View
76.355
Download
7
Category
Preview:
DESCRIPTION
Aula de Análise de Vulnerabilidades na Pós da Estácio
Citation preview
Pós-Graduação - lato Sensu
Prof: Cássio Alexandre Ramoscassioaramos (at) gmail (dot) comhttp://cassioaramos.blogspot.comhttp://www.facebook.com/cassioaramos
BEM-VINDO À DISCIPLINA DE:Análise de Vulnerabilidades
Pós-Graduação - lato Sensu
Análise de Vulnerabilidades e
Metodologia de Ataque
Pós-Graduação - lato Sensu
• Fraquezas que podem ser exploradas
– Hardware/firmware
– Software
– Física
– Configuração
– Política
Vulnerabilidades
Pós-Graduação - lato Sensu
• Ataques de Segurança
• Tentativa de Intrusão
• Atividade Suspeita
• Anomalia de Protocolo
Definições
Pós-Graduação - lato Sensu
Ataques Contra a Segurança
Pós-Graduação - lato Sensu
TENTATIVA DE INTRUSÃO
Tentativa de exploração de vulnerabilidade conhecida
Sendmail address parcing buffer overflow
Microsoft WebDAVbuffer overflow
Raramente resultamem alarme falso (falsopositivo)
Pós-Graduação - lato Sensu
ATIVIDADE SUSPEITA
� Atividades que precedem um ataque� Mapeamento da rede� Mapeamento de portas
� Pode ser um aviso de que o ataque é iminente� Dificil de se definir
Pós-Graduação - lato Sensu
ANOMALIA DE PROTOCOLO
Tráfego não conforme comos padrões das RFC
Exemplo
TCP ACK Scans
Flags TCP setadas de forma estranha
Pode ser umaviso de umexploit desconhecido
Pós-Graduação - lato Sensu
Propósito
� Propósito é entender a metodologia de ataque e não formar atacantes
� ..... Poderemos implementar estratégias de defesa efetivas
� Como são realizados os ataques?
Pós-Graduação - lato Sensu
Metodologia de Ensino
� Por que escolhemos essas ferramentas e tecnologias?� Porque são de uso corrente� Provêem fundamentação sobre os princípios
utilizados pelos atacantes� Ilustram o que precisamos para uma defesa
efetiva� Algumas delas são bastante interessantes e ““““sujas ””””
� NUNCA subestime o adversário
Pós-Graduação - lato Sensu
Metodologia de Ensino � Tentativa – ataque ser independente de plataforma
� Ferramentas individuais podem rodar em Unix, Window s etc
� Enfoque em conceitos de ataque que podem funcionar em diversas plataformas (Novell, VAX, MVS etc)
� Serão incluídos links das ferramentas� Utilize por sua conta e risco� Podem causar danos� Recomenda-se o uso em ambientes de teste e
segregados� O uso de algumas ferramentas pode ser ilegal (verif ique
com o setor jurídico)� Só utilize as ferramentas com permissão formal
Pós-Graduação - lato Sensu
Informações do Underground
� Existe muita informação sobre vulnerabilidades de segurança disponível publicamente
� Ferramentas de ataque cada vez mais amigáveis e fáceis de se distribuir
� Script kiddies abusam dessas ferramentas� Ferramentas de qualidade e extremamente
funcionais� Atacante não precisa recriar a roda
� Existe debate a respeito – vulnerabilidades de segurança devem ser publicadas ou devem ser escondidas até que a efetiva defesa esteja disponível???
Pós-Graduação - lato Sensu
Informações do Underground
� Atacantes tem excelente rede de comunicações� Chat, IRC, web, twitter, grupos informais e até
conferências oficiais (DEFCON)� Comunidade de segurança precisa aprender a
compartilhar informações� Aumento nas atividades de hacktivismo
� Interesses políticos� Forma mais normal – alteração de sites Web
Pós-Graduação - lato Sensu
Informações do Underground• Atacantes estão aprendendo a ganhar dinheiro com có digo
malicioso� Verifique – aonde tem mais dinheiro, maior é a ativi dade
dos atacantes• Como ganhar dinheiro com código malicioso?
� Vendendo código para backdoor / bots� http://rootkit.host.sk/antidetection.php para uma lista de
preços� Venda de keystroke loggers para roubo de informaçõe s
financeiras� Páginas Web dinâmicas – simulam sites de banco� Phishing� Extorsão� Aluguel de bots (robôs)
Pós-Graduação - lato Sensu
Informações do Underground• Atacantes alteram site web/ftp e incluem backdoor• Todos que fazem download das ferramentas são afetad os
� Nov 2002: tcpdump.org – alteração na libpcap por backdoor – funcionalidades do tcpdump não foram alteradas
� Março 2003 – gnu.org hackeado e nenhum software alterado (acredita-se)
� Novembro de 2003 – servidores de desenvolvimento Debian comprometidos
� Janeiro 2005: jabber.org comprometido – arquivos de vários projetos alterados
• Grandes nomes já passaram por isso - ..... Windows u pdate .......
Pós-Graduação - lato Sensu
Introdução• Atacantes alteram site web e incluem backdoor
• Jan 2013: Site do Banco do Brasil é invadido e tirado do ar por
grupos hackers. Existe suspeita de inclusão de arquivos
maliciosos no mesmo.
Pós-Graduação - lato Sensu
Introdução• Atacantes alteram site web e incluem backdoor
• Jun 2013: página oficial do governo brasileiro
(www.brasil.gov.br) na Internet, teve seu conteúdo
alterado indevidamente.
Pós-Graduação - lato Sensu
Introdução• Atacantes alteram site web e incluem backdoor
• Ago 2013: Site do PMD é invadido por hackers pela segunda
semana e cobram de Sergio Cabral explicações sobre
paradeiro de amarildo.
Pós-Graduação - lato Sensu
Introdução• Atacantes alteram site web e incluem backdoor
• Set 2013: Um dos Sites da Apple destinado a
desenvolvedores foi invadido por um hacker que pode ter
roubado informações pessoais desses profissionais.
Pós-Graduação - lato Sensu
Informações do Underground - defesas
• O que fazer para não baixar backdoor?� Checar hashes .... em vários mirrors
� md5 e sha-1, pelo menos� md5sum e sha1sum são nativos do linux� md5summer – disponível para win em
md5summer.org� Não colocar software novo em produção - teste
primeiro� Período de testes - tempo valioso para verificar
em sites especializados se há algum problema no download
Pós-Graduação - lato Sensu
Informações do Underground – Golden Age
• Casamento de ferramentas e virus/worms resultaem poderosas técnicas de hacking� Worms cada vez mais sendo utilizados para carregar
backdoors, password crackers e scanners
• Época de ouro para hacking e cracking –conseqüentemente é tempo de Segurança daInformação
Pós-Graduação - lato Sensu
Metodologia um Ataque
� Fases� Reconhecimento� Scanning� Obtenção de Acesso� Negação de Serviço� Manutenção do Acesso� Cobertura – limpeza de rastros
Pós-Graduação - lato Sensu
Reconhecimento
� Ajuda o atacante a conhecer a vítima antes de desferir qualquer pacote ofensivo� Internet é um tesouro de informações de
interesse� Essas informações são públicas – não há crime
� Antes de um assalto a banco é boa prática conhecer a rotina de funcionários, horários de abertura e fechamento do cofre, localização de câmeras etc
Pós-Graduação - lato Sensu
Reconhecimento
� Baixa Tecnologia
� Pesquisa na Web
� Base de Dados Whois
� DNS
� Principais Ferramentas de Reconhecimento
Pós-Graduação - lato Sensu
Reconhecimento
� Baixa Tecnologia
� Engenharia Social
� Acesso Físico
� Dumpster Diving
Pós-Graduação - lato Sensu
Reconhecimento
� Baixa Tecnologia� Engenharia Social
� Ataque a boa fé� Telefone para helpdesk como funcionário
solicitando abertura de conta, e-mail, ramal VoIP
� Simular gerente com problemas de acesso� Simular admin pedindo que usuário troque
senha� Solicitação de acesso remoto� etc....� Kevin Mitnick's. The Art of Deception
Pós-Graduação - lato Sensu
Reconhecimento� Baixa Tecnologia
� Acesso Físico� Intruso quebra segurança física � Não precisa invadir sistema para obter
informações� Pode plantar backdoors em sistemas� Atacante pode ter acesso a rede local, que
não está protegida por firewall� Roubo de pen drives, CDs, HDs, DVDs e
documentos� Pode utilizar técnicas de engenharia social
em conjunto
Pós-Graduação - lato Sensu
Reconhecimento
� Dumpster Diving� Coleta de Lixo
� Papel� CD, DVD, HD etc
� Defesas� Classificação de material controlado� Trituradores de papel, DVDs etc� Procedimento de descarte de mídias e
computadores ((((Ex...caiu na net!!!!!))))� Conscientização
Pós-Graduação - lato Sensu
Reconhecimento� Pesquisa na Web
� Pesquisa no site da instituição� Posições oficiais sobre determinados assuntos, como
por exemplo software livre e Tecnologias utilizadas� Cultura e linguagem corporativa - dicionários� Nomes de diretores e empregados� Recentes aquisições e fusões� Telefones de contato (war dialing e engenharia soci al) e
e-mails� Pesquisa em sites relacionados
� Parceiros de negócios� Provedores de Internet� Fornecedores
Pós-Graduação - lato Sensu
Reconhecimento - Defesas
� Limitar e controlar as informações no site da instituição
� Verificar atividade – web spider/crawler� logs apresentam acesso ao site inteiro, página por
página em curto período (5 min)� Pode ser somente um robo do google ou outra
ferramenta de busca� Alguém pode estar fazendo download do site
inteiro
Pós-Graduação - lato Sensu
Reconhecimento
� Dados públicos� Sites de emprego
� Vagas de emprego anunciadas. Ex. precisa-se de empregado com experiência em
Web Server IIS 5� Sites de jornais – noticias sobre a instituição� Sites de relacionamento – comunidades
relacionadas
Pós-Graduação - lato Sensu
Reconhecimento� Pesquisa na Web
� CPF, nomes de funcionários - extorsão
Pós-Graduação - lato Sensu
Reconhecimento� Pesquisa na Web
� Endereço, situação fiscal etc..É só colocar o CPF que se verifica o nome completo.....
Pós-Graduação - lato Sensu
Reconhecimento
� Pesquisa na Web - GOOGLE� O google possui inúmeras informações que
auxiliam o atacante� Pergunte ao google que ele responde� Grande fonte de recursos
� ““““Ihackstuff ”””” – http://johnny.ihackstuff.com –site com base de dados de google hacking (GHDB)
� Johnny escreveu ““““google hacking for penetration testers ””””
Pós-Graduação - lato Sensu
Reconhecimento� Pesquisa na Web – GOOGLE
� Robôs do google visitam os web sites constantemente – é só verificar os logs
� Servidores VNC, servidores Web com backdoors, servidores com Páginas default
� Ex. site:bigbank.com filetype:xls cpf� site:banco.com filetype:asp� site:banco.com .asp� site:banco.com filetype:cgi� site:banco.com filetype:php� allinurl:"exchange/logon.asp ““““
Pós-Graduação - lato Sensu
Reconhecimento� Pesquisa na Web – GOOGLE
� Diretiva ““““site ”””” – procura somente no domínio� Diretiva ““““link ”””” – procura os sites que tem link para
determinado site� Diretiva ““““intitle ”””” – mostra páginas que o título bate com
critério de busca� Diretiva ““““inurl ”””” – mostra páginas em que a URL bate com o
critério de busca� Outros exemplos
� ““““social security number ”””” – nome exato� site:.edu SSN xls –pdf – procurar em sites .edu, planilhas
excel que contenham SSN e não incluir arquivos pdf� kickstart file automatically generated by anaconda
rootpw filetype:cfg� etc.....
Pós-Graduação - lato Sensu
Reconhecimento
� Pesquisa na Web – GOOGLE� ““““cache:www.site.com.br ”
� Mostra uma versão cacheada da página� Código html é carregado do google� Robôs do google só recebem 101k do código html
e colocam em cache� As imagens vem do site original� Links também vem do site original� Da para ver páginas recentemente removidas
Pós-Graduação - lato Sensu
Reconhecimento
� Pesquisa na Web – GOOGLE como proxy� Navegar no cache não é uma boa alternativa de
navegação anonima� Google pode ser usado como serviço de tradução,
trabalhando como proxy limitado� Proxy anônimo mais profissional
� www.all-nettools.com/toolbox� Possui outras funcionalidades
Pós-Graduação - lato Sensu
Reconhecimento� Pesquisa na Web – ““““Wayback Machine ””””
� http://www.archive.org � Mostra como o site era no passado� Permite que se navegue interativamente no cache � As imagens, se ainda estiverem no site original, s erão
carregadas deste. Caso contrário virão do cache
Pós-Graduação - lato Sensu
Reconhecimento• Pesquisa na Web – GOOGLE
� Pode-se usar o google para pesquisas associadas a falhas comuns em servidores web ou de desenvolvimento� Página web default (apache, IIS, ColdFusion, etc)
� Alguns worms usam essas técnicas para localizar sistemas vulneráveis � Worm saint de Dez de 2004 procurava por
vulnerabilidades em scripts phpBB• Lista mantida em GHDB – johnny.ihackestuff.com
Pós-Graduação - lato Sensu
Reconhecimento - Whois
• Quando se registra um domínio algumas informações devem ser providas� Endereços� Tel de contato� Servidores de domínio autoritativos
• Essas informações podem ser utilizadas em um ataque� Engenharia social – nomes de contatos� War dialing – números de telefone� War driving – endereço � Scanning – endereços IP
Pós-Graduação - lato Sensu
Pesquisa Whois por blocos IP• Atacantes buscam blocos de IP designados a alvos em bancos
de dados whois geográficos • http://www.countryipblocks.net/country-blocks/selec t-formats/
� ARIN (american registry for internet numbers)� http://www.arin.net
� RIPE NCC (reseaux IP europeens network coordination centre)� http://www.ripe.net
� LACNIC (latin american and caribbean NIC)� http://lacnic.net
� DoDNIC (department of defense NIC)� http://www.nic.mil/dodnic/
• Outros sites uteis para checar informações Whois� http://www.allwhois.com e http://www.uwhois.com
Pós-Graduação - lato Sensu
Base Whois
• Bancos de dados Whois estão distribuídos pela Internet e contém inúmeras informações� Muitos podem ser acessados via web� Alternativamente podem ser utilizados comandos
em implementações Unix• 1º procure o alvo no InterNIC (international network
information) para determinar o registrar� http://www.internic.net/whois.html� http://registro.br
Pós-Graduação - lato Sensu
Pesquisa Whois • Consulta a site - http://registro.br/cgi-bin/whois/# lresp
Pós-Graduação - lato Sensu
Pesquisa Whois• Whois checkpoint.com
• Server Name: CHECKPOINT.COM• IP Address: 216.200.241.66• Registrar: NETWORK SOLUTIONS, LLC.• Whois Server: whois.networksolutions.com• Referral URL: http://www.networksolutions.com
• Whois 216.200.241.66• CHECKPOINT SOFTWARE MFN-B655-216-200-241-64-28
(NET-216-200-241-64-1) 216.200.241.64 - 216.200.241.79• Abovenet Communications, Inc ABOVENET-5 (NET-216-
200-0-0-1) 216.200.0.0 - 216.200.255.255• American Registry for Internet Numbers NET216 (NET-
216-0-0-0-0) 216.0.0.0 - 216.255.255.255
Pós-Graduação - lato Sensu
Defesa contra Reconhecimento Whois
• Simplesmente conviva com isso ....� A Internet é assim
• Use o nome da organização, telefone e e-mail alias –admin@organizacao.com.br� É importante que esses dados estejam corretos – caso
contrário, em caso de problemas, vc não será encontrado
• Pode-se utilizar registros anônimos� www.domainsbyproxy.com� Dificilmente vc será encontrado caso ocorra algum
problema – Ex. seu site atacando outros
Pós-Graduação - lato Sensu
Reconhecimento
� Base de Dados Whois� Informações de domínio, IP, contatos etc.� Autoridades de registro
� www.internic.net/alpha.html ,
Pós-Graduação - lato Sensu
Reconhecimento� DNS
� Servidores de nomes possuem informações úteis sobre alvos
� O objetivo dos atacantes é descobrir o maior número de IP associados ao domínio vítima
� Informações de DNS são públicas� Comando nslookup pode ser usado para interagir com
o DNS Server� Incluído no Windows NT/2000/XP� Algumas implementações Unix não possuem ou
não tem todas as funcionalidades, como por exemplo transferência de zonas
� Outra ferramenta útil - dig
Pós-Graduação - lato Sensu
Reconhecimento
� DNS� Consulta interativa
� root@bt:~# nslookup�> www.checkpoint.com�Server: 172.16.49.2�Address: 172.16.49.2#53
�Non-authoritative answer:�Name: www.checkpoint.com�Address: 216.200.241.66
Pós-Graduação - lato Sensu
Reconhecimento
� DNS� Consulta interativa
� root@bt:~# nslookup� > set type=mx� > checkpoint.com� Server: 172.16.49.2� Address: 172.16.49.2#53� Non-authoritative answer:� checkpoint.com mail exchanger = 12 cale.checkpoint.com .� checkpoint.com mail exchanger = 15 usmail-as.zonelabs.com .
Pós-Graduação - lato Sensu
Reconhecimento
� DNS� Consulta interativa
� > set type=ns� > checkpoint.com� Server: 172.16.49.2� Address: 172.16.49.2#53� Non-authoritative answer:� checkpoint.com nameserver = ns2.checkpoint.com.� checkpoint.com nameserver = ns6.checkpoint.com.� checkpoint.com nameserver = ns8.checkpoint.com.� checkpoint.com nameserver = ns1.checkpoint.com.
Pós-Graduação - lato Sensu
Reconhecimento
� DNS� Consulta interativa
� root@bt:~# nslookup ns2.checkpoint.com�Server: 172.16.49.2�Address: 172.16.49.2#53
�Non-authoritative answer:�Name: ns2.checkpoint.com�Address: 208.185.174.141
Pós-Graduação - lato Sensu
Reconhecimento
� DNS� Transferência de zona – atacante pode determinar
que máquinas são acessíveis pela Internet� Uso do nslookup
c:\> nslookup> server [IP_do_servidor_autoritativo]> set type=any> ls –d [dominio_alvo]
� Lembre-se de utilizar esses comandos nos servidores primários e secundários
Pós-Graduação - lato Sensu
Reconhecimento
� DNS� Transferência de zona – em ambientes Unix o
nslookup pode ser utilizado em algumas versões� Algumas versões não suportam o nslookup e
outras não suportam todas as funcionalidades � Nesse caso deve-se utilizar o dig
$ dig @[dns_server_IP] [domínio_alvo] –t AXFR
Pós-Graduação - lato Sensu
Reconhecimento � DNS
� Transferência de zona� root@bt:~# host -t ns offensive-security.com� offensive-security.com name server ns2.no-ip.com.� offensive-security.com name server ns4.no-ip.com.� offensive-security.com name server ns3.no-ip.com.� offensive-security.com name server ns1.no-ip.com.� offensive-security.com name server ns5.no-ip.com.� root@bt:~# host -l offensive-security.com ns4.no-ip.com� ; Transfer failed.� Using domain server:� Name: ns4.no-ip.com� Address: 75.102.60.46#53� /pentest/enumeration/dnsenum# ./dnsenum.pl dominio
Pós-Graduação - lato Sensu
Reconhecimento DNS - Defesas
� Não permitir transferência de zona com qualquer sistema � Servidor primário só aceita transferência para o
secundário e terciário etc� Secundário e terciário não transferem para
nenhum sistema� Utilize arquitetura dividida
� Servidores externos e internos� Assegure-se que seus servidores DNS externos
passaram por Hardening� Verifique nos logs DNS tentativas de transferência de
zona - tcp porta 53
Pós-Graduação - lato Sensu
Reconhecimento� Ferramenta de Reconhecimento
� Freeware Sam Spade de Steve Atkins - www.samspade.org
� Ping
� Pesquisa Whois
� Nslookup
� Zone transfer
� Traceroute
� Finger
� SMTP VRFY
� Web Browser
Pós-Graduação - lato Sensu
Reconhecimento
• Ferramenta de Reconhecimento � SamSpade – caracteristicas adicionais
� crawl website – faz download do site e cria espelho local
� Faz o mesmo que wget –r
• Scanning pode ser feito por aplicação cliente ou via web – se web, toda atividade será lançada pelo site
Pós-Graduação - lato Sensu
Reconhecimento
• Diversos sites oferecem pesquisa e ataque a outros sites• Para a lista completa – www.attackportal.net• Links para scanning Web (traceroute, ping, port sca n,
smurf, testes DoS etc..� www.samspade.org� www.blackcode.com/net-tools/� http://www.tracert.com/trace_exe.html� www.network-tools.com� www.cotse.com� privacy.net/analyze/� www.securityspace.com
Pós-Graduação - lato Sensu
Scanning – War Driving
� É o processo de procurar redes wireless desprotegidas
� Cada vez mais os próprios usuários criam suas redes sem fio sem autorização institucional
� É necessário um laptop e um cartão wireless � Informações adicionais em www.wardriving.com
Pós-Graduação - lato Sensu
Scanning – War Driving
� Muitos AP wireless sem a mínima preocupação de segurança� Default SSID
� Por default muitos AP respondem a request de SSID� Mesmo os AP configurados para não responder, o
SSID será enviado em texto claro para usuários autenticados� Lembre-se – SSID não provê segurança
� Alguns protocolos de segurança wireless tem vulnerabilidades significativas (WEP e LEAP)� Mesmo habilitando esses protocolos não é
suficiente
Pós-Graduação - lato Sensu
Scanning – War Driving� Ferramenta Netstumber
� Desenvolvida por Marius Milner� www.netstumber.com� Free, mas sem código fonte� Detecta rede 801.11a/b/g/n� Win (95, 98, ME, 2000 e XP, vista e 7) e alguns mob iles – não
funciona com NT� Pode ser usada com GPS� Alguns problemas com hardware
� Ver compatibilidade www.stumber.com/compat/� Muito barulhenta – funciona enviando beacon request
� Não detecta AP que não respondem a beacon (broadcas t desabilitado)
� Mesmo assim AP pode ser detectado – é só usar outra ferramenta - Wellnreiter
Pós-Graduação - lato Sensu
Scanning – War Driving� Ferramenta Netstumber
� Busca de access points� Scanning ativo – envio de probes (netstumbler)
Pós-Graduação - lato Sensu
Scanning – War Driving
� Ferramenta Wellenreiter� Desenvolvido por Max Moser, Michael Lauer, Steffen
Kewitz e Martin J. Muench� Excelente sniffer wireless – captura dados no format o
tcpdump� Diferente do netstumber pode funcionar em passivo –
escuta equipamentos que não fazem broadcast de SSID� Funciona em ambiente Linux� www.wellenreiter.net e sourceforge.net/projects/
� Analisa protocolo DHCP – consegue identificar o range de IP alocado a rede alvo
Pós-Graduação - lato Sensu
Scanning – War Driving� Ferramentas adicionais
� Sniffer tradicional pode ser utilizado� Tcpdump, wireshark etc
� Sniffer para uso específico em redes wireless –melhor análise no frame de dados� Kismet – para linux www.kismetwireless.net ,
descobre AP passivamente� Airsnort – airsnort.sourceforge.net – utilizado
para crack de WEP
Pós-Graduação - lato Sensu
Ataque a cliente wireless
� Hotspotter – Ataque a clientes XP� Desenvolvida por Max Moser� Disponível em www.remote-exploit.com� Funciona em Linux e monitora passivamente frames
request probe de clientes XP� Durante o boot, em power safe e em caso de perda de
sinal XP envia frames listando suas redes preferida s � Quando hotspotter vê isso, manda resposta dizendo q ue
é o AP� Em ambientes públicos........� Cliente se associa, hotspotter fica no controle
� Envia IP, faz scan, infecta a vítima com worm, MITM
Pós-Graduação - lato Sensu
War Driving – Defesas
• Use SSID aleatório/discretos – evite SSID ““““banco_tal ””””• Use filtro de MAC
� Não escala bem e pode ocorrer spoof• Utilize protocolos de autenticação e criptografia fo rtes
� 801.11i é mais seguro� Use TKIP para troca de chaves� AES para criptografia� WPA
• Utilize VPN
Pós-Graduação - lato Sensu
Scanning – War Dialers
� War Dialing – discam uma sequência de números telefônicos na tentativa de localizar modems
� Demon Dialers – discam para um número para conduzir ataques de força bruta em senhas
� Muitos modems estão desprotegidos, o que facilita a entrada de atacantes
� THC-Scan 2.0 – escrito por Van Hauser� Disponível em http://www.thc.org/release.php� Ferramenta é uma versão atualizada do ““““ToneLoc
Pós-Graduação - lato Sensu
Scanning� War Dialing
� THC-Scan 2.0� Ferramentas automatizam a busca – atacante pode
escanear até 1000 tel em uma noite� Acesso interno a rede� Como buscar telefones: google, site da instituição,
Whois, engenharia social, Páginas Amarelas etc
� Verificar banners
� Quebrar senhas, se existirem
� Escanear a rede
� Escuta passiva
Pós-Graduação - lato Sensu
Defesas - War Dialing
� Rígida política de uso de Modems na Instituição� Ter inventário de todos os modems com respectivas
necessidades� Se modems são necessários deve-se fortalecer seus
métodos de autenticação (token, cripto etc)� Conduzir exercícios de war dialing na sua rede
� Lista de telefones da Instituição – verificar pela c onta telefônica
� Ferramenta comercial de war dialing� Sandstorm ´́́́s Phonesweep – www.phonesweep.com
Pós-Graduação - lato Sensu
Scanning
� Mapeamento de Rede� Atacantes podem fazer mapeamento
� Pela Internet� Pela Rede sem fio identificada em War Driving� Pela rede local via modem ou com acesso físico� Nessa fase o atacante tenta conhecer a topologia da
rede� Arquitetura da rede – Firewall, DMZ, IPs, regras� Serviços disponíveis – Http, Ftp, Smtp etc� Sistemas Operacionais em uso
Pós-Graduação - lato Sensu
Scanning
� Mapeamento de Rede� Atacantes querem entender a topologia da rede alvo
� Conectividade com a Internet – DMZ, perímetro, serviços disponíveis
� Redes internas – acessiveis por modems ou wireless
� Disposição dos roteadores e hosts pode expor vulnerabilidades
� Cheops-ng – ferramenta para linux utilizada para mapeamento de rede, escrita por Brent Priddy� cheops-ng.sourgeforge.net
Pós-Graduação - lato Sensu
Scanning
� Cheops-ng – BT-Final� Ferramenta de gerencia – GUI
� Barulhenta...não é utilizada por atacante tentando mapeamento stealthy
� Facilmente detectável por IDS� Front-end para:
� Trace� Ping� O.S fingerprint
Pós-Graduação - lato Sensu
Scanning
� Mapeamento de Rede� ICMP echo request
� Pacotes TCP porta 80
� Pacotes TCP ACK
� Pacotes UDP portas estranhas
� Traceroute
� Regras Fw....
� etc
Pós-Graduação - lato Sensu
Scanning� Mapeamento de Rede
� Ferramenta Cheops-ng automatiza (linux)� Faz fingerprint de S.O
� http://cheops-ng.sourceforge.net� http://news.netcraft.com/
Pós-Graduação - lato Sensu
Cheops -ng Defesas
� Desabilitar ICMP incoming� Seus usuários não conseguirão pingar� Isso é ruim???
� Desabilitar mensagens outgoing ICMP TTL Exceded
� Seus usuários não conseguirão fazer trace� Isso é ruim??
� IDS tem assinaturas que procuram ping sweep e traceroute
� Podem acontecer falso positivos
Pós-Graduação - lato Sensu
Ping Sweeping
� Muitos port scanners testam se um sistema está em uso antes de fazer scanner
� Fazem isso por meio de ping sweeping� Enviam echo request para diversos IPs – se sistema
responde está vivo. Caso contrário está desligado� Alguns port scanners, por default, somente fazem sc an
em sistemas em que possam pingar
� Pode ser reconfigurado � -P0 informa ao nmap para não pingar o alvo
Pós-Graduação - lato Sensu
Scanning – Port Scanning
• TCP e UDP possuem portas� 65536 portas cada
• Port Scanner envia pacotes para várias portas para determinar quais estão em escuta� Encontra tcp 80 – web server� Encontra tcp 23 – telnet server� Encontra udp 53 – DNS server
• Números de portas podem ser encontrados em:� http://www.iana.org/assignments/port-numbers
Pós-Graduação - lato Sensu
Port Scanning com NMAP
• Ferramenta muito utilizada com avançadas capacidades de scanning
• Muito popular na comunidade de segurança• Desenvolvida por Fyodor• http://www.insecure.org/nmap• Nmapfe – versão GUI• Disponível para linux e Windows
Pós-Graduação - lato Sensu
Scanning� Como determinar portas abertas
� Atacante pode identificar serviços rodando� Serviços são normalmente associados a portas
� www.iana.org/assignments/port-numbers� Ferramenta – nmap www.insecure.org/Nmap
Pós-Graduação - lato Sensu
Scanning� Como determinar portas abertas
� Tipos de scan� TCP Connect – 3 way Completo (não é stealth)� TCP Syn – envia Syn e aguarda Syn+Ack (mais
silencioso)� TCP Fin – envia Fin – RST indica porta fechada, sem
resposta, a porta pode estar aberta� TCP Xmas – todas a flags setadas - RST indica
porta fechada, sem resposta, a porta pode estar aberta
� Ack scan� Idle Scanning – faz scan com spoof de origem� UDP scanning� S.O fingerprint
Pós-Graduação - lato Sensu
Scanning
� Como determinar portas abertas� Tipos de scan
� TCP Connect – 3 way Completo (não é stealth)� Aderente a RFC� Fácil de detectar – cria log no sistema final
Pós-Graduação - lato Sensu
Scanning
� Como determinar portas abertas� Tipos de scan
� TCP Syn – envia Syn e aguarda Syn+Ack (mais silencioso, pois não completa 3 Way
� Envia Syn, recebe Syn+Ack e envia RST� Stealth e mais rápido – não cria entrada no log� Roteadores, firewalls e IDS detectam
Pós-Graduação - lato Sensu
Scanning� Como determinar portas abertas
� Tipos de scan
� TCP Ack Scan
� Indica se hosts estão vivos e filtros aplicados
Pós-Graduação - lato Sensu
Scanning� Como determinar portas abertas
� Idle Scan
� Determina portas abertas (spoof IP do atacante)
� Monitora ID do inocente –campo do header IP (frag)
� Inocente deve ser silencioso (idle) e ter ID incremental ou previsível (muitos Win)
� Scan – atacante envia Syn com IP origem de inocente –se porta aberta, inocente recebe Syn+Ack e envia RST (incrementa ID). Se porta fechada inocente recebe RST e não responde (não incrementa ID)
Pós-Graduação - lato Sensu
Scanning
� Scanner de Vulnerabilidades� O que o atacante sabe até agora?
� Lista de hosts ativos� Topologia � Lista de portas ativas� Sistemas Operacionais� Regras de filtragem
Pós-Graduação - lato Sensu
Scanning� Scanner de Vulnerabilidades
� Idéia – automatizar o processo de conexão ao alvo e verificar se existem vulnerabilidades
� Ferramentas tem inventário de vulnerabilidades de s istemas� Erros comuns de configuração� Configurações default� Vulnerabilidades bem conhecidas
� Ex. scanner verifica se sistema está rodando versão vulnerável de SSH
� Lista de serviços e versões rodando nos hosts� Exemplos
� ISS's Internet Scanner ( www.iss.net )� E-eye's Retina Scanner ( www.eeye.com )� Nessus ( http://www.nessus.org )
Pós-Graduação - lato Sensu
Scanning
� Scanner de Vulnerabilidades� Nessus
� Verifica
� Backdoors
� CGIs
� Cisco
� Contas Unix default
� Windows
� DoS
� Problemas SMTP
� SNMP
� etc.....
Pós-Graduação - lato Sensu
Obtenção de Acesso pela Rede
� Sniffers� O que é? � Protocolos Vulneráveis� MAC flooding� ARP Poisoning� Captura de Sessão� Contra-medidas
� Spoofing e defesas� Ataques a Servidores DNS� Ataques HTTP
Pós-Graduação - lato Sensu
Sniffer
Sniffing
Pós-Graduação - lato Sensu
Sniffers• São capazes de capturar informações
– Ethernet permite uso de sniffers – captura de senhas e informações
– Ethernet – utiliza broadcast no segmento• Switch limita essa característica
Pós-Graduação - lato Sensu
Sniffers• Capturam pacotes da rede
– Captura em tempo real ou salvando no disco para posterior análise– Essenciais para fins de teste e depuração– Interceptação passiva: difícil de detectar
• Analisadores de Protocolo– Decodificam os dados binários para um formato mais legível para o ser humano
• Impacto de segurança– Muitos protocolos transmitem dados sensíveis às claras, sem nenhum tipo de proteção especial
Pós-Graduação - lato Sensu
Sniffers• Dependência da Ligação Física
– Hubs: Todos os pacotes retransmitidos pelo hub em todas as portas - permite a captura dos dados no mesmo “segmento”– Switches: somente broadcasts e pacotes para o destino
• Modo promíscuo– placa de rede processa os pacotes, mesmo os que não sejam destinados para o seu endereço MAC– Maior quantidade de pacotes a analisar - impacta a performance– Os SOs tipicamente requerem privilégios de administrador para habilitar esse modo
Pós-Graduação - lato Sensu
Sniffers
• Tcpdump e windump – freeware• Snoop – solaris• Wireshark – free, open• Snort – free, open e comercial• Sniffit – free e open• dsniff - free e open (suite de ferramentas)
Pós-Graduação - lato Sensu
Sniffers
• Wireshark
�Linux ou Win
�Formato libpcap
�Entende mais de 500 protocolos
�GUI
�Cuidado com bugs
Pós-Graduação - lato Sensu
Sniffers• Dsniff
– Suite de ferramentas que facilitam o monitoramento– Escrita por Dug Song– Funciona em redes sem fio e cabeadas– Linux e alguns componentes foram portados para Win32
• Dsniff, mailsnarf, urlsnarf e webspy– Componentes
• Dsniff, arpspoof, macoff, tcpkill, tcpnice, mailsnarf, urlsnarf, webspy, DNSSpoof, Webmitm, SSHmitm
Pós-Graduação - lato Sensu
Sniffing: contra-medidas• Usar protocolos “fortes”:
– Criptografia: previne que os dados capturados sejam analisados (“previne interceptação”)– Verificação de integridade:
previne ataques de inserção– Geralmente não é uma opção disponível
• Controlar o acesso ao meio físico– Rigor na ativação de pontos de rede– Controle rigoroso de acesso físico ao cabeamento– Evitar usuários com poderes de admin nos PCs
• Segurança dos Roteadores– Hosts usados como roteadores devem ser difíceis de serem invadidos
• Detectores de sniffers– Eficácia questionável
Pós-Graduação - lato Sensu
Alguns protocolos vulneráveis• Correio: SMTP, POP3, IMAP• Compartilhamento de arquivos• – NetBIOS, NFS (e praticamente tudo de RPC)
• Transferência de arquivos: FTP• Shell remoto: – RLOGIN, TELNET, RSH• Controle remoto e sistemas de janelas:– VNC, X11• Multimídia– H.323 (NetMeeting)• Instant messaging e chat: AIM, IRC, Talk• Web: HTTP
Pós-Graduação - lato Sensu
Mais protocolos
• Resistentes– controle remoto: pcAnywhere, ICA (Cytrix WinFrame)– Web: SSL/TLS– Rede: IPSec (sob certas condições)– Shell remoto: SSH (não usar versão 1)– Permite tunelar conexões TCP quaisquer, podendo tornar X11 e vários outros protocolos mais resistentes
Pós-Graduação - lato Sensu
Sniffers especializados• Decodificam protocolos de rede comuns
– Extraem os dados das aplicações (correio, etc)– Isolam logins, senhas, credenciais
• ReplayTools– Remonta as sessões TCP
• DSniff– Remonta sessões e extrai login/senhas de mais de 30 protocolos comuns
• Mailsnarf– Captura e-mails e salva em arquivos texto
• Webspy– Captura URLs e move o browser até elas em tempo real
Pós-Graduação - lato Sensu
Protocolo ARP
• Address Resolution Protocol - RFC 826– Protocolo de Resolução de Endereços
• Mapeia Endereços IP ⇔ Endereços MAC– Só faz sentido no âmbito de IP sob Ethernet– Totalmente sem autenticação– Crédulo: aceita respostas a perguntas que ele
não fez
Pós-Graduação - lato Sensu
Protocolo ARP
• Cache ARP
– Mantém na memória do computador durante algum tempo (da ordem de minutos) as associações entre endereços IPs e MACs
– Registra qualquer coisa que lhe seja mandada, inclusive o que não perguntou.
Pós-Graduação - lato Sensu
ARP• CACHE DE RESOLUÇÃO DE ENDEREÇO
– Broadcast é muito caro para ser usado sempre que uma máquina queira transmitir um pacote para outra, pois isto requer que toda máquina processe o pacote de broadcast
– Para reduzir custos de comunicação, hosts que utilizam ARP - mantêm um cache das associações de endereços Internet-ETHERNET obtidos recentemente
– Esse armazenamento evita que um ARP seja utilizado repetidamente
– Portanto, quando um host recebe um reply de ARP, ele salva o resultado no seu cache
– Ao transmitir um pacote de ARP, o host olha o seu cache. Caso o endereço desejado se encontre no cache, o pacote será enviado diretamente
Pós-Graduação - lato Sensu
MAC Flooding
• O switch monta dinamicamente uma tabela associando portas com endereço MAC
• Para cada frame que entra, uma linha da MAC Address/CAM table é acrescentada, ou se já presente tem seu timer reinicializado
Pós-Graduação - lato Sensu
CAM normal 1/3Content Addressable Memory
Pós-Graduação - lato Sensu
CAM normal 2/3Content Addressable Memory
Pós-Graduação - lato Sensu
CAM normal 3/3Content Addressable Memory
Pós-Graduação - lato Sensu
CAM overflow 1/2Content Addressable Memory
Pós-Graduação - lato Sensu
CAM overflow 2/2Content Addressable Memory
Pós-Graduação - lato Sensu
Contra-medidas
• Port secure / MAC based filtering• Limitar a quantidade de endereços que
uma porta pode aprender• Especificar os endereços que uma porta
pode aprender• Administrativamente pode ser um
pesadelo• Engessa a infraestrutura....
Pós-Graduação - lato Sensu
ARP Gratuito – cache poisoning
4
Config IP Forwarding enviar pacotes para GW
Enviar ARP reply. para redirecionar traf. Para atacante
Vitima envia tráfego destinado Internet
3
2
Sniff o tráfego
1
Pacotes são redirecionados do atacante para GW
5
Pós-Graduação - lato Sensu
ARP Spoofing
• Ferramentas
– Hunt
– Dsniff
– Ethercap
Pós-Graduação - lato Sensu
Como enganar DNS
4
Atacante ativa DNSSpoof
Atacante envia falsa resp. DNS
Vítima tenta resolver nome DNS
2
1
www.banco.com10.22.12.41www.banco .com
Atacante sniff DNS req.3
www.banco .com10.1.1.56
5 Vítima navega no site do atacante
Site do atacante10.1.1.56
Pós-Graduação - lato Sensu
Sniffing SSL
2
Atacante ativa DNSSpoof e webmitm
DNSSpoof envia DNS resp com End IP do atacante10.1.2.3
Vítima estabelece conexão SSL sem saber que atacante está fazendo proxy
3
1
Webmitm faz proxy da conexão. Estabelece Https com servidor e envia seu cert para vítima
4
10.1.2.3
5 Vítima navega no site desejado, mas tráfego é visto pelo atacante
www .banco. com10.22.12.41
Pós-Graduação - lato Sensu
Detectando Sniffing
� Localmente� Ifconfig – Linux� Ifstatus – Solaris� PromiscDetect – Windows NT 4.0 / 2000 / XP / 2003 /
Vista (http://www.ntsecurity.nu/toolbox/promiscdetect)
� Remoto� Sentinel
� EtherARP – envia arp request com MAC falso� EtherPing – envia ping
Pós-Graduação - lato Sensu
Defesa contra Sniffing
� Observar manipulação de ARP� Entradas Arp erradas são sinal de sniffing� Windows e Linux – Arp – a
� Pela Rede � ARPWatch - http://www -nrg.ee.lbl.gov/
� Monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP
� NIDS – com assinaturas específicas para tráfego ARP
Pós-Graduação - lato Sensu
Session Hijacking
� Roubo de sessão� Focado em sessões orientadas a aplicação
� telnet, ftp rlogin etc..� Ferramentas: Hunt e Ethercap
Pós-Graduação - lato Sensu
Procurando uma Sessão
Eva
Alice Bob
Rede
� Alice faz telnet em Bob
Pós-Graduação - lato Sensu
Capturando a Sessão
Ola, eu sou Alice
Eva
Alice Bob
Rede
� Atacante pode monitorar o tráfego e gerar pacotes c om o mesmo número de seqüência
� Atacante pode tirar Alice da jogada e fazer alteraç ões em Bob. Os logs mostram que Alice fez as alterações
� Sniffing + spoofing� Se autenticação é por token, mas sem criptografia o ataque
pode ser realizado
Pós-Graduação - lato Sensu
Ack Storms
Ola, eu sou Alice
Eva
Alice Bob
Rede
� Se atacante somente seqüestra a sessão, fazendo spoofing de pacotes, os números de seqüência nas pontas perdem o sincronismo
� Na tentativa de sincronia eles reenviam Syn e Acks de um lado para o outro – ack storm
Pós-Graduação - lato Sensu
Captura de Sessão e Arp Poisoning
IP=1.2.3.4MAC=BB.BB
Eva
Alice Bob
Rede
� Para evitar ack storm� Eva faz DoS em Alice� Ou, mais interessante, usa Arp cache Poisoning
IP=5.6.7.8MAC=AA.AA
Arp 5.6.7.8CC.CC...
Arp 1.2.3.4DD.DD..
IP=????MAC=CC.CC..
Pós-Graduação - lato Sensu
Captura de Sessão
� Ferramentas� Hunt� TTYWatcher � IP-Watcher – comercial� Ethercap – linux, FreeBSD e OpenBSD
Pós-Graduação - lato Sensu
Captura de Sessão
� Defesas� Tabela Arp fixa em redes sensíveis� Port security
� Cada porta física – só 1 MAC� Cada porta física – só MAC específico
� Criptografia na sessão e autenticação forte� Não use aplicações inseguras para configurar
equipamentos – telnet ou ssh??� Use ARPWatch na rede� Atenção a msg de erro (browser e ssh)
Pós-Graduação - lato Sensu
Spoofing de IP• Spoofing – tentar se passar por alguém• Finalidade
– Enganar roteadores– Enganar firewalls– Se aproveitar de relações de confiança– DoS
• 3 tipos principais– Sabor 1 - Trocar o IP– Sabor 2 - Spoofing de IP – guessing sequence
number (previsão de número de seqüência)– Sabor 3 - Spoofing de IP – Source routing
Pós-Graduação - lato Sensu
Sabor 1 - Trocar o IP
• Efetuar a troca de IP na interface de rede• Utilizar gerador de pacotes com IP • Simples, mas
– Não haverá respostas – o pacote será roteado para o IP verdadeiro
– Não fecha o three-way handshake
Pós-Graduação - lato Sensu
Sabor 1 - Trocar o IP
BobAlice
Eva
Three-way handshake não
acontece Syn (ISNa)
Ack (ISNa + 1) Syn (ISNb)
RESET !!!!!
Pós-Graduação - lato Sensu
Sabor 2 – Guessing sequence Number
Bob
Alice
� O atacante tenta adivinhar o número de seqüência
� Explora relações de confiança - Unix� Variante desse ataque foi usado por
Kevin Mitnick
Pós-Graduação - lato Sensu
Sabor 2 – Guessing sequence Number
� Numero de seqüência, em alguns casos é previsível
� Atacante tenta prever número de seqüência futuro
� Se acontecer Bob vai pensar que Eve é Alice� Mas Alice não vai dar RESET!!!� DoS em Alice
Pós-Graduação - lato Sensu
Sabor 2 - Guessing sequence Number
BobAlice
EvaDoSSyn (ISNa)
Ack (ISNa + 1) Syn (ISNb)
Eva envia Syn e rcb Syn-Ack (sem
spoofing)
0
1
3
4
Ack (ISNb + 1)
2
Pós-Graduação - lato Sensu
Sabor 2 - Guessing sequence Number
• Eva tem um canal aberto com Bob• Eva pode enviar comandos para Bob• Claro que Eva não recebe msg de Bob
– Msg são enviadas para Alice– Alice não pode responder ou Resetar
• Eva faz vôo cego mas pode, por um instante reconfigurar Bob– Pode reconfigurar /etc/hosts.equiv– Como detectar essa reconfiguração???
Pós-Graduação - lato Sensu
Sabor 3 - Spoofing IP – Source routing
• Utiliza a opção Source routing • Atacante precisa receber as respostas• Ataque mais simples que o sabor 2
– Independente de plataforma e não precisa de relações de confiança
• Pacote parece vir do endereço spoofado• Todos os pacotes seguem o caminho• Atacante pode interpretar as respostas• Ferramenta - netcat
Pós-Graduação - lato Sensu
Sabor 3 - Spoofing IP – Source routing
BobAlice
Eva
Rede entre Eva e Bobdeve suportar sourcerouting
Rede entre Alice e Eva eAlice e Bob não precisasuportar source routing
Rota
1 - Alice
2 – Roteador X
3 – Eva
4 - Roteador Y
5 - Bob
Conteúdo Pacote
Rota
1 - Bob
2 – Roteador Y
3 – Eva
4 - Roteador X
5 - Alice
Conteúdo Pacote
Pós-Graduação - lato Sensu
Sabor 3 - Spoofing IP – Source routing
• Atacante consegue completar o three-way handshake
• Atacante não precisa retransmitir o pacote para Alice
• Alice não participa do jogo – não há RESET
Pós-Graduação - lato Sensu
Defesa para Spoofing• Manter número de seqüência imprevisível
– Patch TCP/IP stack• Cuidado com relações de confiança
– Não estenda atrás de firewall – só com VPN– Cuidado com Windows e Unix
• Não use autenticação baseada em IP– Senhas e outras técnicas
• Utilize ssh no lugar dos r-command• Utilize filtros anti-spoof em firewalls e roteadores
Pós-Graduação - lato Sensu
Detalhes sobre DNS
� Informações adicionais � Cada consulta DNS tem ID própria� Resposta tem que ter mesmo ID� ID as vezes é previsível� Serv. DNS fazem cache das respostas
Pós-Graduação - lato Sensu
DNS cache Poisoning
� DNS � Componente crítico da Internet� Mapeia nomes para IP
� www.banco.com = 10.0.0.1� Mail Server banco.com
� mx.banco.com Internet address = 10.0.0.2� Qual é a importância??
� Quase tudo depende de DNS...
Pós-Graduação - lato Sensu
DNS cache Poisoning – ID query
Eva
dns.eva.com
Alice
dns.legal.com
www.banco.comdns.banco.com
1Atacante pergunta
any.eva.com??
any.eva.com ??
3
2
Armazena query ID
DNS mantido por Eva
Steps 1 a 3 podem ser repetidos diversas vezes
Pós-Graduação - lato Sensu
DNS cache Poisoning – ID query
Eva
dns.eva.com
Alice
dns.legal.com
www.banco.com
dns.banco.com
4
www.banco.com?
Resposta Spoofwww.banco.com=w.x.y.z (DNS ID e portas previsíveis)
6
5
www.banco.com ?
7Cachewww.banco.com=w.x.y.z
Pós-Graduação - lato Sensu
DNS cache Poisoning – ID query
Eva
dns.eva.com
Alice
dns.legal.com
www.banco.com
dns.banco.com
9
Vamos ao banco
8
Cachewww.banco.com=w.x.y.z
www.banco.com? w.x.y.z
10
Pós-Graduação - lato Sensu
DNS Poisoning - Defesas
� Bind ou Win DNS atualizado - ID query� Utilize um IDS� Configure DNS externos para resolver
consultas recursivas somente para usuários internos� Usuários externos não devem fazer
consultas recursivas – separar servidores� Previne steps de 1 a 3� Questão de configuração
Recommended