall, anti-malware, etc), senhas fortes, políticas de segurança, monitoração constante do tráfego de rede, atualização dos sistemas vulneráveis, controle de acesso lógico por permissões, conscientização dos usuários, etc;

Física – Arquitetura de rede segura, restrição do acesso físico, política e sistemas de backup, sistemas de condicionamento do ar para os servidores, sistema de fornecimento de energia elétrica initerrupta (geradores e no-breaks), etc.


INTRODUÇÃOConceitos de segurança física e lógica

Segurança física


INTRODUÇÃOO perfil dos invasores de sistemas

•Script Kid•Larva•Lammer•Newbie, Noob ou a sigla NB•Phreaker•Hacker•White hat (hacker ético)•Gray hat•Black hat•Cracker•Warez•Virii•Guru ou Coder•Spammer•


INTRODUÇÃOComplexidade versus conhecimento


INTRODUÇÃOIncidentes reportados ao CERT.br


INTRODUÇÃOIncidentes reportados ao CAIS - RNP

Atualizado em: 14.10.2011


INTRODUÇÃOConsiderações

● Segurança da informação tem que ser consideração permanente de qualquer projeto de TI;

● Não existe segurança absoluta;● A segurança é sempre uma questão de economia;● A segurança é antagônico ao desempenho;● O atacante não passa pela segurança, mas em torno dela;● Organize suas defesas em camadas;● Mantenha a coisa simples;● Se não é usado um programa ou protocolo, não importa se eles têm

vulnerabilidades;● A conscientização a respeito das vulnerabilidades é uma forma de defesa;● Informações sobre (in)segurança são abundantes;● A situação tende a ficar cada vez pior !


SEGURANÇA DE REDES E SISTEMASEtapas de um ataque

– Geralmente, as técnicas utilizadas para se planejar um ataque, são:

– Footprinting - Obtenção de informações;

– Scanning - Identificação de serviços ativos;

– Enumeration - Identificação dos recursos que fornecem os serviços


SEGURANÇA DE REDES E SISTEMASFootprinting

– “Footprinting” refere-se ao ato de coletar informações sobre o sistema alvo.

– Um atacante sempre irá recolher o máximo de informações importantes sobre todos os aspectos de segurança de uma organização.

– Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informações de uma grande variedade de fontes e compilar esse “Footprinting”.

– Alguns recursos disponíveis:

– www.internic.net

– whois.nic.gov

– www.google.com

– www.registro.br


SEGURANÇA DE REDES E SISTEMASFerramentas

•Distribuição GNU/Linux•Backtrack


SEGURANÇA DE REDES E SISTEMASScanning

– O scanning tenta identificar os serviços ativos:

– Identificam serviços TCP/UDP;

– Arquitetura do sistema;

– Faixas de IPs.

– Técnicas utilizadas:

– Ping sweeps;

– Port scans;

– Identificação de sistemas operacionais.


SEGURANÇA DE REDES E SISTEMASEnnumeration

– Processo de extrair dos sistemas alvos contas válidas, recursos que estão expostos, falta de pathing;

– É mais intrusivo que o footprinting e o scanning;

– Técnicas:

– Coletas de nomes de usuários e grupos;

– Banners de sistemas;

– Tabelas de roteamento;

– Informações SNMP;


SEGURANÇA DE REDES E SISTEMASTipos de Ataques

● Footprinting● Exploração de Bugs● BackDoors● Arp cache poisoning● Denial of Service ( DoS )● Distributed Denial of Service ( DDoS )● SYN Flooding● Syn sniping● XSS● Ping of death● Buffer overflow● Stack overflow

– Smurf Attacks– IP Spoofing– IP sequence prediction– IP fragementation Flooding– Port Scanners– Password Crackers– Hijacking Attacks– Phishing– Pharming – DNS– Botnet– SQL injection– Outros, muitos outros.


SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (1/10)

Denial Of Service - DOS

– O objetivo principal de ataques do tipo DoS, é bastante simples: indisponibilizar servidores de rede.

– Os ataques DoS afetam diretamente a implementação do IP, o que os torna mais hosts, uma vez que a implementação do IP varia muito pouco de plataforma para plataforma.



Hijacking Attack– O sequestro ( hijacking ) de TCP é oriundo de um descuido

fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execução de comandos em um host remoto.

– Existem produtos disponíveis na Internet que colocam a teoria do hijacking em prática, como o Juggernaut, Hunt e Ettercap.



● SniffersSniffers ou analisadores de tráfego como

também são conhecidos, são dispositivos que capturam os pacotes que estão trafegando pela rede.

Estes analisadores, a princípio, podem ser utilizados para analisar o tráfego de rede e identificar áreas que estão sofrendo com problemas de tráfego.

Devem trabalhar em “promiscous mode”



● Password CrackersPassword Crackers são ferramentas de

simulação que empregam os mesmos algoritmos usados na criptografia de senhas.

Estas ferramentas executam análises comparativas para checar a validação das senhas.



● Buffer Overflow (estouro de buffer)● É uma técnica utilizada para explorar bugs que

geram vulnerabilidade. Ocorre quando um programa ou processo armazena mais dados no buffer (área temporária para armazenamento de dados) do que o previsto. O buffer é criado para conter uma quantidade finita de dados. Quando esta área é ultrapassada ocorre o estouro possibilitando o desvio do programa para operações não previstas. Esta técnica pode ser utilizada pelos atacantes para executar programa indevidamente em clientes e até mesmo servidores.

–



● Cross-site scripting (XSS)● é um tipo de vulnerabilidade encontrada

normalmente em aplicações WEB que activam ataques maliciosos ao injetarem scripts nos clientes a partir de uma página WEB visitada. Um script de exploração de XSS pode ser usado pelos atacantes para:- roubar sessões de usuário;- introduzir um cavalo de tróia;- etc.

–



● Google Hacking - Dorks● Muitos atacantes usam o Google para localizar

vulnerabilidades que posteriormente são exploradas.http://www.exploit-db.com/google-dorks/

–



● SQL Injection● A Injeção de SQL, mais conhecida através do

termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.

–


SEGURANÇA DE REDES E SISTEMASAlguns tipos de ataque (7-8/10)

A SEGUINTE DEMONSTRAÇÃO CONTÉM IMAGENS FORTES, TÉCNICAS OBSCURAS E MALICIOSAS. NÃO DEVE SER VISTA OU REPRODUZIDA POR NINGUÉM.

–



Engenharia social– Phishing e variações

Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir fotos e músicas e outros dados pessoais , ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea, SMS, dentre outros.

Atualmente esta técnica é utilizada em conjunto com outras para promover a grande maioria dos ataques aos clientes da Internet.


SEGURANÇA DE REDES E SISTEMASNova anatomia de um ARTAQUE (10/10)

● Footpriting - who is, NSlookup, Dig, Google, Enumeration;

● Email malicioso - customização de um malware;● Execução do Payload;● Dano - Black email, espionagem, destruição,

sequestro, roubo de seção, etc.

–


SEGURANÇA DE REDES E SISTEMASAs fontes de (in)segurança

http://packetstormsecurity.org

http://www.securiteam.com/exploits

http://insecure.org/sploits.html

http://www.c4ads.org

http://www.nsa.gov

http://www.gocsi.com/

http://www.technewsworld.com/perl/section/security

http://www.google.com

http://www.exploit-db.com

http://www.securityfocus.com

http://www.cert.org

http://www.us-cert.gov

http://nvd.nist.gov/home.cfm

http://www.first.org/

http://cve.mitre.org/

http://xforce.iss.net/

http://www.securiteam.com

http://www.insecure.org


SEGURANÇA DE REDES E SISTEMASMedidas de segurança (1/15)

●Definição da política de segurança e política de uso aceitável;

●Elaboração de uma arquitetura de rede segura;

●Elevação do nível de segurança dos hosts;

●Monitoração contínua do tráfego da rede e dos serviços;

●Definição de testes periódicos à procura de vulnerabilidades;

●Atualização periódica dos hosts;

●Programação segura.



Algumas característica da políticas de segurança e política de uso.

●Definir regras para evitar a quebra de uma ou mais de suas três propriedades fundamentais: confidencialidade, integridade e disponibilidade.

●Atribui direitos e responsabilidades às pessoas que fazem uso dos recursos.

●Definir direitos e responsabilidades do provedor dos recursos.

●Especificar ações previstas em caso de violação da política.



Arquitetura de rede segura, na medida do possível, deve contemplar:

●Least Privilege;

●Choke Point;

●Defense In Depth;

●Weakest Link;

●Fail Safe;

●Universal Participation;

●Diversity of Defense;

●Simplicity;

●Type Enforcement (permissão).



Firewall

O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurança. Os componentes básicos para a construção de um firewall são:

●Packet Filters: são responsáveis pela filtragem (exame) dos pacotes que trafegam entre dois segmentos de rede.

●Bastion Host: computador responsável pela segurança de um ou mais recursos (serviços) da rede.



Filtro de pacotes (Packet Filters):

●Hardware;

●Software de interação (http://www.netfilter.org/);

IPTables - Linux 2.4 e 2.6.

IPChains - Linux 2.2 e 2.4.

IPFWADM - Linux 2.0.

O filtro de pacotes é apenas um dos elementos do Firewall.



Algumas distribuições GNU/Linux criadas especialmente para implementar firewall de rede:

Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall, IPCop Firewall, Linux LiveCD Router, m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e Vyatta



Algumas arquiteturas de Firewall.

A topologia física e lógica de uma rede deve ser planejada e implementada para permitir a implementação da política de segurança e uso aceitável.



Algumas arquiteturas de Firewall.

Existem várias topologias de redes que podem aumentar a segurança da informação. Os seguintes recursos geralmente são aplicados em conjunto com uma rede bem planejada:

●Filtro de pacotes;

●Proxy;

●Filtro de conteúdo;

●Analisadores de tráfego de rede;

●Filtro de aplicação;

●Entre outros.



Elevação do nível de segurança dos hosts:●Particionamento adequado dos discos rígidos dos servidores;●Desativação de serviços desnecessários;●Definição de senhas seguras;●Atualização periódica dos servidores;●Equipamentos e procedimentos Backup;●Leitura periódica de logs;●Configuração de filtragem de pacotes nos servidores;●Definição da administração remota segura;●Controle de acesso a proxies WEB;●Controle de acesso a sites “indesejados”;●Remoção de shell desnecessários;●Segurança física dos servidores;●Pentests periódicos e correção das vulnerabilidades.



Técnicas de defecção de intruso.

IDS – Sistemas de Detecção de IntrusoMonitoração do sistema de arquivos:

Tripwire;Aide.

HoneyPot (pote de mel)DTK;PortSentry;

NIDS – Sistema de Rede para Detecção de IntrusoSnort.



LOGHOST

Um LogHost centralizado é um sistema dedicado à coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositório redundante de logs.



Leitura de Logs:/var/log/messages/var/log/secure/var/log/maillog/var/log/xferloglastlastlog

Outras formas de monitoração de logs:LogcheckLogWatchColorlogs



Logs de comandos do Shell;.bash_history

Detecção de sniffers;AntiSniff

Detecção de rootkits;Chrootkit;Rkhunter;Lsat;Lynis;

Aide;Tripware;Kem_check;Sam Hain;Prelude.



Verificar o que esta sendo executado:ps –auxnetstat –vatlsoffuser –av porta/protocolowhow



Monitoração contínua do tráfego da rede e dos serviços.●MRTG;●Sarg;●Webalizer;●Snort;●Nagios;●Driftnet;●Etherape;●AutoScan.Definição de testes periódicos à procura de vulnerabilidades.●OpenVas/Nessus;●Retina.


SEGURANÇA DE REDES E SISTEMASMedidas de segurança

Existem ataques que geralmente não são bloqueados pelo firewall. Exemplos: XSS e SQL Injection. Estes ataques exploram vulnerabilidades em serviços com códigos mal escritos. Desta forma, um firewall bem configurado não garante segurança total, pois uma porta aberta gera sempre pelo menos uma possibilidade de ataque.

O projeto de qualquer sistema deve ter como base a segurança da informação. Atualização periódica dos desenvolvedores na área de segurança, uso de técnicas e linguagens seguras são algumas ferramentas para combater a insegurança.


SEGURANÇA DE REDES E SISTEMASIdiotices (1/2)

* Assumir que os usuários irão ler a política de segurança por uma mera solicitação;* Criar políticas de segurança que não podem ser garantidas;* Praticar políticas de segurança que não foram devidamente aprovadas;* Executar testes de vulnerabilidade, mas não acompanhar os resultados;


SEGURANÇA DE REDES E SISTEMASIdiotices (2/2)

* Adquirir produtos caros quando uma simples correção poderia consertar 80% do problema;* Banir o uso de discos USB externos e continuar sem restringir acesso à Internet;* Agir com superioridade frente aos colegas da área de redes, administração de sistemas e desenvolvimento;* Usar a mesma senha em sistemas que diferem quanto a exposição ao risco ou criticidade de dados.


SEGURANÇA DE REDES E SISTEMASFIM

NÃO EXISTE PROTEÇÃO CONTRA IDIOTICE

FIM

Contato: [email protected]

fundamentos de segurança da informação - willian

Documents