O documento apresenta uma introdução a um curso sobre análise de vulnerabilidades, discutindo etapas de reconhecimento e ataque, como pesquisa na web, whois e ferramentas de varredura. Também aborda informações disponíveis publicamente e técnicas usadas por atacantes.
1. Prof: Cássio Alexandre Ramos
cassioaramos (at) gmail (dot) com
http://cassioaramos.blogspot.com
http://www.facebook.com/cassioaramos
Pós-Graduação - lato Sensu
BEM-VINDO À DISCIPLINA DE:
Análise de Vulnerabilidades
6. TENTATIVA DE INTRUSÃO
Tentativa de exploração de vulnerabilidade
conhecida
Sendmail address parcing buffer overflow
MicrosoftWebDAV buffer overflow
Raramente resultam em alarme falso (falso
positivo)
Pós-Graduação - lato Sensu
7. ATIVIDADE SUSPEITA
Pós-Graduação - lato Sensu
Atividades que precedem um
ataque
Mapeamento da rede
Mapeamento de portas
Pode ser um aviso de que o ataque é iminente
Dificil de se definir
8. ANOMALIA DE PROTOCOLO
Tráfego não conforme com os padrões das RFC
Pós-Graduação - lato Sensu
Exemplo
TCPACK Scans
Flags TCP setadas de forma estranha
Pode ser um aviso de um exploit desconhecido
9. Pós-Graduação - lato Sensu
Propósito
Propósito é entender a metodologia de
ataque e não formar atacantes
..... Poderemos implementar estratégias de
defesa efetivas
Como são realizados os ataques?
10. Metodologia de Ensino
Por que escolhemos essas ferramentas e
tecnologias?
Porque são de uso corrente
Provêem fundamentação sobre os princípios
utilizados pelos atacantes
Ilustram o que precisamos para uma defesa
efetiva
Algumas delas são bastante interessantes e
Pós-Graduação - lato Sensu
“sujas”
NUNCA subestime o adversário
11. Metodologia de Ensino
Tentativa – ataque ser independente de plataforma
Ferramentas individuais podem rodar em Unix, Windows
etc
Enfoque em conceitos de ataque que podem funcionar
em diversas plataformas (Novell, VAX, MVS etc)
Serão incluídos links das ferramentas
Utilize por sua conta e risco
Podem causar danos
Recomenda-se o uso em ambientes de teste e
segregados
O uso de algumas ferramentas pode ser ilegal (verifique
com o setor jurídico)
Só utilize as ferramentas com permissão formal
Pós-Graduação - lato Sensu
12. Informações do Underground
Existe muita informação sobre vulnerabilidades de
segurança disponível publicamente
Ferramentas de ataque cada vez mais amigáveis e
fáceis de se distribuir
Script kiddies abusam dessas ferramentas
Ferramentas de qualidade e extremamente
funcionais
Atacante não precisa recriar a roda
Existe debate a respeito – vulnerabilidades de
segurança devem ser publicadas ou devem ser
escondidas até que a efetiva defesa esteja
disponível???
Pós-Graduação - lato Sensu
13. Informações do Underground
Atacantes tem excelente rede de comunicações
Chat, IRC, web, twitter, grupos informais e até
conferências oficiais (DEFCON)
Comunidade de segurança precisa aprender a
compartilhar informações
Aumento nas atividades de hacktivismo
Interesses políticos
Forma mais normal – alteração de sites Web
Pós-Graduação - lato Sensu
14. Informações do Underground
• Atacantes estão aprendendo a ganhar dinheiro com código
Pós-Graduação - lato Sensu
malicioso
Verifique – aonde tem mais dinheiro, maior é a atividade
dos atacantes
• Como ganhar dinheiro com código malicioso?
Vendendo código para backdoor / bots
http://rootkit.host.sk/antidetection.php para uma lista de
preços
Venda de keystroke loggers para roubo de informações
financeiras
Páginas Web dinâmicas – simulam sites de banco
Phishing
Extorsão
Aluguel de bots (robôs)
15. Informações do Underground
• Atacantes alteram site web/ftp e incluem backdoor
• Todos que fazem download das ferramentas são afetados
Nov 2002: tcpdump.org – alteração na libpcap por
backdoor – funcionalidades do tcpdump não foram
alteradas
Março 2003 – gnu.org hackeado e nenhum software
Pós-Graduação - lato Sensu
alterado (acredita-se)
Novembro de 2003 – servidores de desenvolvimento
Debian comprometidos
Janeiro 2005: jabber.org comprometido – arquivos de
vários projetos alterados
• Grandes nomes já passaram por isso - ..... Windows update
.......
16. Pós-Graduação - lato Sensu
Introdução
• Atacantes alteram site web e incluem backdoor
• Jan 2013: Site do Banco do Brasil é invadido e tirado do ar por
grupos hackers. Existe suspeita de inclusão de arquivos
maliciosos no mesmo.
17. Pós-Graduação - lato Sensu
Introdução
• Atacantes alteram site web e incluem backdoor
• Jun 2013: página oficial do governo brasileiro
(www.brasil.gov.br) na Internet, teve seu conteúdo
alterado indevidamente.
18. Pós-Graduação - lato Sensu
Introdução
• Atacantes alteram site web e incluem backdoor
• Ago 2013: Site do PMD é invadido por hackers pela segunda
semana e cobram de Sergio Cabral explicações sobre
paradeiro de amarildo.
19. Pós-Graduação - lato Sensu
Introdução
• Atacantes alteram site web e incluem backdoor
• Set 2013: Um dos Sites da Apple destinado a
desenvolvedores foi invadido por um hacker que pode ter
roubado informações pessoais desses profissionais.
20. Informações do Underground - defesas
• O que fazer para não baixar backdoor?
Checar hashes .... em vários mirrors
Pós-Graduação - lato Sensu
md5 e sha-1, pelo menos
md5sum e sha1sum são nativos do linux
md5summer – disponível para win em
md5summer.org
Não colocar software novo em produção - teste
primeiro
Período de testes - tempo valioso para verificar
em sites especializados se há algum problema no
download
21. Informações do Underground – Golden Age
• Casamento de ferramentas e virus/worms resulta
em poderosas técnicas de hacking
Worms cada vez mais sendo utilizados para carregar
backdoors, password crackers e scanners
• Época de ouro para hacking e cracking –
conseqüentemente é tempo de Segurança da
Informação
Pós-Graduação - lato Sensu
22. Metodologia um Ataque
Pós-Graduação - lato Sensu
Fases
Reconhecimento
Scanning
Obtenção de Acesso
Negação de Serviço
Manutenção do Acesso
Cobertura – limpeza de rastros
23. Pós-Graduação - lato Sensu
Reconhecimento
Ajuda o atacante a conhecer a vítima antes
de desferir qualquer pacote ofensivo
Internet é um tesouro de informações de
interesse
Essas informações são públicas – não há crime
Antes de um assalto a banco é boa prática
conhecer a rotina de funcionários, horários
de abertura e fechamento do cofre,
localização de câmeras etc
24. Pós-Graduação - lato Sensu
Reconhecimento
Baixa Tecnologia
Pesquisa na Web
Base de Dados Whois
DNS
Principais Ferramentas de Reconhecimento
25. Pós-Graduação - lato Sensu
Reconhecimento
Baixa Tecnologia
Engenharia Social
Acesso Físico
Dumpster Diving
26. Pós-Graduação - lato Sensu
Reconhecimento
Baixa Tecnologia
Engenharia Social
Ataque a boa fé
Telefone para helpdesk como funcionário
solicitando abertura de conta, e-mail, ramal
VoIP
Simular gerente com problemas de acesso
Simular admin pedindo que usuário troque
senha
Solicitação de acesso remoto
etc....
Kevin Mitnick's. The Art of Deception
27. Pós-Graduação - lato Sensu
Reconhecimento
Baixa Tecnologia
Acesso Físico
Intruso quebra segurança física
Não precisa invadir sistema para obter
informações
Pode plantar backdoors em sistemas
Atacante pode ter acesso a rede local, que
não está protegida por firewall
Roubo de pen drives, CDs, HDs, DVDs e
documentos
Pode utilizar técnicas de engenharia social
em conjunto
28. Pós-Graduação - lato Sensu
Reconhecimento
Dumpster Diving
Coleta de Lixo
Papel
CD, DVD, HD etc
Defesas
Classificação de material controlado
Trituradores de papel, DVDs etc
Procedimento de descarte de mídias e
computadores ((((Ex...caiu na net!!!!!))))
Conscientização
29. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web
Pesquisa no site da instituição
Posições oficiais sobre determinados assuntos, como
por exemplo software livre e Tecnologias utilizadas
Cultura e linguagem corporativa - dicionários
Nomes de diretores e empregados
Recentes aquisições e fusões
Telefones de contato (war dialing e engenharia social) e
e-mails
Pesquisa em sites relacionados
Parceiros de negócios
Provedores de Internet
Fornecedores
30. Reconhecimento - Defesas
Limitar e controlar as informações no site da
instituição
Verificar atividade – web spider/crawler
logs apresentam acesso ao site inteiro, página por
página em curto período (5 min)
Pode ser somente um robo do google ou outra
ferramenta de busca
Alguém pode estar fazendo download do site
inteiro
Pós-Graduação - lato Sensu
31. Pós-Graduação - lato Sensu
Reconhecimento
Dados públicos
Sites de emprego
Vagas de emprego anunciadas.
Ex. precisa-se de empregado com experiência em
Web Server IIS 5
Sites de jornais – noticias sobre a instituição
Sites de relacionamento – comunidades
relacionadas
32. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web
CPF, nomes de funcionários - extorsão
33. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web
Endereço, situação fiscal etc..
É só colocar o CPF
que se verifica o
nome completo.....
34. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web - GOOGLE
O google possui inúmeras informações que
auxiliam o atacante
Pergunte ao google que ele responde
Grande fonte de recursos
“Ihackstuff” – http://johnny.ihackstuff.com –
site com base de dados de google hacking
(GHDB)
Johnny escreveu “google hacking for
penetration testers”
35. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web – GOOGLE
Robôs do google visitam os web sites
constantemente – é só verificar os logs
Servidores VNC, servidores Web com backdoors,
servidores com Páginas default
Ex. site:bigbank.com filetype:xls cpf
site:banco.com filetype:asp
site:banco.com .asp
site:banco.com filetype:cgi
site:banco.com filetype:php
allinurl:exchange/logon.asp“
36. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web – GOOGLE
Diretiva “site” – procura somente no domínio
Diretiva “link” – procura os sites que tem link para
determinado site
Diretiva “intitle” – mostra páginas que o título bate com
critério de busca
Diretiva “inurl” – mostra páginas em que a URL bate com o
critério de busca
Outros exemplos
“social security number” – nome exato
site:.edu SSN xls –pdf – procurar em sites .edu, planilhas
excel que contenham SSN e não incluir arquivos pdf
kickstart file automatically generated by anaconda
rootpw filetype:cfg
etc.....
37. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web – GOOGLE
“cache:www.site.com.br”
Mostra uma versão cacheada da página
Código html é carregado do google
Robôs do google só recebem 101k do código html
e colocam em cache
As imagens vem do site original
Links também vem do site original
Da para ver páginas recentemente removidas
38. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web – GOOGLE como proxy
Navegar no cache não é uma boa alternativa de
navegação anonima
Google pode ser usado como serviço de tradução,
trabalhando como proxy limitado
Proxy anônimo mais profissional
www.all-nettools.com/toolbox
Possui outras funcionalidades
39. Pós-Graduação - lato Sensu
Reconhecimento
Pesquisa na Web – “Wayback Machine”
http://www.archive.org
Mostra como o site era no passado
Permite que se navegue interativamente no cache
As imagens, se ainda estiverem no site original, serão
carregadas deste. Caso contrário virão do cache
40. Pós-Graduação - lato Sensu
Reconhecimento
• Pesquisa na Web – GOOGLE
Pode-se usar o google para pesquisas associadas a
falhas comuns em servidores web ou de
desenvolvimento
Página web default (apache, IIS, ColdFusion, etc)
Alguns worms usam essas técnicas para localizar
sistemas vulneráveis
Worm saint de Dez de 2004 procurava por
vulnerabilidades em scripts phpBB
• Lista mantida em GHDB – johnny.ihackestuff.com
41. Reconhecimento - Whois
• Quando se registra um domínio algumas
informações devem ser providas
Endereços
Tel de contato
Servidores de domínio autoritativos
• Essas informações podem ser utilizadas em um
ataque
Engenharia social – nomes de contatos
War dialing – números de telefone
War driving – endereço
Scanning – endereços IP
Pós-Graduação - lato Sensu
42. Pesquisa Whois por blocos IP
• Atacantes buscam blocos de IP designados a alvos em bancos
de dados whois geográficos
• http://www.countryipblocks.net/country-blocks/select-formats/
ARIN (american registry for internet numbers)
Pós-Graduação - lato Sensu
http://www.arin.net
RIPE NCC (reseaux IP europeens network coordination
centre)
http://www.ripe.net
LACNIC (latin american and caribbean NIC)
http://lacnic.net
DoDNIC (department of defense NIC)
http://www.nic.mil/dodnic/
• Outros sites uteis para checar informações Whois
http://www.allwhois.com e http://www.uwhois.com
43. Pós-Graduação - lato Sensu
Base Whois
• Bancos de dados Whois estão distribuídos pela
Internet e contém inúmeras informações
Muitos podem ser acessados via web
Alternativamente podem ser utilizados comandos
em implementações Unix
• 1º procure o alvo no InterNIC (international network
information) para determinar o registrar
http://www.internic.net/whois.html
http://registro.br
44. Pós-Graduação - lato Sensu
Pesquisa Whois
• Consulta a site - http://registro.br/cgi-bin/whois/#lresp
46. Defesa contra Reconhecimento Whois
Pós-Graduação - lato Sensu
• Simplesmente conviva com isso ....
A Internet é assim
• Use o nome da organização, telefone e e-mail alias –
admin@organizacao.com.br
É importante que esses dados estejam corretos – caso
contrário, em caso de problemas, vc não será
encontrado
• Pode-se utilizar registros anônimos
www.domainsbyproxy.com
Dificilmente vc será encontrado caso ocorra algum
problema – Ex. seu site atacando outros
47. Pós-Graduação - lato Sensu
Reconhecimento
Base de Dados Whois
Informações de domínio, IP, contatos etc.
Autoridades de registro
www.internic.net/alpha.html,
48. Pós-Graduação - lato Sensu
Reconhecimento
DNS
Servidores de nomes possuem informações úteis
sobre alvos
O objetivo dos atacantes é descobrir o maior número
de IP associados ao domínio vítima
Informações de DNS são públicas
Comando nslookup pode ser usado para interagir com
o DNS Server
Incluído no Windows NT/2000/XP
Algumas implementações Unix não possuem ou
não tem todas as funcionalidades, como por
exemplo transferência de zonas
Outra ferramenta útil - dig
53. Pós-Graduação - lato Sensu
Reconhecimento
DNS
Transferência de zona – atacante pode determinar
que máquinas são acessíveis pela Internet
Uso do nslookup
c: nslookup
server [IP_do_servidor_autoritativo]
set type=any
ls –d [dominio_alvo]
Lembre-se de utilizar esses comandos nos
servidores primários e secundários
54. Pós-Graduação - lato Sensu
Reconhecimento
DNS
Transferência de zona – em ambientes Unix o
nslookup pode ser utilizado em algumas versões
Algumas versões não suportam o nslookup e
outras não suportam todas as funcionalidades
Nesse caso deve-se utilizar o dig
$ dig @[dns_server_IP] [domínio_alvo] –t AXFR
55. Pós-Graduação - lato Sensu
Reconhecimento
DNS
Transferência de zona
root@bt:~# host -t ns offensive-security.com
offensive-security.com name server ns2.no-ip.com.
offensive-security.com name server ns4.no-ip.com.
offensive-security.com name server ns3.no-ip.com.
offensive-security.com name server ns1.no-ip.com.
offensive-security.com name server ns5.no-ip.com.
root@bt:~# host -l offensive-security.com ns4.no-ip.com
; Transfer failed.
Using domain server:
Name: ns4.no-ip.com
Address: 75.102.60.46#53
/pentest/enumeration/dnsenum# ./dnsenum.pl dominio
56. Reconhecimento DNS - Defesas
Não permitir transferência de zona com qualquer
sistema
Servidor primário só aceita transferência para o
secundário e terciário etc
Secundário e terciário não transferem para
nenhum sistema
Pós-Graduação - lato Sensu
Utilize arquitetura dividida
Servidores externos e internos
Assegure-se que seus servidores DNS externos
passaram por Hardening
Verifique nos logs DNS tentativas de transferência de
zona - tcp porta 53
57. Pós-Graduação - lato Sensu
Reconhecimento
Ferramenta de Reconhecimento
Freeware Sam Spade de Steve Atkins - www.samspade.org
Ping
Pesquisa Whois
Nslookup
Zone transfer
Traceroute
Finger
SMTP VRFY
Web Browser
58. Pós-Graduação - lato Sensu
Reconhecimento
• Ferramenta de Reconhecimento
SamSpade – caracteristicas adicionais
crawl website – faz download do site e cria
espelho local
Faz o mesmo que wget –r
• Scanning pode ser feito por aplicação cliente
ou via web – se web, toda atividade será
lançada pelo site
59. Pós-Graduação - lato Sensu
Reconhecimento
• Diversos sites oferecem pesquisa e ataque a outros sites
• Para a lista completa – www.attackportal.net
• Links para scanning Web (traceroute, ping, port scan,
smurf, testes DoS etc..
www.samspade.org
www.blackcode.com/net-tools/
http://www.tracert.com/trace_exe.html
www.network-tools.com
www.cotse.com
privacy.net/analyze/
www.securityspace.com
60. Scanning – War Driving
É o processo de procurar redes wireless
desprotegidas
Cada vez mais os próprios usuários criam suas redes
sem fio sem autorização institucional
É necessário um laptop e um cartão wireless
Informações adicionais em www.wardriving.com
Pós-Graduação - lato Sensu
61. Scanning – War Driving
Muitos AP wireless sem a mínima preocupação de
segurança
Pós-Graduação - lato Sensu
Default SSID
Por default muitos AP respondem a request de SSID
Mesmo os AP configurados para não responder, o
SSID será enviado em texto claro para usuários
autenticados
Lembre-se – SSID não provê segurança
Alguns protocolos de segurança wireless tem
vulnerabilidades significativas (WEP e LEAP)
Mesmo habilitando esses protocolos não é
suficiente
62. Scanning – War Driving
Pós-Graduação - lato Sensu
Ferramenta Netstumber
Desenvolvida por Marius Milner
www.netstumber.com
Free, mas sem código fonte
Detecta rede 801.11a/b/g/n
Win (95, 98, ME, 2000 e XP, vista e 7) e alguns mobiles – não
funciona com NT
Pode ser usada com GPS
Alguns problemas com hardware
Ver compatibilidade www.stumber.com/compat/
Muito barulhenta – funciona enviando beacon request
Não detecta AP que não respondem a beacon (broadcast
desabilitado)
Mesmo assim AP pode ser detectado – é só usar outra
ferramenta - Wellnreiter
63. Scanning – War Driving
Pós-Graduação - lato Sensu
Ferramenta Netstumber
Busca de access points
Scanning ativo – envio de probes (netstumbler)
64. Scanning – War Driving
Pós-Graduação - lato Sensu
Ferramenta Wellenreiter
Desenvolvido por Max Moser, Michael Lauer, Steffen
Kewitz e Martin J. Muench
Excelente sniffer wireless – captura dados no formato
tcpdump
Diferente do netstumber pode funcionar em passivo –
escuta equipamentos que não fazem broadcast de SSID
Funciona em ambiente Linux
www.wellenreiter.net e sourceforge.net/projects/
Analisa protocolo DHCP – consegue identificar o
range de IP alocado a rede alvo
65. Scanning – War Driving
Pós-Graduação - lato Sensu
Ferramentas adicionais
Sniffer tradicional pode ser utilizado
Tcpdump, wireshark etc
Sniffer para uso específico em redes wireless –
melhor análise no frame de dados
Kismet – para linux www.kismetwireless.net,
descobre AP passivamente
Airsnort – airsnort.sourceforge.net – utilizado
para crack de WEP
66. Ataque a cliente wireless
Pós-Graduação - lato Sensu
Hotspotter – Ataque a clientes XP
Desenvolvida por Max Moser
Disponível em www.remote-exploit.com
Funciona em Linux e monitora passivamente frames
request probe de clientes XP
Durante o boot, em power safe e em caso de perda de
sinal XP envia frames listando suas redes preferidas
Quando hotspotter vê isso, manda resposta dizendo que
é o AP
Em ambientes públicos........
Cliente se associa, hotspotter fica no controle
Envia IP, faz scan, infecta a vítima com worm, MITM
67. War Driving – Defesas
• Use SSID aleatório/discretos – evite SSID “banco_tal”
• Use filtro de MAC
Não escala bem e pode ocorrer spoof
• Utilize protocolos de autenticação e criptografia fortes
Pós-Graduação - lato Sensu
801.11i é mais seguro
Use TKIP para troca de chaves
AES para criptografia
WPA
• Utilize VPN
68. Scanning – War Dialers
War Dialing – discam uma sequência de números
telefônicos na tentativa de localizar modems
Demon Dialers – discam para um número para
conduzir ataques de força bruta em senhas
Muitos modems estão desprotegidos, o que facilita a
entrada de atacantes
THC-Scan 2.0 – escrito por Van Hauser
Disponível em http://www.thc.org/release.php
Ferramenta é uma versão atualizada do “ToneLoc
Pós-Graduação - lato Sensu
69. Pós-Graduação - lato Sensu
Scanning
War Dialing
THC-Scan 2.0
Ferramentas automatizam a busca – atacante pode
escanear até 1000 tel em uma noite
Acesso interno a rede
Como buscar telefones: google, site da instituição,
Whois, engenharia social, Páginas Amarelas etc
Verificar banners
Quebrar senhas, se existirem
Escanear a rede
Escuta passiva
70. Pós-Graduação - lato Sensu
Defesas - War Dialing
Rígida política de uso de Modems na Instituição
Ter inventário de todos os modems com respectivas
necessidades
Se modems são necessários deve-se fortalecer seus
métodos de autenticação (token, cripto etc)
Conduzir exercícios de war dialing na sua rede
Lista de telefones da Instituição – verificar pela conta
telefônica
Ferramenta comercial de war dialing
Sandstorm´s Phonesweep – www.phonesweep.com
71. Pós-Graduação - lato Sensu
Scanning
Mapeamento de Rede
Atacantes podem fazer mapeamento
Pela Internet
Pela Rede sem fio identificada em War Driving
Pela rede local via modem ou com acesso físico
Nessa fase o atacante tenta conhecer a topologia da
rede
Arquitetura da rede – Firewall, DMZ, IPs, regras
Serviços disponíveis – Http, Ftp, Smtp etc
Sistemas Operacionais em uso
72. Pós-Graduação - lato Sensu
Scanning
Mapeamento de Rede
Atacantes querem entender a topologia da rede alvo
Conectividade com a Internet – DMZ, perímetro,
serviços disponíveis
Redes internas – acessiveis por modems ou
wireless
Disposição dos roteadores e hosts pode expor
vulnerabilidades
Cheops-ng – ferramenta para linux utilizada para
mapeamento de rede, escrita por Brent Priddy
cheops-ng.sourgeforge.net
73. Pós-Graduação - lato Sensu
Scanning
Cheops-ng – BT-Final
Ferramenta de gerencia – GUI
Barulhenta...não é utilizada por atacante tentando
mapeamento stealthy
Facilmente detectável por IDS
Front-end para:
Trace
Ping
O.S fingerprint
74. Pós-Graduação - lato Sensu
Scanning
Mapeamento de Rede
ICMP echo request
Pacotes TCP porta 80
Pacotes TCP ACK
Pacotes UDP portas estranhas
Traceroute
Regras Fw....
etc
75. Pós-Graduação - lato Sensu
Scanning
Mapeamento de Rede
Ferramenta Cheops-ng automatiza (linux)
Faz fingerprint de S.O
http://cheops-ng.sourceforge.net
http://news.netcraft.com/
76. Pós-Graduação - lato Sensu
Cheops-ng Defesas
Desabilitar ICMP incoming
Seus usuários não conseguirão pingar
Isso é ruim???
Desabilitar mensagens outgoing ICMP TTL Exceded
Seus usuários não conseguirão fazer trace
Isso é ruim??
IDS tem assinaturas que procuram ping sweep e
traceroute
Podem acontecer falso positivos
77. Pós-Graduação - lato Sensu
Ping Sweeping
Muitos port scanners testam se um sistema está em
uso antes de fazer scanner
Fazem isso por meio de ping sweeping
Enviam echo request para diversos IPs – se sistema
responde está vivo. Caso contrário está desligado
Alguns port scanners, por default, somente fazem scan
em sistemas em que possam pingar
Pode ser reconfigurado
-P0 informa ao nmap para não pingar o alvo
78. Scanning – Port Scanning
Pós-Graduação - lato Sensu
• TCP e UDP possuem portas
65536 portas cada
• Port Scanner envia pacotes para várias portas para
determinar quais estão em escuta
Encontra tcp 80 – web server
Encontra tcp 23 – telnet server
Encontra udp 53 – DNS server
• Números de portas podem ser encontrados em:
http://www.iana.org/assignments/port-numbers
79. Port Scanning com NMAP
• Ferramenta muito utilizada com avançadas
capacidades de scanning
• Muito popular na comunidade de segurança
• Desenvolvida por Fyodor
• http://www.insecure.org/nmap
• Nmapfe – versão GUI
• Disponível para linux e Windows
Pós-Graduação - lato Sensu
80. Pós-Graduação - lato Sensu
Scanning
Como determinar portas abertas
Atacante pode identificar serviços rodando
Serviços são normalmente associados a portas
www.iana.org/assignments/port-numbers
Ferramenta – nmap www.insecure.org/Nmap
81. Pós-Graduação - lato Sensu
Scanning
Como determinar portas abertas
Tipos de scan
TCP Connect – 3 way Completo (não é stealth)
TCP Syn – envia Syn e aguarda Syn+Ack (mais
silencioso)
TCP Fin – envia Fin – RST indica porta fechada, sem
resposta, a porta pode estar aberta
TCP Xmas – todas a flags setadas - RST indica
porta fechada, sem resposta, a porta pode estar
aberta
Ack scan
Idle Scanning – faz scan com spoof de origem
UDP scanning
S.O fingerprint
82. Pós-Graduação - lato Sensu
Scanning
Como determinar portas abertas
Tipos de scan
TCP Connect – 3 way Completo (não é stealth)
Aderente a RFC
Fácil de detectar – cria log no sistema final
83. Pós-Graduação - lato Sensu
Scanning
Como determinar portas abertas
Tipos de scan
TCP Syn – envia Syn e aguarda Syn+Ack (mais
silencioso, pois não completa 3 Way
Envia Syn, recebe Syn+Ack e envia RST
Stealth e mais rápido – não cria entrada no log
Roteadores, firewalls e IDS detectam
84. Pós-Graduação - lato Sensu
Scanning
Como determinar portas abertas
Tipos de scan
TCP Ack Scan
Indica se hosts estão vivos e filtros aplicados
85. Pós-Graduação - lato Sensu
Scanning
Como determinar portas abertas
Idle Scan
Determina portas abertas
(spoof IP do atacante)
Monitora ID do inocente –
campo do header IP (frag)
Inocente deve ser silencioso
(idle) e ter ID incremental ou
previsível (muitos Win)
Scan – atacante envia Syn
com IP origem de inocente –
se porta aberta, inocente
recebe Syn+Ack e envia RST
(incrementa ID). Se porta
fechada inocente recebe RST
e não responde (não
incrementa ID)
86. Pós-Graduação - lato Sensu
Scanning
Scanner de Vulnerabilidades
O que o atacante sabe até agora?
Lista de hosts ativos
Topologia
Lista de portas ativas
Sistemas Operacionais
Regras de filtragem
87. Pós-Graduação - lato Sensu
Scanning
Scanner de Vulnerabilidades
Idéia – automatizar o processo de conexão ao alvo e verificar
se existem vulnerabilidades
Ferramentas tem inventário de vulnerabilidades de sistemas
Erros comuns de configuração
Configurações default
Vulnerabilidades bem conhecidas
Ex. scanner verifica se sistema está rodando versão
vulnerável de SSH
Lista de serviços e versões rodando nos hosts
Exemplos
ISS's Internet Scanner (www.iss.net)
E-eye's Retina Scanner (www.eeye.com)
Nessus (http://www.nessus.org)
88. Pós-Graduação - lato Sensu
Scanning
Scanner de Vulnerabilidades
Nessus
Verifica
Backdoors
CGIs
Cisco
Contas Unix default
Windows
DoS
Problemas SMTP
SNMP
etc.....
89. Obtenção de Acesso pela Rede
Pós-Graduação - lato Sensu
Sniffers
O que é?
Protocolos Vulneráveis
MAC flooding
ARP Poisoning
Captura de Sessão
Contra-medidas
Spoofing e defesas
Ataques a Servidores DNS
Ataques HTTP
91. Pós-Graduação - lato Sensu
Sniffers
• São capazes de capturar informações
– Ethernet permite uso de sniffers – captura de senhas
e informações
– Ethernet – utiliza broadcast no segmento
• Switch limita essa característica
92. Pós-Graduação - lato Sensu
Sniffers
• Capturam pacotes da rede
– Captura em tempo real ou salvando no disco para
posterior análise
– Essenciais para fins de teste e depuração
– Interceptação passiva: difícil de detectar
• Analisadores de Protocolo
– Decodificam os dados binários para um formato mais
legível para o ser humano
• Impacto de segurança
– Muitos protocolos transmitem dados sensíveis às
claras, sem nenhum tipo de proteção especial
93. Pós-Graduação - lato Sensu
Sniffers
• Dependência da Ligação Física
– Hubs:
Todos os pacotes retransmitidos pelo hub em todas as
portas - permite a captura dos dados no mesmo
“segmento”
– Switches:
somente broadcasts e pacotes para o destino
• Modo promíscuo
– placa de rede processa os pacotes, mesmo os que
não sejam destinados para o seu endereço MAC
– Maior quantidade de pacotes a analisar - impacta a
performance
– Os SOs tipicamente requerem privilégios de
administrador para habilitar esse modo
94. Pós-Graduação - lato Sensu
Sniffers
• Tcpdump e windump – freeware
• Snoop – solaris
• Wireshark – free, open
• Snort – free, open e comercial
• Sniffit – free e open
• dsniff - free e open (suite de ferramentas)
95. Pós-Graduação - lato Sensu
Sniffers
• Wireshark
Linux ou Win
Formato libpcap
Entende mais de 500 protocolos
GUI
Cuidado com bugs
96. Pós-Graduação - lato Sensu
Sniffers
• Dsniff
– Suite de ferramentas que facilitam o monitoramento
– Escrita por Dug Song
– Funciona em redes sem fio e cabeadas
– Linux e alguns componentes foram portados para Win32
• Dsniff, mailsnarf, urlsnarf e webspy
– Componentes
• Dsniff, arpspoof, macoff, tcpkill, tcpnice, mailsnarf,
urlsnarf, webspy, DNSSpoof, Webmitm, SSHmitm
97. Sniffing: contra-medidas
Pós-Graduação - lato Sensu
• Usar protocolos “fortes”:
– Criptografia: previne que os dados capturados sejam
analisados (“previne interceptação”)
– Verificação de integridade:
previne ataques de inserção
– Geralmente não é uma opção disponível
• Controlar o acesso ao meio físico
– Rigor na ativação de pontos de rede
– Controle rigoroso de acesso físico ao cabeamento
– Evitar usuários com poderes de admin nos PCs
• Segurança dos Roteadores
– Hosts usados como roteadores devem ser difíceis de serem
invadidos
• Detectores de sniffers
– Eficácia questionável
98. Alguns protocolos vulneráveis
• Correio: SMTP, POP3, IMAP
• Compartilhamento de arquivos
• – NetBIOS, NFS (e praticamente tudo de RPC)
• Transferência de arquivos: FTP
• Shell remoto:
– RLOGIN, TELNET, RSH
• Controle remoto e sistemas de janelas:
– VNC, X11
• Multimídia
– H.323 (NetMeeting)
• Instant messaging e chat: AIM, IRC, Talk
• Web: HTTP
Pós-Graduação - lato Sensu
99. Mais protocolos
• Resistentes
– controle remoto: pcAnywhere, ICA (Cytrix WinFrame)
– Web: SSL/TLS
– Rede: IPSec (sob certas condições)
– Shell remoto: SSH (não usar versão 1)
– Permite tunelar conexões TCP quaisquer, podendo
tornar X11 e vários outros protocolos mais resistentes
Pós-Graduação - lato Sensu
100. Sniffers especializados
• Decodificam protocolos de rede comuns
– Extraem os dados das aplicações (correio, etc)
– Isolam logins, senhas, credenciais
• ReplayTools
– Remonta as sessões TCP
• DSniff
– Remonta sessões e extrai login/senhas de mais de 30
protocolos comuns
• Mailsnarf
– Captura e-mails e salva em arquivos texto
• Webspy
– Captura URLs e move o browser até elas em tempo
real
Pós-Graduação - lato Sensu
101. Protocolo ARP
• Address Resolution Protocol - RFC 826
– Protocolo de Resolução de Endereços
• Mapeia Endereços IP Û Endereços MAC
– Só faz sentido no âmbito de IP sob Ethernet
– Totalmente sem autenticação
– Crédulo: aceita respostas a perguntas que ele
não fez
Pós-Graduação - lato Sensu
102. Protocolo ARP
Pós-Graduação - lato Sensu
• Cache ARP
– Mantém na memória do computador durante
algum tempo (da ordem de minutos) as
associações entre endereços IPs e MACs
– Registra qualquer coisa que lhe seja
mandada, inclusive o que não perguntou.
103. Pós-Graduação - lato Sensu
ARP
• CACHE DE RESOLUÇÃO DE ENDEREÇO
– Broadcast é muito caro para ser usado sempre que uma
máquina queira transmitir um pacote para outra, pois
isto requer que toda máquina processe o pacote de
broadcast
– Para reduzir custos de comunicação, hosts que utilizam
ARP - mantêm um cache das associações de
endereços Internet-ETHERNET obtidos recentemente
– Esse armazenamento evita que um ARP seja utilizado
repetidamente
– Portanto, quando um host recebe um reply de ARP, ele
salva o resultado no seu cache
– Ao transmitir um pacote de ARP, o host olha o seu
cache. Caso o endereço desejado se encontre no
cache, o pacote será enviado diretamente
104. MAC Flooding
• O switch monta dinamicamente uma
tabela associando portas com endereço
MAC
• Para cada frame que entra, uma linha da
MAC Address/CAM table é acrescentada,
ou se já presente tem seu timer
reinicializado
Pós-Graduação - lato Sensu
105. CAM normal 1/3
Content Addressable Memory
Pós-Graduação - lato Sensu
106. CAM normal 2/3
Content Addressable Memory
Pós-Graduação - lato Sensu
107. CAM normal 3/3
Content Addressable Memory
Pós-Graduação - lato Sensu
110. Contra-medidas
• Port secure / MAC based filtering
• Limitar a quantidade de endereços que
uma porta pode aprender
• Especificar os endereços que uma porta
pode aprender
• Administrativamente pode ser um
pesadelo
• Engessa a infraestrutura....
Pós-Graduação - lato Sensu
111. ARP Gratuito – cache poisoning
Config IP Forwarding
enviar pacotes para
GW
4
1
Pós-Graduação - lato Sensu
Enviar ARP reply. para
redirecionar traf. Para
atacante
Vitima envia tráfego
destinado Internet
3
2
Sniff o tráfego
Pacotes são
redirecionados do
atacante para GW
5
113. Como enganar DNS
Atacante sniff
DNS req. 3
www.banco .com
10.1.1.56
Pós-Graduação - lato Sensu
4
Atacante ativa
DNSSpoof
Atacante envia
falsa resp. DNS
Vítima tenta resolver
nome DNS
2
1
www.banco.com
www.banco .com 10.22.12.41
5 Vítima navega no site
do atacante
Site do
atacante
10.1.1.56
114. Sniffing SSL
Pós-Graduação - lato Sensu
2
Atacante ativa
DNSSpoof e webmitm
DNSSpoof envia
DNS resp com
End IP do
atacante
10.1.2.3
Vítima estabelece
conexão SSL sem
saber que atacante
está fazendo proxy
3
1
Webmitm faz proxy da
conexão. Estabelece
Https com servidor e
envia seu cert para
vítima
4
10.1.2.3
5 Vítima navega no site
desejado, mas tráfego
é visto pelo atacante
www .banco. com
10.22.12.41
115. Detectando Sniffing
Pós-Graduação - lato Sensu
Localmente
Ifconfig – Linux
Ifstatus – Solaris
PromiscDetect – Windows NT 4.0 / 2000 / XP / 2003 /
Vista
(http://www.ntsecurity.nu/toolbox/promiscdetect)
Remoto
Sentinel
EtherARP – envia arp request com MAC falso
EtherPing – envia ping
116. Defesa contra Sniffing
Pós-Graduação - lato Sensu
Observar manipulação de ARP
Entradas Arp erradas são sinal de sniffing
Windows e Linux – Arp – a
Pela Rede
ARPWatch - http://www-nrg.ee.lbl.gov/
Monitora a atividade em uma rede ethernet,
mantendo atualizada uma tabela com endereços
ethernet (MAC) e seus respectivos endereços IP
NIDS – com assinaturas específicas para tráfego
ARP
117. Session Hijacking
Pós-Graduação - lato Sensu
Roubo de sessão
Focado em sessões orientadas a aplicação
telnet, ftp rlogin etc..
Ferramentas: Hunt e Ethercap
118. Procurando uma Sessão
Alice faz telnet em Bob
Rede
Alice Bob
Pós-Graduação - lato Sensu
Eva
119. Capturando a Sessão
Atacante pode monitorar o tráfego e gerar pacotes com
o mesmo número de seqüência
Atacante pode tirar Alice da jogada e fazer alterações
em Bob. Os logs mostram que Alice fez as alterações
Rede
Alice Bob
Ola, eu sou
Alice
Pós-Graduação - lato Sensu
Eva
Sniffing + spoofing
Se autenticação é por token, mas sem criptografia o ataque
pode ser realizado
120. Ack Storms
Se atacante somente seqüestra a sessão, fazendo
spoofing de pacotes, os números de seqüência
nas pontas perdem o sincronismo
Na tentativa de sincronia eles reenviam Syn e Acks
de um lado para o outro – ack storm
Rede
Alice Bob
Ola, eu sou
Alice
Pós-Graduação - lato Sensu
Eva
121. Captura de Sessão e Arp Poisoning
Rede
Alice Bob
IP=1.2.3.4
MAC=BB.BB
Pós-Graduação - lato Sensu
Eva
Para evitar ack storm
Eva faz DoS em Alice
Ou, mais interessante, usa Arp cache Poisoning
IP=5.6.7.8
MAC=AA.AA
Arp 5.6.7.8
CC.CC...
Arp 1.2.3.4
DD.DD..
IP=????
MAC=CC.CC..
122. Captura de Sessão
Pós-Graduação - lato Sensu
Ferramentas
Hunt
TTYWatcher
IP-Watcher – comercial
Ethercap – linux, FreeBSD e OpenBSD
123. Captura de Sessão
Pós-Graduação - lato Sensu
Defesas
Tabela Arp fixa em redes sensíveis
Port security
Cada porta física – só 1 MAC
Cada porta física – só MAC específico
Criptografia na sessão e autenticação forte
Não use aplicações inseguras para configurar
equipamentos – telnet ou ssh??
Use ARPWatch na rede
Atenção a msg de erro (browser e ssh)
124. Spoofing de IP
• Spoofing – tentar se passar por alguém
• Finalidade
– Enganar roteadores
– Enganar firewalls
– Se aproveitar de relações de confiança
– DoS
Pós-Graduação - lato Sensu
• 3 tipos principais
– Sabor 1 - Trocar o IP
– Sabor 2 - Spoofing de IP – guessing sequence
number (previsão de número de seqüência)
– Sabor 3 - Spoofing de IP – Source routing
125. Sabor 1 - Trocar o IP
• Efetuar a troca de IP na interface de rede
• Utilizar gerador de pacotes com IP
• Simples, mas
– Não haverá respostas – o pacote será
roteado para o IP verdadeiro
– Não fecha o three-way handshake
Pós-Graduação - lato Sensu
126. Sabor 1 - Trocar o IP
Alice Bob
Pós-Graduação - lato Sensu
Eva
Three-way
handshake não
acontece Syn (ISNa)
Ack (ISNa + 1) Syn (ISNb)
RESET !!!!!
127. Sabor 2 – Guessing sequence Number
Pós-Graduação - lato Sensu
Alice
Bob
O atacante tenta adivinhar o número
de seqüência
Explora relações de confiança - Unix
Variante desse ataque foi usado por
Kevin Mitnick
128. Sabor 2 – Guessing sequence Number
Numero de seqüência, em alguns casos é
previsível
Atacante tenta prever número de seqüência
futuro
Se acontecer Bob vai pensar que Eve é Alice
Mas Alice não vai dar RESET!!!
Pós-Graduação - lato Sensu
DoS em Alice
129. Sabor 2 - Guessing sequence Number
Eva envia Syn e
rcb Syn-Ack (sem
spoofing)
0
Ack (ISNb + 1)
Alice Bob
Pós-Graduação - lato Sensu
DoS Eva
Syn (ISNa)
Ack (ISNa + 1) Syn (ISNb)
1
3
4
2
130. Sabor 2 - Guessing sequence Number
• Eva tem um canal aberto com Bob
• Eva pode enviar comandos para Bob
• Claro que Eva não recebe msg de Bob
– Msg são enviadas para Alice
– Alice não pode responder ou Resetar
• Eva faz vôo cego mas pode, por um
instante reconfigurar Bob
– Pode reconfigurar /etc/hosts.equiv
– Como detectar essa reconfiguração???
Pós-Graduação - lato Sensu
131. Sabor 3 - Spoofing IP – Source routing
• Utiliza a opção Source routing
• Atacante precisa receber as respostas
• Ataque mais simples que o sabor 2
– Independente de plataforma e não precisa de
relações de confiança
• Pacote parece vir do endereço spoofado
• Todos os pacotes seguem o caminho
• Atacante pode interpretar as respostas
• Ferramenta - netcat
Pós-Graduação - lato Sensu
132. Sabor 3 - Spoofing IP – Source routing
Alice Bob
Pós-Graduação - lato Sensu
Eva
Rede entre Eva e Bob
deve suportar source
routing
Rede entre Alice e Eva e
Alice e Bob não precisa
suportar source routing
Rota
1 - Alice
2 – Roteador X
3 – Eva
4 - Roteador Y
5 - Bob
Conteúdo Pacote
Rota
1 - Bob
2 – Roteador Y
3 – Eva
4 - Roteador X
5 - Alice
Conteúdo Pacote
133. Sabor 3 - Spoofing IP – Source routing
• Atacante consegue completar o three-way
handshake
• Atacante não precisa retransmitir o pacote
para Alice
• Alice não participa do jogo – não há
RESET
Pós-Graduação - lato Sensu
134. Defesa para Spoofing
• Manter número de seqüência imprevisível
Pós-Graduação - lato Sensu
– Patch TCP/IP stack
• Cuidado com relações de confiança
– Não estenda atrás de firewall – só com VPN
– Cuidado com Windows e Unix
• Não use autenticação baseada em IP
– Senhas e outras técnicas
• Utilize ssh no lugar dos r-command
• Utilize filtros anti-spoof em firewalls e roteadores
135. Detalhes sobre DNS
Pós-Graduação - lato Sensu
Informações adicionais
Cada consulta DNS tem ID própria
Resposta tem que ter mesmo ID
ID as vezes é previsível
Serv. DNS fazem cache das respostas
136. DNS cache Poisoning
Pós-Graduação - lato Sensu
DNS
Componente crítico da Internet
Mapeia nomes para IP
www.banco.com = 10.0.0.1
Mail Server banco.com
mx.banco.com Internet address = 10.0.0.2
Qual é a importância??
Quase tudo depende de DNS...
137. DNS cache Poisoning – ID query
Eva
dns.eva.com
Pós-Graduação - lato Sensu
dns.legal.com
Alice
www.banco.com
dns.banco.com
1
Atacante pergunta
any.eva.com??
any.eva.com??
3
2
Armazena
query ID
DNS mantido por
Eva
Steps 1 a 3 podem ser repetidos diversas vezes
138. DNS cache Poisoning – ID query
Eva
dns.eva.com
Pós-Graduação - lato Sensu
dns.legal.com
Alice
www.banco.com
www.banco.com?
Resposta Spoof
www.banco.com
=w.x.y.z (DNS ID e
portas previsíveis)
dns.banco.com
4
6
5
www.banco.com?
7
Cache
www.banco.com
=w.x.y.z
139. DNS cache Poisoning – ID query
Eva
dns.eva.com
Pós-Graduação - lato Sensu
Cache
www.banco.com
=w.x.y.z
dns.legal.com
Alice
www.banco.com
dns.banco.com
9
Vamos ao banco
8
www.banco.com? w.x.y.z
10
140. DNS Poisoning - Defesas
Bind ou Win DNS atualizado - ID query
Pós-Graduação - lato Sensu
Utilize um IDS
Configure DNS externos para resolver
consultas recursivas somente para usuários
internos
Usuários externos não devem fazer
consultas recursivas – separar servidores
Previne steps de 1 a 3
Questão de configuração