Fernando Mercês apresenta sobre ataques Man-In-The-Middle contra servidores web internos. Ele explica o que é um ataque MITM, analisa a perspectiva do atacante e técnicas como ARP poisoning e DNS spoofing. Ele conclui que autenticação segura, firewalls, IDS e manter servidores DNS seguros pode ajudar a proteger contra esses ataques.

4. Se você já preencheu, ele já está aqui na urna

5. O ganhador deve estar presente até o quinto sorteio. Se não estiver presente ganhará o sexto sorteado

7. MITM é um ataque genérico, pois há várias vertentes a serem exploradas dentro de seu contexto. Falaremos de MITM específico contra webservers internos.

8. Entendendo o MITM

10. Endereçamento dos hosts e servidores, incluindo DNS.

11. Tráfego (sniffing)

12. Autenticação no servidor

13. Página de autenticação

14. Retorno para o usuário

15. Página de autenticação

17. Funções JavaScript

18. Criptografia

22. Útil se o webserver algo for um autenticador de internet (gateways de hotéis por exemplo)

23. # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

25. “Envenenar” esta tabela é colocar o MAC do atacante no registro ARP do IP do webserver alvo.

26. A conseqüência desse ato é que o roteador mandará os pacotes direcionados ao IP do servidor para a máquina do atacante.

27. ARP Poisoning Address HWtype HWaddress Iface 192.168.0.15 ether 00:11:d8:b0:a9:8f eth0 192.168.0.14 ether 00:1a:4d:78:19:aa eth0 192.168.0.63 ether 00:1e:c9:19:52:89 eth0 192.168.0.53 ether 00:40:a7:09:7e:52 eth0 192.168.0.53 ether 00:1d:7d:fc:75:df eth0

28. ARP Poisoning

30. Há várias maneiras de fazer o DNS spoof: cache poisoning, ID spoofing (com ou sem DNS sniffing), etc.

31. A conseqüência desse ato é que o servidor DNS da rede responderá o IP do atacante quando o cliente requisitar resolução do nome do webserver interno.

32. Resultado...

34. Se os usuários forem “treinados”, saberão identificar um servidor forjado. Mas você tem usuários capazes?

35. Dificulta o sniffing da autenticação mas nada ajuda contra o sniffing de DNS e ARP.

36. Então não tem jeito, tem que avisar o usuário, nem que seja com o cadeado!

39. Alerta toda vez que um registro novo é inserido. Isto pode caracterizar envenenamento ou não.

43. Firewall, IDS e IPS de verdade, CONFIGURADOS e AUDITADOS. Não adianta só instalar.

44. Manter seguros seus servidores DNS.

45. Acabar com os pontos de rede “soltos”.

47. Quem sabe como se ataca, defende melhor.;)

48. A carreira de segurança da informação está em alta, não fique de fora!

49. MITM é base para muitos ataques, dominá-lo é de grande importância para o profissional de segurança.

50. Cada vez mais processos importantes estão na web. E a segurança? Essa é sua chance!

52. Obrigado! @FernandoMerces [email_address] www.4linux.com.br www.hackerteen.com twitter.com/4LinuxBR Tel: 55-11-2125-4747

53. Construtor Assunto Data e Horário Luiz Vieira Segurança 22/07 às 10h00 e 23/07 às 11h00 Kinn C Julião Desenvolvimento PHP 22/07 às 11h00 e 23/07 às 12h00 Gustavo Maia Java, eXo Platform, Android 22/07 às 12h00 e 23/07 às 13h00 Fernando Merces Engenharia Reversa 22/07 às 13h00 e 23/07 às 14h00 Bruno Gurgel Alfresco, MediaWiki, BBB, Dimdim 22/07 às 14h00 e 23/07 às 15h00 Caio Candido LPI, Softwares de Acessibilidade 22/07 às 15h00 e 23/07 às 16h00 Débora Lavínia Marketing com Software Livre 22/07 às 16h00 e 23/07 às 17h00 César Domingos Business Intelligence 22/07 às 17h00 e 23/07 às 18h00 Fernando Lozano JBoss AS, Java, Portais 22/07 às 18h00 e 23/07 às 19h00 Rodrigo Tornis Postfix, Expresso 22/07 às 19h00 e 24/07 às 10h00 Anahuac P Gil Kyapanel, OpenLdap 23/07 às 10h00 e 24/07 às 11h00