Segurança da Informação

Fonte: http://www.inf.ufsc.br

Tipos de Ataques
- Negação de Serviço
- Vazamento de Informações
- Acesso a arquivos comuns
- Informação Falsa
- Acesso a arquivos ou bancos de dados especiais
- Execução remota de código arbitrário
- Elevação de Privilégios

Negação de Serviço – (Denial of Service)
Quando a disponibilidade de um recurso é intencionalmente bloqueada ou prejudicada.
O ataque impede a disponibilidade do recurso para seus usuários autorizados regulares.
Dificultar processos.
Diminuir a capacidade de armazenamento.
Destruir arquivos para tornar o recurso inutilizável.
Desativar partes do sistema ou processos.
O ataque é local. São comuns.
Muitos casos inevitáveis.
São mais fáceis de detectar.
Desde que a infra-estrutura de segurança esteja correta, são facilmente rastreados e o atacante é facilmente identificado.
Degradação de processo.
Esgotamento de espaço em disco.
Esgotamento de nó de índice.

Degradação de processo
No kernel Linux até a versão 2.4.12 … … … O scheduler de processos podia ser bloqueado, impedindo que quaisquer outros processos no sistema recebessem tempo de CPU.
Ataque local.
Afetando outros sistemas operacionais, existe o fork bomb.
Diminui o desempenho de processos com efeitos variáveis.
O efeito pode ser tão pequeno quanto fazer o sistema operacional funcionar lentamente …
Ou podem ser tão extremos quanto monopolizar recursos do sistema operacional, causando sua queda.
O código para shell: $ 0 & $ 0 &
O código para C:
(main() {for( ; ; ) fork () ; } )
#include
#include
#include
void main(void)
{ malloc(9999);
fork();
main();
}

Esgotamento do espaço em disco
Ataque local.
O espaço em disco é um recurso finito.
Consumir o espaço em disco até sua capacidade máxima.
O espaço em disco era um recurso extremamente caro.
A indústria atual tem diminuído o preço do armazenamento em disco.
Pode-se resolver muitos problemas de armazenamento com soluções como arrays de disco e software que monitora o excesso de armazenamento.
O espaço em disco continua sendo um entrave para todos os sistemas. As soluções baseadas em software, com cotas de armazenamento por usuário, visam amenizar este problema.
O ataque impede a criação de novos arquivos e o crescimento dos arquivos existentes.
Alguns sistemas UNIX cairão quando a partição raiz atingir a capacidade de armazenamento.
Incluir uma partição separada para os recursos de log, como o /var, e uma partição separada para os usuários como o diretório /home no LINUX ou /export/home nos sistemas SUN.
Objetivo do ataque: derrubar sistemas, quando o layout de disco não for feito com partições de log e de usuários em separado.
Outro objetivo: obscurecer as atividades de um usuário, gerando grande quantidade de eventos que são registrados via syslog, enchendo a partição onde os logs são armazenados e impossibilitando o syslog de qualquer outra atividade.
Outro objetivo: obscurecer as atividades de um usuário, gerando grande quantidade de eventos que são registrados via syslog, enchendo a partição onde os logs são armazenados e impossibilitando o syslog de qualquer outra atividade.
O ataque: um usuário local executa o comando
cat /dev/zero > ~maliciousfile
O comando concatena dados do arquivo de dispositivo /dev/zero (que simplesmente gera zeros) com o arquivo malicioso, continuando até que o usuário suspenda o processo ou que a partição seja atingida.

Esgotamento de inode
O ataque é local.
Concentra-se no sistema de arquivos.
inode = index node (nó de índice).
Os nós de índice são parte essencial do sistema de arquivos do UNIX.
Contém informações vitais ao gerenciamento do sistema de arquivos: proprietário do arquivo, associação de grupo do arquivo, tipo de arquivo, as permissões, o tamanho e os endereços de bloco contendo os dados do arquivo.
Quando um sistema de arquivos é formatado, um número finito de inodes é criado para manipular a indexação dos arquivos.
O ataque visa usar todos os inodes disponíveis para uma partição.
O sistema é incapaz de criar novos arquivos.
Objetivos do ataque: impedir o registro dos eventos de sistema, especialmente, as atividades do próprio hacker.

INODE
Em UNIX, pode-se verificar quantos inodes estão livres sobre um disco por emitir o comando df com a opção –i:
% df -o i /usr

Negação de Serviço – (Ataque Remoto)
Ataques de negação de serviço lançados através de uma rede.
Duas categorias:
- um ataque que afeta um serviço específico;
- um ataque que visa um sistema inteiro.
Ferramentas disponíveis conferem anonimato e capacidade de causar um problema exigindo pouco conhecimento técnico.
A gravidade desses ataques varia significativamente.
São destinados a produzir transtornos.
Lançados como uma ação retaliatória.
Lado do Cliente
Baseado em Serviço
Direcionada a Sistema

DoS direcionada a sistema – Ataques de Flooding
Usado para prejudicar o desempenho ou tornar o sistema completamente indisponível.
Forma de ataque: usar uma exploração para atacar um sistema por meio de outro, deixando o sistema alvo inoperante.
O conceito de inundação (flooding) de SYN (.
Ataque lançado de qualquer sistema em uma rede mais rápida que o sistema-alvo, para múltiplos sistemas.
É usado para degradar desempenho de sistema.
A inundação de SYN (sincronização) é realizada enviando requisições de conexão IP mais rápido do que um sistema pode processar.
Como o sistema-alvo consome recursos para cuidar de cada conexão, um grande número de SYNs chegando, pode levar o sistema-alvo a ficar sem recursos para novas conexões legítimas.
O endereço IP de origem é falsificado, para quando o sistema-alvo tentar responder com um SYN-ACK (sincronização-confirmação), o atacante não recebe resposta alguma.
O código de exploração para o flooder de SYN, syn4k.c foi escrito por Zakath.
Este flooder de SYN permite selecionar as portas e um endereço, a inundar no sistema-alvo.
O código pode ser obtido em:
www.cotse.com/sw/dos/syn/synk4.c
Pode-se detectar uma inundação de SYN feito pelo código synk4.c usando-se o comando netstat (Windows).
C:WINNTSystem32cmd.exe
C:>netstat -n -p tcp
C:>netstat -all
C:WINNTSystem32cmd.exe
C:>netstat -n -p tcp
-n exibe o (Local Address) atingido e o endereço remoto (Foreign Address) de onde vem a inundação.
-p seleciona o protocolo desejado.
C:>netstat -n -p udp
São mostradas as conexões que interessam para o ataque em particular.

DoS de rede direcionada a sistema – Ataques Smurfing
Geralmente lançados pelos scripts kiddiots (script do atacante), com poder de anonimato.
O ataque de smurf realiza um DoS através de rede contra um host-alvo.
O ataque se baseia na ajuda de um intermediário, um roteador.
O atacante falsificando o endereço IP de origem, gera uma grande quantidade de tráfego de echo ICMP (Internet Control Message Protocol) direcionado aos endereços de broadcast IP, no roteador.
O roteador, chamado de amplificador de smurf, converte o broadcast IP em um broadcast da camada 2 (enlace) e a passa adiante.
Cada host que recebe o broadcast, responde para o endereço IP falsificado, com uma resposta de echo.
Dependendo do número de hosts na rede, tanto o roteador, tanto o host-alvo podem ser inundados com tráfego.
Isto pode resultar na queda de desempenho na rede, do host-alvo sendo atacado e, dependendo do número de redes com roteadores amplificadores usados, a rede com o host-alvo, se torna saturada até a sua capacidade.

DoS direcionada a sistema – Ataques DDoS
Atacante – Quem efetivamente coordena o ataque.
Master – Máquina que recebe os parâmetros para o ataque e comanda os agentes.
Agente – Máquina que efetivamente concretiza o ataque DoS contra um ou mais alvos, conforme especificado pelo atacante.
Alvo do ataque – Máquina que é “inundada” por um volume grande de pacotes, ocasionando um congestionamento extremo da rede e resultando na paralização dos serviços oferecidos pela mesma.
Cliente – Aplicação que reside no Master e que efetivamente controla os ataques enviando comandos aos daemons.
Daemons – Processos que roda nos agentes, responsável por receber e executar os comandos enviados pelo cliente.
Resulta de conjugar os dois conceitos:
- negação de serviço
- intrusão distribuída.
Ataques DoS partindo de várias origens, disparados simultaneamente e coordenadamente sobre um ou mais alvos.

O ataque é dado em três fases:
- Uma fase de intrusão, na qual ferramentas automáticas são usadas para comprometer máquinas e obter acesso privilegiado (acesso de root).
- o atacante instala software DDoS (agentes) na máquinas invadidas, para montar a rede de ataque.
- fase da inundação, consolidando o ataque.

Fase 1: Intrusão em Massa
É realizada uma varredura de portas e vulnerabilidades em redes consideradas “interessantes”.
Explorar as vulnerabilidades reportadas para a obtenção de acesso privilegiado nessas máquinas.

Sniffers e Rootkits
Um Sniffer é um programa ou ferramenta que monitora uma rede em busca de informações em que o atacante possa estar interessado.
Informações de autenticação, como nomes de usuários e senhas.
Sniffers são incluídos na maior parte dos Rootkits.
É criada uma lista de IPs das máquinas que foram invadidas e que serão utilizadas na montagem da rede.

Fase 2: Instalação de Software DDoS
Uma conta de usuário qualquer é usada como repositório das versões compiladas de todas as ferramentas de ataque DDoS.
Uma vez que a máquina seja invadida, os binários das ferramentas DDoS são instalados nessas máquinas para permitir que sejam controladas remotamente.

Masters ou Agentes.
Masters, não devem ser máquinas manuseadas cosntantemente pelos administradores.

Agentes devem estar em máquinas conectadas à Internet por links relativamente rápidos.

Rodados os daemons que rodam nos agentes, esses se anunciam para os masters e ficam à espera de comandos.
A aplicação DDoS que roda nos masters, registra em uma lista IP das máquinas agentes ativas.
Essa lista pode ser acessada pela máquina atacante.
A partir da comunicação automatizada entre masters e agentes, organizam-se os ataques.
Rootkits poderão ser instalados para ocultar o comprometimento das máquinas.

Fase 3: O ataque
a) O atacante controla um ou mais máquinas masters, as quais por sua vez podem controlar um grande número de máquinas agentes.
b) A partir dos agentes é disparado o “flood” de pacotes que consolida o ataque.
c) Quando o atacante ordena o ataque, uma ou mais máquinas-alvo são inundadas por um volume considerável de pacotes, resultando na saturação do link de rede e paralização dos seus serviços.

Ferramentas de DDoS
- Fapi
- Blitznet
- Trin00
- TFN
- Stacheldraht
- Shaft
- TFN2K
- Trank
- Trin00 win version

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

“Os sites de redes sociais são uma verdadeira praga” do ponto de vista da segurança corporativa.

Sites como o Facebook e o LinkedIn são uma fonte rica para os invasores em busca dos dados de que necessitam para lançar ataques de engenharia social, denuncia um especialista em segurança. As redes sociais são, na sua opinião, o melhor lugar para os ciber-criminosos recolherem dados corporativos valiosos ou infiltrarem-se em redes empresariais. “Os sites de redes sociais são uma verdadeira praga” do ponto de vista da segurança corporativa, afirma Alan Lustiger, director de segurança de informação da Gain Capital Holdings.

Eis as sete razões apontadas por Lustiger:
1 – A pesquisa em sites sociais por nomes de empresas revela, mesmo que parcialmente, uma lista dos seus funcionários, o que facilita bastante o trabalho de quem pretende explorar ataques de engenharia social.

2 – Os endereços corporativos de e-mail publicados em sites sociais fornecem informações valiosas. Se o esquema de formação dos e-mails (inicial do primeiro nome e apelido, ou primeiro nome mais “sublinhado” e apelido) for o mesmo da senha do utilizador, então a segurança estará comprometida. “É meio caminho para divulgar o seu nome de utilizador e password”, avisa.

3 – As informações publicadas em sites sociais dão pistas os ciber-criminosos tentarem adivinhar as passwords – nomes de crianças, comida favorita, equipas desportivas, etc.

4 – Os concursos falsos anunciados em sites sociais que exigem todo o tipo de dados, e que podem ser usados para redefinir passwords: que escola frequentou, nome do seu primeiro animal de estimação, o nome de solteira da sua mãe, entre outros.

5 – As URLs abreviadas frequentemente usadas no Twitter podem conduzir a qualquer lugar, não dando qualquer pista sobre o site de destino.

6 – Os “bulletin boards” podem gerar notícias de vagas de empregos no departamento de TI de determinadas empresas na mira dos delinquentes. Estes podem, então, candidatar-se a entrevistas e, nelas, obter informações detalhadas sobre a rede corporativa para posteriormente utilizarem em ataques.

7 – O uso de tecnologia GPS por parte do Google Latitude torna público o local onde a pessoa está num determinado momento, revelando também todos os lugares onde não está. Os criminosos que procuram um pretexto para entrar num edifício comercial podem usar esta informação para passar na empresa e pedir para falar com um empregado que já sabem não estar lá.

Lustiger diz que tudo o que os exploradores de esquemas de engenharia social precisam é de conseguir pôr um pé dentro da empresa, mesmo que seja apenas na área da recepção. Basta que um deles entre, pergunte por alguém que não está lá, decida esperar e, então, peça à recepcionista para imprimir uma folha de cálculo que supostamente deveria ser levada à reunião com a pessoa que não está lá. As recepcionistas, normalmente solícitas, inserem então uma pen drive USB no seu computador para imprimir o tal documento.

Nesse momento, o malware contido na pen instala uma porta de entrada na rede da empresa, usada posteriormente para roubar dados ou libertar código destrutivo – e tudo sem deixar rasto.

Outro truque de engenharia social passa por conseguir qualquer vaga na empresa, dando ao invasor acesso interno às redes e mais tempo para causar estragos. De acordo com Alan Lustiger, isso é algo que “levaria apenas alguns minutos a conseguir e não seria difícil de fazer”.

Educar os empregados sobre os riscos é a melhor forma de bloquear vectores de ataque social, diz Lustiger. E aplicar essas medidas nas suas vidas pessoais também ajudaria. “Porque motivo havemos de indicar a nossa data de aniversário num website?”, questiona, lembrando que esta a informação pode ser utilizada como um factor de identificação para adivinhar passwords ou roubar identidades. E dá um exemplo da melhor forma de agir, praticado por ele próprio: utilizar uma data de nascimento falsa para se proteger contra o roubo de identidade.

As recomendações de segurança física que os empregados deveriam seguir incluem não deixar que outras pessoas aproveitem a passagem por uma porta aberta depois de alguém a ter destrancado com um cartão, e pedir a identificação a qualquer pessoa que não seja reconhecida como funcionário.

Quanto aos sites de redes sociais, as equipas de segurança empresariais deveriam promover a monitorização dos sites de rede sociais usados pelos seus funcionários em busca de informação que, uma vez tornada pública, poderia comprometer a segurança dos activos da empresa. “Os funcionários estão constantemente a pôr informação da empresa lá fora, mesmo nos seus tempos livres”, alerta.

Mesmo as empresas mais diligentes estão vulneráveis, diz o director de segurança de informação da Gain Capital Holdings. “É virtualmente impossível defender-se contra um invasor que usa esquemas de engenharia social e que seja realmente dedicado e tenha tempo suficiente para essa tarefa”, considera.

Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br