1. O documento descreve vários tipos de ataques de segurança da informação como engenharia social, IP spoofing, denial of service, man-in-the-middle, backdoors, DNS poisoning, replay attacks, fracas chaves de criptografia, buffer overflow, SQL injection e força bruta.
2. Ele também fornece defesas contra cada um desses ataques, como treinamento de funcionários, firewalls, criptografia, atualizações de software e limitação de privilégios de banco de dados.
3. O documento conclui que precisamos de maior
1. UNINASSAU – CENTRO UNIVERSITÁRIO MAURICIO DE NASSAU
ESPECIALIZAÇÃO EM ADMINISTRAÇÃO DE REDES MICROSOFT
Segurança da informação – Definindo ataques
Washington Wanderley
RECIFE – PE
2013
3. SUMÁRIO
1. INTRODUÇÃO – ............................................................................................ 4
2. OBJETIVOS.................................................................................................... 5
3. ATAQUES....................................................................................................... 4
3.1 ENGENHARIA SOCIAL ........................................................................... 4
3.2 IP SPOOFING.......................................................................................... 5
3.3 DENIAL OF SERVICE.................................................................................6
3.4 MAN-IN-THE-MIDDLE.................................................................................6
3.5 BACK DOORS.............................................................................................7
3.6 DNS POISONING........................................................................................7
3.7 ATAQUE REPLAY.......................................................................................7
3.8 CHAVES DE CRIPTOGRAFIA FRACA.......................................................8
3.9 BUFFER OVERFLOW.................................................................................9
4. SQL INJECTION..............................................................................................9
4.1 FORÇA BRUTA..........................................................................................9
4.2 REMOTE CODE EXECUTION ATTACK (Ataque de Execução de codigo
Remoto).................................................................................................................10
5. CONCLUSÃO ...................................................................................................10
REFERÊNCIAS............................................................................................... ......11
4. 4
1. INTRODUÇÃO
Hoje estamos de fato na era da informação, isso é fácil de ser observado se
analisarmos o crescimento da internet. Basta ver alguns indicadores e teremos uma
noção do quanto à informação, hoje, está em foco. Em 2002, a Internet apresentava
a impressionante marca de 569 milhões de usuários, o que traduzia 9,1% da
população mundial. Hoje somos 2.270 bilhões de usuários, um crescimento
exponencial representando 33% da população mundial [bsi-brasil]. Este crescimento
pode ser justificado devido ao grande numero de dispositivos moveis com acesso à
internet e o barateamento do acesso a banda larga. Outro fator bastante positivo é a
possibilidade de comercio que nos é oferecido. Empresas estão investindo pesado
na venda on-line de mercadorias, consumidores estão cedendo as facilidades de
compra pela internet, mas nem tudo são apenas benefícios. Por ser a informação,
um bem muito valioso, despertou-se certo interesse em sua obtenção.
Por se ter um crescimento tão grande e rápido, pouca importância foi dada a
segurança da informação, empresas de desenvolvimento de software primam mais
pela implementação do design e suas características deixando para depois as
correções de falhas, falhas estas que são muitas vezes exploradas por pessoas mal-
intencionadas.
2. OBJETIVOS
Este documento tem o objetivo de mostrar os principais ataques utilizados
para se obter informações utilizando os ataques mais conhecidos.
3.ATAQUES
3.1 Engenharia Social
Este é um dos ataques mais utilizados atualmente. Este tipo de ataque
visa enganar e/ou ludibriar as pessoas para obtenção de informações importantes
como senhas ou outras informações relevantes. A técnica usada para este tipo de
ataque pode ser falsa identidade, onde o hacker se passa por alguém,
provavelmente um funcionário da empresa alvo. Assim a vitima, por achar que está
lidando com algum colega de trabalho fornece informações ao atacante que usará
5. 5
estes dados para posteriormente iniciar o seu ataque. Na maioria das vezes o
atacante obtém sucesso, pois a defesa contra este ataque é muito difícil por lidar
com pessoas diretamente.
3.1.1 DEFESA
Defender-se deste ataque é extremamente difícil, pois como foi
dito anteriormente trata-se de um ataque que lida com o elo mais fraco da
segurança: o fator humano. É essencial que os funcionários das empresas
tenham treinamentos e orientações, para que seja dificultada a ação das
pessoas que utilizam esta técnica. Informação que parecem ser de pouca
valia para um funcionário, pode ser de grande importância para um atacante.
Um bom exemplo é o numero de crachá de um determinado funcionário, para
ele sem muita importância, contudo para o cracker pode ser usado facilmente
para se chegar aonde quer ir. Portanto uma boa defesa contra esse tipo de
ataque é sempre alertar o usuário de que tudo que diz respeito a organização
deve ser tratado com muita importância e não ser fornecido de qualquer forma
a qualquer um.
3.2 IP SPOOFING
Esta técnica é usada para mascarar o endereço de IP do atacante, de
forma a evitar que o mesmo seja detectado. Esta técnica é muito usada em
tentativas de acesso a sistemas nos quais a autenticação tem com base endereços
de IP, como a utilizada nas relações de confiança em uma rede interna. Esta técnica
também é muito utilizada em ataques do tipo DoS, nos quais pacotes de resposta
não são necessários
3.2.1 DEFESA
A defesa para este tipo de ataque é proteger sua rede interna
utilizando filtros de pacotes (firewalls), de acordo com as interfaces de rede. Isso
quer dizer que, qualquer tentativa de uma conexão externa a sua rede deve ser
bloqueada.
6. 6
3.3 DENIAL OF SERVICES
O DoS como é comumente conhecido tem o objetivo de interromper um
serviço que está sendo executado em seu equipamento. Este ataque explora
vulnerabilidades encontradas em SOs, Protocolos, entre outros serviços, explorando
assim as falhas existentes em suas implementações. Este tipo de ataque combina
vários outros tipos de ataques que caracterizam o DoS, são eles:
Buffer overflows
SYN flooding
Fragmentação do pacote IP
Seqüestro de conexções
Smurf
Fraggle
3.3.1 DEFESA
Para se defender deste tipo de ataque o mais indicado é sempre verificar
atualizações de sistemas operacionais e aplicações usadas para trabalho.
Infelizmente a cultura dos desenvolvedores não é de implementar os seus
softwares com uma boa segurança. Outro tipo de defesa é conhecer os
ataques usados para negação de serviço. No geral a boa implementação do
firewall junto com um bom IDS (Intrusio Detection Sistems) aliado com
monitoramento constante resolve uma boa parte destes problemas.
3.4 MAN IN DE MIDDLE (Homem do meio)
Man-in-the-middle é uma forma de ataque em que os dados trocados
entre duas partes são de alguma forma interceptada, registrados e possivelmente
alterados pelo atacante sem que as vitimas tenham conhecimento. Durante o
ataque, a comunicação é interceptada pelo atacante e retransmitida para o servidor
de origem. O atacante pode decidir retransmitir os dados inalterados, com alterações
ou bloquear partes da informação.
3.4.1 DEFESA.
Uma das defesas para este tipo de ataque é evitar canais que não
sejam criptografados.
7. 7
3.5 BACK DOORS
É uma falha de segurança em SO’s e programas onde não há uma
preocupação séria com segurança, que permite a invasão do cracker, fazendo com
que o mesmo obtenha controle total sobre o seu computador. Back doors podem ser
usados para instalação de outros vírus/worms nas maquinas infectadas.
3.5.1 DEFESA
A proteção mais comum para este tipo de ataque é a utilização de
firewalls e IDS.
3.6 DNS POISONING
É o comprometimento da segurança ou integridade dos dados em um
DNS. Esse problema acontece quando os dados que são introduzidos na cachê do
servidor de DNS não se originam do servidor de nomes DNS com autoridade real.
Este problema pode ser uma tentativa de ataque malicioso em um DNS, mas
também pode ser o resultado de um erro não intencional de configuração no cachê
do servidor DNS.
Quando um servidor DNS recebe dados não autenticados e armazena
em seu cache para otimizar o desempenho, tais dados pode ser falsos e, portanto,
podemos ter o envenenamento da cache do servidor que fornece os dados não
autenticados para seus clientes.
3.6.1 DEFESA
A melhor defesa quanto a esse tipo de ataque é uma boa
configuração do seu DNS, não permitindo redirecionamentos. Outra forma de defesa
contra este tipo de ataque é a implementação de um firewall.
3.7 ATAQUE REPLAY
O ataque Replay utiliza-se da mesma características do Man-in-the
middle, tendo como principal objetivo a interceptação de conexões para obter os
dados que por elas passam.
8. 8
3.7.1 DEFESA
A defesa pra este tipo de ataque também é semelhante as
utilizadas para combater o man-in-the-middle.
3.8 CHAVES DE CRIPTOGRAFIA FRACA
Chave de criptografia fraca é um problema encontrado na geração de
chaves criptografadas, que ao serem geradas são fácil de serem decifradas. Hoje
temos tecnologias avançadas que não permitem gerar estas chaves de criptografia
fraca. Um exemplo pratico atual de chave de criptografia fraca é o padrão usado em
redes sem fio, o padrão de criptografia WEP. Este tipo de criptografia é fácil de ser
decifrada, sendo substituída por um padrão mais forte chamado de WPA/PSK.
3.9 BUFFER OVERFLOW
O buffer overflow é uma anomalia onde um programa, ao escrever
dados em buffer, utrapassa os limites do buffer e sobrescreve a memória. Esste é
um caso especial de violação de segurança de memória. Estouros de buffer podem
ser disparados por entradas que são projetadas para executar códigos, ou alterar o
modo como o programa funciona. Isso pode resultar em comportamento errado do
programa, incluindo erros ao acesso à memória, resultados incorretos, parada total
do sistema, ou uma brecha em um sistema de segurança.
3.9.1 DEFESA
Para se proteger deste tipo de ataque deve-se usar proteção
automática no nível de linguagem. Esse tipo de proteção, entretanto, não pode ser
aplicado a códigos legados.
9. 9
4.0 SQL INJECTION
É um tipo de ameaça de segurança que se aproveita de falhas em
sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre
quando o atacante consegue inserir uma seria de instruções SQL dentro de
uma consulta através de manipulação das entradas de dados de uma
aplicação.
4.1.1 DEFESA
Uma boa defesa para este tipo de ataque é limitar os privilégios dos
usuários do banco de dados, assim quando um invasor tentar acessa a base
de dados com um determinado usuário da aplicação este ira se deparar com
um acesso limitado. Outra boa defesa é proteger os dados mais importantes
como senhas, por exemplo. Deve-se usar nesse caso criptografias como a
função MD5.
4.1 FORÇA BRUTA
É um ataque usado para quebrar a crifragem de um dado. Consiste em
percorrer a lista de chaves possíveis com um algoritmo de busca até que a
chave correta seja encontrada. A seleção de um tamanho de chave apropriada
depende de possibilidade prática de fazer um ataque de força bruta. Ao ofuscar
o dado a ser codificado, ataques de força bruta se tornam menos efetivo,
sendo mais difícil determinar o sucesso da busca.
4.1.1 DEFESA
Uma boa defesa para este tipo de ataque é a implementação do
firewall com restrições em portas de acesso e filtragem de origem. Portas que
não estão sendo utilizadas devem ser fechadas para que não sejam usadas
para este tipo de ataque. Redução do numero de equipamentos com serviços
abertos a internet também pode ser considerado uma boa defesa para este tipo
de ataque. Este tipo de defesa implica no menor numero possível de
10. 10
equipamentos ligados a internet. Isso torna mais fácil o monitoramento, dada a
menor quantidade de equipamentos a serem vigiados.
4.2 REMOTE CODE EXECUTION ATTACK (Ataque de Execução de
codigo Remoto)
Este tipo de ataque tem como objetivo a execução de códigos remotos
usando programas maliciosos para tal. Geralmente usa-se vírus/worms para
que estes códigos seja executados nas maquinas das pessoas atacadas. O
objetivo é obter o controle total do equipamento, para que o atacante possa
obter acesso total ao conteúdo da maquina atacada, obtendo informações
confidenciais, entre outras coisas. Um bom exemplo deste tipo de ataque é o
BACKDOOR (seção 3.5).
4.2.1 DEFESA
Uma boa defesa para este tipo de ataque é manter os
programas instalados com versões mais recentes e com todas as
atualizações disponíveis aplicadas e usar mecanismos de segurança como
antimalware e firewall.
5.0 CONCLUSÃO
Este documento nos mostra o quanto estamos suscetíveis a ataques, também
é interessante notar a variedades de ataques. Outro grande problema é a
conscientização dos desenvolvedores quanto à segurança. Por estarmos em dias
que é exigido o máximo de rapidez na entrega de produto aliado a um bom design,
acabam que esquecendo a importância da segurança em suas aplicações.
11. 11
6.0 REFERENCIAS
a) TAKAMURA, Emilio Tissato. Segurança de redes em Ambientes cooperativos.
São Paulo: NOVATEC 2010
b) Revista economia e Tecnologia
c) Xá.ying.com. Acesso 15:30 dia 31/10/2103
d) www.bsi-brasil.com/blog/infografico-crescimento-internet-ultimo-10-anos-
17201216. Acesso 17:02 dia 31/10/2013
e) www.wiki.postgresql.org/wiki/sql_injection acesso 18:30 dia 31/10/2013
f) www.cert.br/docs/whitpapers/defesa-força-bruta-ssh/#2
g) www.cert.br/malware