Segurança e Vulnerabilidades de Redes

(1)

Segurança e

Vulnerabilidades de Redes

Tópicos Especiais em Redes de Computadores

Prof. Edmar Roberto Santana de Rezende

Faculdade de Engenharia de Computação Faculdade de Engenharia de ComputaçãoFaculdade de Engenharia de Computação Faculdade de Engenharia de Computação Centro de Ciências Exatas, Ambientais e de Centro de Ciências Exatas, Ambientais e de Centro de Ciências Exatas, Ambientais e de Centro de Ciências Exatas, Ambientais e de

Tecnologias Tecnologias Tecnologias Tecnologias

Pontifícia Universidade Católica de Campinas Pontifícia Universidade Católica de Campinas Pontifícia Universidade Católica de Campinas Pontifícia Universidade Católica de Campinas

(2)

Cenário atual

(3)

! _Arpanet

– Instituições Militares

– Órgãos do Governo

– Universidades

" Segurança baseada na

“confiança mútua”

! Família de protocolos TCP/IP

– Concebida no final da década de 60

– Funcionalidade era a principal preocupação

! Falhas de segurança conceituais do TCP/IP

– Security Problems in the TCP/IP Protocol Suite (Bellovin, 1989)

Histórico da Internet

Cenário Atual

(4)

Histórico da Internet

Fonte: Network Wizards - http://www.nw.com

! Visão futurista

– Popularização dos serviços: Web, e-mail, etc.

" Quem imaginaria a Internet com as dimensões atuais?

Cenário Atual

(5)

Incidentes de Segurança

! _{Ataques cl}Ataques cláááássicos:_{Ataques cl}_{Ataques cl} ssicos:ssicos:ssicos:

# Internet WormInternet WormInternet WormInternet Worm

– Data: 2 de novembro de 1988

– Autor: Robert Morris Jr.

" Parou cerca de 50% da Internet 50% da Internet 50% da Internet 50% da Internet na época

# Kevin MitnickKevin MitnickKevin MitnickKevin Mitnick

– 25 de Dezembro de 1994 ! invadiu o sistema pessoal de Tsutomo Shimomura

– Preso em fevereiro de 1995 ! libertado em janeiro de 2000.

– 25 acusações federais: fraude no sistema telefônico,

roubo de software proprietário (ex: Sun, Motorola, Novell e Nokia), etc.

Cenário Atual

(6)

! Fevereiro de 2000Fevereiro de 2000Fevereiro de 2000Fevereiro de 2000

– Ataques coordenados a grandes sites:

" Yahoo! , E-Trade, Datek , ZDNet, Amazon.com, Buy.com,

CNN.com e eBay.com.

" No Brasil: o UOL e o Cadê?

! Fevereiro e Setembro de 2000Fevereiro e Setembro de 2000Fevereiro e Setembro de 2000Fevereiro e Setembro de 2000

– cartões de crédito roubados por hackers:

" RealNames ! 20 mil

" Western Union ! 15 mil

! _GG_Grupos_G_rupos_ruposrupos brasileiros brasileiros ((((Prime brasileiros brasileiros Prime Prime Prime SuspectzSuspectzSuspectzSuspectz eeee Insanity ZineInsanity ZineInsanity ZineInsanity Zine):):):):

– Assinaram invasões aos sites:

" Banco Central, Congresso Nacional, Dell, UOL, Microsoft

Brasil e às páginas brasileiras das empresas McAfee e Network Association.

Incidentes de Segurança

Cenário Atual

(7)

Incidentes de Segurança

! I love you I love you (maio de 2000)I love you I love you

– Prejuízos: ~ US$11 bilhõesUS$11 bilhõesUS$11 bilhõesUS$11 bilhões

! _SirCamSirCam (julho de 2001)_SirCam_SirCam

– Computadores infectados: ~ 50 mil50 mil50 mil50 mil

– Prejuízos: ~ US$1,15 bilhõesUS$1,15 bilhõesUS$1,15 bilhõesUS$1,15 bilhões

! _NimdaNimda (setembro de 2001) _Nimda_Nimda

– Prejuízos: ~ US$635 milhõesUS$635 milhõesUS$635 milhõesUS$635 milhões

! _{Code Red}Code Red (metade de 2001)_{Code Red}_{Code Red}

– Prejuízos: ~ US$2,62 bilhõesUS$2,62 bilhõesUS$2,62 bilhõesUS$2,62 bilhões

Total em 2001 = Total em 2001 = Total em 2001 =

Total em 2001 = ~ US$13,2 bilhões~ US$13,2 bilhões~ US$13,2 bilhões~ US$13,2 bilhões

Cenário Atual

(8)

Incidentes de Segurança

Ano 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999

Incidentes 252 406 773 1.334 2.340 2.412 2.573 2.134 3.734 9.859

Ano 1988 1989

Incidentes 6 132

Ano 2000 2001 2002 2003

Incidentes 21.756 52.658 82.094 114.855 1988 – 1989 (Total: 138)

1990 – 1999 (Total: 25.817)

2000 – Set/2003 (Total: 271.636)

Total (1988 – Set/2003): _297.318

Fonte: CERT/CC (Computer Emergency Response Team / Coordination Center) http://www.cert.org

Cenário Atual

(9)

Incidentes de Segurança

Fonte: CERT/CC (Computer Emergency Response Team / Coordination Center) http://www.cert.org

Cenário Atual

(10)

Incidentes de Segurança

Fonte: NBSO (NIC BR Security Office) http://www.nbso.nic.br

Cenário Atual

(11)

! Questão cultural:Questão cultural:Questão cultural:Questão cultural:

– Não existe uma “cultura de segurança”

– Usuário (elo mais fraco da corrente)

" Anti-vírus desatualizados

" Senhas fracas

Incidentes de Segurança

Cenário Atual

(12)

$

_Técnicas:

– Dumpster diving ou Trashing

– Engenharia Social

– Eavesdropping ou Packet Sniffing

– _Scanning – War dialing

– Firewalking

Ameaças e Vulnerabilidades

Ataques para obtenção de informações

(13)

$

Dumpster diving ou Trashing

– Revirar o lixo a procura de informações.

– Pode revelar informações pessoais e confidenciais.

$

Engenharia Social

– Tem como objetivo enganar e ludibriar pessoas.

– Ataca o elo mais fraco da segurança ! “o usuário”.

– Normalmente o atacante se faz passar por um funcionário da empresa.

Ataques para obtenção de informações

(14)

$

Eavesdropping ou Packet Sniffing

– A interface de rede é colocada em “modo promíscuo”.

– Captura pacotes no mesmo segmento de rede.

– Senhas trafegam em claro (Telnet, FTP, POP, etc)

Ataques para obtenção de informações

14:54:00.356981 10.1.1.45.ftp > 10.1.1.90.1458: P 69:111(42) ack 21 win 5840 (DF) 0x0000 4500 0052 9957 4000 4006 8ac6 0a01 012d E..R.W@[email protected]

0x0010 0a01 015a 0015 05b2 2457 8112 1da0 6849 ...Z....$W....hI 0x0020 5018 16d0 8e1c 0000 3333 3120 5061 7373 P...331.Pass 0x0030 776f 7264 2072 6571 7569 7265 6420 666f word.required.fo 0x0040 7220 6164 6d69 6e69 7374 7261 646f 722e r.administrador. 0x0050 0d0a

14:54:12.986981 10.1.1.90.1458 > 10.1.1.45.ftp: P 21:36(15) ack 111 win 17410 (DF) 0x0000 4500 0037 a96e 4000 8006 3aca 0a01 015a E..7.n@...:....Z

0x0010 0a01 012d 05b2 0015 1da0 6849 2457 813c ...-...hI$W.< 0x0020 5018 4402 06c2 0000 5041 5353 2070 736b P.D...PASS.psk 0x0030 4036 3779 640d 0a @67yd..

(15)

$

_Scanning

– Port Scanning

$ Obtém informações a respeito dos serviços acessíveis (portas abertas) em um sistema.

– Scanning de vulnerabilidades

$ Obtém informações sobre vulnerabilidades específicas (conhecidas) para cada serviço em um sistema.

$

War dialing

– Realiza uma busca por modens.

– _Modem _! entrada alternativa para a rede

Ataques para obtenção de informações

(16)

$

Firewalking

– Obtém informações sobre uma rede remota protegida por um firewall.

– Funcionamento similar ao traceroute.

Ataques para obtenção de informações

1 143.106.16.148 (143.106.16.148) 1.970 ms

2 saserver.grad.dcc.unicamp.br (143.106.16.150) 0.582 ms 3 143.106.7.1 (143.106.7.1) 3.139 ms

4 capivari.dcc.unicamp.br (143.106.7.15) 1.288 ms 5 ansp-gw.unicamp.br (143.106.2.45) 1.730 ms

6 unicamp-fe02-core.cas.ansp.br (143.106.99.25) 3.485 ms 7 advansp-border.core.unicamp.br (143.106.99.73) 3.104 ms 8 spo-cps.ansp.br (143.108.254.129) 5.765 ms

9 rnp.ix.spo.ansp.br (200.136.34.2) 6.527 ms

10 mg-atm108.bb3.rnp.br (200.143.254.153) 21.774 ms 11 tutu.pop-mg.rnp.br (200.131.1.2) 17.328 ms

12 ufv4.pop-mg.rnp.br (200.19.158.18) 56.750 ms 13 * * *

14 atenas.cpd.ufv.br (200.17.79.41) 45.060 ms

(17)

$

_Técnicas:

– _Spoofing

$ ARP Spoofing

$ IP Spoofing

$ DNS Spoofing

– Man-in-the-middle

$ Session Hijacking

– Replay attack

– Fragmentação de pacotes

Ataques ativos contra o TCP/IP

(18)

$ _Spoofing

– Enganar a vítima fazendo-se passar por outro host.

$ _Tipos:

– ARP Spoofing

$ Gerar respostas ARP falsas

$ ARP (Address Resolution Protocol)

Mapeia: Endereços IP ! Endereços MAC

– IP Spoofing

$ Gerar pacotes com endereço IP falso

– DNS Spoofing

$ Gerar respostas de DNS falsas

$ DNS (Domain Name Service) Mapeia: Nomes ! Endereços IP

Ataques ativos contra o TCP/IP

(19)

$

ARP Spoofing

1º Passo:

Ataques ativos contra o TCP/IP

10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 10.1.1.1

Atacante 10.1.1.7

00:50:56:C0:00:08

00:E0:4C:39:01:F3 00:C0:3B:47:02:D4

Roteador

arp reply 10.1.1.1 is-at 00:E0:4C:39:01:F3

(20)

$

ARP Spoofing

2º Passo:

Ataques ativos contra o TCP/IP

10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 10.1.1.1

Atacante 10.1.1.7

00:50:56:C0:00:08

00:E0:4C:39:01:F3 00:C0:3B:47:02:D4

Roteador

arp reply 10.1.1.5 is-at 00:E0:4C:39:01:F3

(21)

$

ARP Spoofing

Resultado:

Ataques ativos contra o TCP/IP

10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 10.1.1.1

Atacante 10.1.1.7

00:50:56:C0:00:08

00:E0:4C:39:01:F3 00:C0:3B:47:02:D4

Roteador

IP forwarding ligado

(22)

143.106.7.8

Internet

Atacante 200.131.10.20

Vítima

Host confiável 64.221.8.50

rsh vítima comando src: 64.221.8.50 dst: 143.106.7.8

Impede que o host verdadeiro responda

$

IP Spoofing

– UDP e ICMP: trivial

– TCP: maior grau de dificuldade

1) É necessário impedir que o host confiável responda.

Ataques ativos contra o TCP/IP

(23)

$

IP Spoofing

2) É necessário prever o número de sequência inicial.

Ataques ativos contra o TCP/IP

atacante servidor cliente

(24)

$

DNS Spoofing

– Contaminar o cache do servidor com resposta falsa.

– Dificuldade: Adivinhar o transaction ID.

Ataques ativos contra o TCP/IP

Atacante

(25)

$

Man-in-the-middle

– O atacante intercepta os dados e responde pelo cliente, podendo alterar os dados.

Session hijacking

– O atacante derruba o cliente e mantém a

conexão em andamento.

Ataques ativos contra o TCP/IP

Cliente

Servidor

Atacante

IP Dados Dados alterados IP Dados

Cliente

Servidor

Atacante

IP Dados

Impede que o host responda Conexão em

andamento

X

Mantém a conexão em

andamento

(26)

$

Replay attack

– Dados interceptados podem ser retransmitidos pelo atacante.

– É possível utilizar dados cifrados.

Ataques ativos contra o TCP/IP

Cliente

Servidor

Atacante

IP Dados

Interceptação dos dados

Cliente

Servidor

Atacante

IP Dados Reenvio dos

dados

(27)

$

Fragmentação de pacotes

– Se tamanho do pacote > MTU do meio, então ocorre fragmentação.

– É possível sobrescrever cabeçalhos durante a remontagem dos pacotes ! driblar as regras de filtragem do firewall.

Ataques ativos contra o TCP/IP

IP UDP Início dos dados IP Restante dos dados

IP UDP Dados

Fragmentação

Remontagem

IP UDP Início dos dados IP

IP UDP Dados

IP TCP Dados alterados

Fragmentação

Remontagem

TCP Dados alterados

(28)

$

_Técnicas:

– _Flooding

$ TCP SYN flooding

$ UDP flooding

$ ICMP flooding

– Smurf e Fraggle

– Teardrop

– Land Attack

– Ping of Death

Ataques de negação de serviço (DoS)

(29)

$ _Flooding

– Inundar o servidor com requisições falsas.

$ _Tipos:

– TCP SYN flooding

– UDP flooding

– ICMP flooding

Ataques de negação de serviço (DoS)

Internet

Atacante 200.131.10.20

Vítima 64.221.8.50 SYN SEQ=0

src=1.2.3.4:5 dst=64.221.8.50:80 SYN SEQ=0

src=1.2.3.4:6 dst=64.221.8.50:80 SYN SEQ=0

src=1.2.3.4:7 dst=64.221.8.50:80

1. src=1.2.3.4:5 SEQ=1 2. src=1.2.3.4:6 SEQ=1 3. src=1.2.3.4:7 SEQ=1 ...

...

SYN SEQ=5324761 ACK=1 src=64.221.8.50:80

dst=1.2.3.4:5

(30)

$

Smurf e Fraggle

– Consistem em ataques de flood distribuído.

– Utilizam broadcasting em redes inteiras para amplificar seus efeitos.

– Utilizam o endereço IP da vítima como endereço de origem dos pacotes (IP Spoofing).

– Protocolo utilizado: Smurf ! ICMP (ping) Fraggle ! UDP (echo)

Ataques de negação de serviço (DoS)

(31)

$

Smurf e Fraggle

Etapa 1:

Ataques de negação de serviço (DoS)

143.106.7.8

Internet

143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254 143.106.10.1

Atacante 200.131.10.20

Roteador

...

Vítima 200.221.8.50

143.106.10.0/24 icmp echo request

src: 200.221.8.50 dst: 143.106.10.255

(32)

$

Smurf e Fraggle

Etapa 2:

Ataques de negação de serviço (DoS)

143.106.7.8

Internet

143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254 143.106.10.1

Atacante 200.131.10.20

Roteador

...

Vítima 200.221.8.50

143.106.10.0/24

(33)

$

Smurf e Fraggle

Resultado:

Ataques de negação de serviço (DoS)

143.106.7.8

Internet

143.106.10.2 143.106.10.3 143.106.10.4 143.106.10.254 143.106.10.1

Atacante 200.131.10.20

Roteador

...

Vítima 200.221.8.50

143.106.10.0/24

(34)

$

_Teardrop

– Se aproveita de uma falha na implementação das rotinas de remontagem de pacotes.

– Consiste em enviar um pacote com um tamanho inválido ! o sistema obtém um nº negativo ao calcular o offset.

– Resulta em crash do sistema.

$

Land Attack

– Consiste em conectar uma porta de um sistema a ela mesma.

– Causa o travamento do sistema em diversas plataformas.

Ataques de negação de serviço (DoS)

(35)

$

Ping of Death

– Consiste em enviar um pacote de “ICMP echo request” (ping) com mais de 65.507 bytes de dados.

– Tamanho máximo de um datagrama IP = 65.535 (2¹⁶-1) bytes (RFC 791)

– Datagrama – cabeçalho IP – cabeçalho ICMP = 65.535 – 20 – 8 = 65.507 bytes de dados.

– Implementações do ping não permitem a emissão de datagramas inválidos, exceto Windows 95 e NT.

– Resulta em reboot, panic ou travamentos.

Ataques de negação de serviço (DoS)

(36)

$

Ferramentas:

– Fapi (1998)

– Blitznet

– Trin00 (jun/99)*

– TFN (ago/99)*

– Stacheldraht(set/99)*

– Shaft

– TFN2K(dez/99)*

– _Trank

– Trin00 win version

Ataques coordenados (DDoS)

(37)

$ Etapas:

1. Intrusão em massa

2. Instalação do software DDoS

3. Disparo do ataque

$ Técnicas utilizadas:

– IP Spoofing

– SYN Flooding

– Pacotes decoy

– Execução de comandos remotos

– Fragmentação de pacotes

– Criptografia na comunicação entre o atacante e os masters

Ataques coordenados (DDoS)

(38)

$

Personagens

Ataques coordenados (DDoS)

Atacante

Masters

Agentes

Vítima