1 / 45

Tipos de Ataques

Tipos de Ataques. Luiz Kacuta Luiz Romero Viviane Oliveira. Objetivo Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns. Plano de Trabalho. Agenda Motivação Porque atacar? Quem são os atacantes? O que os ataques exploram?

shae
Download Presentation

Tipos de Ataques

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Tipos de Ataques Luiz Kacuta Luiz Romero Viviane Oliveira

  2. Objetivo Obter entendimento básico sobre o funcionamento dos tipos de ataques mais comuns. Plano de Trabalho • Agenda • Motivação • Porque atacar? • Quem são os atacantes? • O que os ataques exploram? • Qual o impacto para a organização? • Tipos de Ataques: • IP Spoofing • Buffer overflow • Seqüestro de Sessão • Denial of Service • Intrusion Detection System

  3. Motivação • 90% das empresas detectaram falhas de segurança no sistema, entre abril 2002 e abril 2003; • 80% das empresas admitiram ter sofrido perdas financeiras; • 44% (223 dos entrevistados) relataram perdas financeiras no montante de $455.848.000; • perdas financeiras mais significativas ocorreram com o roubo de informações privadas (26 empresas acusaram perdas de $170.827.000) e fraudes financeiras (25 empresas acusaram perdas de $115.753.000); • pelo quinto ano consecutivo, a maioria das empresas (74%) citou a conexão Internet como o ponto mais freqüente do ataque. • somente 61% das empresas utilizam Intrusion Detection Systems. • Fonte: Computer Security Institute

  4. Porque atacar? • Curisiodade • Diversão • Obtenção de ganhos financeiros • Espionagem industrial • Vingança (ex-funcionários, funcionários descontentes) • Desafio

  5. Quem são os atacantes? • Hackers • Crackers • White hat (hacker ético) • Funcionários insatisfeitos • Ex-funcionários, ex-prestadores de serviço • “Segurança é um problema social, não somente tecnológico”

  6. O que os ataques exploram? • Bugs no desenvolvimento • Senhas fracas • Mau uso de ferramentas/serviços legítimos • Configuração inadequada de recursos • IDS mau implementado • “Ferramentas existentes vão proteger somente contra os ataques conhecidos”

  7. Qual o impacto para a organização? • Vazamento de informações confidenciais • Modificação indevida de dados • Indisponibilidade de serviço • Fraude, perdas financeiras • Reputação prejudicada • Perda de negócios, clientes e oportunidades • “Algumas perdas são irreversíveis”

  8. Tipos de AtaquesIP SpoofingBuffer OverflowSeqüestro de SessãoDenial of Service

  9. IP Spoofing - Definição O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. A manipulação do endereço é feito diretamente nos campos do cabeçalho do pacote.

  10. IP Spoofing - Como é feito? • Exemplo 01:

  11. IP Spoofing - Como é feito? • Exemplo 02:

  12. IP Spoofing - Formas de exploração • Alteração básica de endereço nas configurações da rede • Utilização do roteamento de origem • Exploração da relação de confiança

  13. IP Spoofing - Medidas Preventivas e Corretivas • Limitar o acesso as configurações da máquina; • Utilizar filtros ingress e egress; • Desabilitar o roteamento de origem; e • Não utilizar relação de confiança nos domínios Unix.

  14. Buffer Overflow - Definição O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memória, o que causa que outra informação que está na pilha seja sobrescrita. Condições de buffer overflow podem geralmente resultar: - execução de códigos arbitrários nos sistemas; - modificação de dados e/ou perda de informações; - perda da controle do fluxo de execução do sistema.

  15. Etapa 03: o código do ataque é injetado na posição da memória que já foi sobrescrita no Passo 02. Etapa 04: a função pula para o código do ataque injetado, baseado no endereço do retorno que também foi inserido. Com isso, o código injetado pode ser executado. Etapa 01: envio de uma string grande em uma rotina que não checa os limites do buffer. Etapa 02: o endereço de retorno, é sobrescrito por um outro endereço, que está incluído na string e aponta para o código do ataque. Buffer Overflow - Como é feito? Exemplificação:

  16. Buffer Overflow - Medidas Preventivas e Corretivas • Revisão nos códigos fonte; • Aplicação de patches; • Alocação aleatória dos buffers de memórias, produto SECURED, da MEMCO; • Execução de sistemas com o menor privilégio; • Utilização de IPS - Intrusion Prevention System.

  17. Buffer Overflow - Ataques Conhecidos • Ping of Death; • Ataques aos sites de leilões eBay (instalação de um executável para captura de senhas);

  18. Seqüestro de Sessão - Definição • Sequestro de sessão é o processo de tomar posse de uma sessão ativa existente. • Também classificado como um ataque “man in the middle”.

  19. Seqüestro de Sessão - Como é feito? • Atividades necessárias para seqüestro da conexão: • - Encontrar o alvo • - Encontrar uma sessão ativa • - Executar a predição da sequência que são trocadas entre as máquinas • - Tornar o computador offline • - Assumir a sessão • Tipos de seqüestro: • - Ativo • - Passivo • - Híbrido

  20. IP Spoofing x Seqüestro de Sessão IP Spoofing Seqüestro de Sessão

  21. Seqüestro de Sessão - Medidas Preventivas e Corretivas • Utilização de criptografia • Utilização de um protocolo seguro • Limitar o número de conexões entrantes • Minimizar acesso remoto • Adotar autenticação forte (menos efetivo)

  22. Denial of Service - Definição Os ataques de negação de serviço (Denial of Service) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los, por estarem indisponíveis, ou por terem tido sua performance extremamente reduzida.

  23. Denial of Service - Como é feito? Existem diversos formas de efetuar o Denial of Service, será escopo desse trabalho: - SYN Flooding - Fragmentação IP

  24. SYN seq = x Cliente Servidor SYN seq = y; ACK x+1 ACK y+1 Denial of Service - SYN flooding Explora o mecanismo de estabelecimento de conexão do TCP. Ações preventivas: - comparação das taxas de requisição e conexões em aberto - monitorar número de seqüência (faixa específica) - estabelecer time out da conexão - aumentar a fila de conexões

  25. Denial of Service - Fragmentação IP MTU: quantidade máxima de dados que podem passar em um pacote por meio físico. Overflow da pilha TCP no momento do reagrupamento dos pacotes.

  26. Distributed Denial of Service - DDOS Diversos hosts sendo atacados simultaneamente Ataque de difícil contenção

  27. Denial of Service - Medidas Preventivas e Corretivas • Design robusto e efetivo da rede • Limitar a largura de banda • Manter os sistemas atualizados • Executar a menor quantidade de serviços ativo • Permitir somente o tráfego necessário • Bloquear o endereço IP

  28. Intrusion Detection System - IDS

  29. Objetivos Descrever o funcionamento de IDS para os ataques descritos. Estratégias de Defesa Agenda Trinômio da Segurança IDS - Síndrome da “Bala de Prata” Conceitos Estratégias de Prevenção IDS x IPS Topologia de uma solução Política para DOS - Denial of Service Eventos de Intrusão Eventos Avaliados Outros Ataques Lógica de Funcionamento Conclusão

  30. Trinômio da Segurança • Prevenção • Criptografia, • Firewall, • Vulnerabilidade • Monitoração • IDS • Syslog Server • Reação

  31. IDS - Síndrome da “Bala de Prata” • Intrusion Detection System • A solução de todos os problemas de segurança

  32. Conceitos • Problemas de Gerenciamento IDS: • Altissima interação e constante monitoração. • Complexidade a detecção,monitoramento e respostas a incidentes. • Falso Positivos (avalanche de informações imprecisas) • Integração com todo ambiente

  33. Conceitos • Problemas de Gerenciamento IDS:

  34. Estratégias de Prevenção • Melhores práticas para gerenciar o IDS • Riscos, Ameaças e Vulnerabilidade; • Politica de Segurança; • Estratégia de Implementação do IDS; • Auditória e Teste.

  35. IDS x IPS • Solução integrada capaz de gerenciar dinamicamente os ataques e automaticamente gerar uma ação.

  36. Topologia de uma solução

  37. Política para DOS - Denial of Service

  38. Eventos de Intrusão

  39. Eventos Avaliados

  40. Outros Ataques

  41. Eventos Avaliados

  42. Eventos Avaliados

  43. Lógica de Funcionamento

  44. Conclusão Cada vez mais torna-se evidente que nem tecnologia, nem políticas isoladas podem realmente oferecer proteção para sua organização…as organizações que querem sobreviver necessitam desenvolver uma abordagem abrangente em relação a segurança da informação, a qual deve combinar pessoas, tecnologia e processo.

  45. Obrigado! Luiz Kacuta Luiz Romero Viviane Oliveira

More Related