S
EGURANÇA E
A
UDITORIA DE
S
ISTEMAS
História do Hacking
A
GENDA
História do Hacking
Eventos marcantes
B
LUE
B
OX
- 1971
John Draper
descobre algo no cereal Cap’n Crunch - o apito de brinde
gerava um som de 2600 Hz uma das freqüências de
sinalização da AT&T liberava interurbanos.
B
LUE
B
OX
- 1971
John Draper
Construiu e começou a vender a “Blue Box”
Hackers tinham agora acesso remoto fácil
comum nas telecomunicações da época em particular na
ARPANET
ARPANET
B
LUE
B
OX
Anúncio em uma revista Hacker
“CAP'N CRUNCH WHISTLES
. Brand new, only a few left.
THE ORIGINAL WHISTLE in mint condition, never used. Join
the elite few who own this treasure! Once they are gone, that
is it - there are no more! Keychain hole for keyring. Identify
yourself at meetings, etc. as a 2600 member by dangling
your keychain and saying nothing. Cover one hole and get
exactly
2600 Hz
, cover the other hole and get another
exactly
2600 Hz
, cover the other hole and get another
frequency. Use both holes to call your dog or dolphin. Also,
ideal for telephone remote control devices. Price includes
mailing. $99.95. Not only a collector's item but a VERY
RFC 602
Bob Metcalfe
Principais problemas apontados
Sites acostumados com segurança física
falta de cultura com segurança remota
autenticação fraca
autenticação fraca
Números de telefone dos TIPs
rabiscados em cabines telefônicas e banheiros
TIP provia serviço sem autenticação
I
NTERNET
W
ORM
I
NTERNET
W
ORM
O que é um Worm?
Wikipedia
“A computer worm is a standalone
malware computer
program
that replicates itself in order to spread to other
computers. Often, it uses a
computer network
to spread
itself. This is due to security shortcomings on the target
itself. This is due to security shortcomings on the target
computer. Unlike a
computer virus
, it does not need to attach
itself to an existing program. Worms almost always cause at
least some harm to the network, even if only by consuming
O
QUE É UM
W
ORM
?
Vírus programa que se espalha com ajuda humana
execução manual de programa, transporte por mídia
Worm programa que se replica também se
auto-transporta por uma rede de máquinas
transporta por uma rede de máquinas
I
NTERNET
W
ORM
Quem é o “pai” dos Worms?
Robert T. Morris
I
NTERNET
W
ORM
Robert Morris
Criador do primeiro famoso Worm na Internet
advogou que queria “medir” o tamanho da Internet
I
NTERNET
W
ORM
Como foi o evento?
À época (1988) Robert Morris era estudante da Cornell University
I
NTERNET
W
ORM
Como foi o evento?
Criou um software que era capaz de infectar outras
máquinas presentes na mesma rede de forma a “contar” a
quantidade de máquinas na Internet
Binários para máquinas Sun3 e VAX
Binários para máquinas Sun3 e VAX
I
NTERNET
W
ORM
Como foi o evento?
Erro no código de replicação
Infecção filha avisava infecção mãe para “morrer”
1 em 15 vezes (1 em 7 x – há controvérsias) aviso era ignorado
auto-preservação
taxa de preservação alta demais
taxa de preservação alta demais
proliferação descontrolada
Porque não verificar se o programa já está executando na
I
NTERNET
W
ORM
Como foi o evento?
O que acontecia com a proliferação desordenada de
processos?
DoS nas vítimas
Outra falha
Outra falha
verificação no meio da rotina de quebra de senhas
CPU intensive!
infecção mãe tinha vida muito longa
número de processos aumentava muito
I
NTERNET
W
ORM
Como foi o evento?
Alta taxa de preservação e verificação tardia
estouro de tabela de processos
Múltiplas execuções da rotina de quebra de senhas
exaustão da capacidade de processamento
Máquinas crashavam ou eram desligadas
Máquinas crashavam ou eram desligadas
Boa parte da Internet parou
I
NTERNET
W
ORM
Como foi o evento?
Desfecho
Prejuízos de centenas de milhares de US$
Morris 3 anos de pena (liberdade condicional)
400 horas de trabalho comunitário e multa de US$ 10,000
400 horas de trabalho comunitário e multa de US$ 10,000
I
NTERNET
W
ORM
Como foi o evento? Detalhes
Utilização de brechas de segurança em softwares Unix:
Fingerd – fornecia informações sobre os usuários da rede
Sendmail – envio de mensagens para o correio eletrônico
Sendmail – envio de mensagens para o correio eletrônico
Com a opção de DEBUG ativada era possível que o corpo da
I
NTERNET
W
ORM
Como foi o evento? Detalhes
Infecção via sendmail
I
NTERNET
W
ORM
Como foi o evento? Detalhes
Como era o programa principal?
Busca informações sobre máquinas pares da vítima
/etc/hosts, netstat etc
Tenta invasão nos pares - rsh, finger ou sendmail
Tenta invasão nos pares - rsh, finger ou sendmail
Tenta crackear senhas fáceis do sistema usa informações do
arquivo de senhas (cifradas), dicionário interno de 432
palavras por último o dicionário online do Unix
I
NTERNET
W
ORM
K
EVIN
M
ITNICK
Principal método de ataque
Engenharia Social
Longa carreira de “crimes”
1975 (12 anos) sistema de ônibus de LA
descobriu como comprar máquina de perfurar cartões
coletava cartões não-usados (ou parcialmente usados)
descartados por motoristas
1978 phone phreaking
K
EVIN
M
ITNICK
Principal método de ataque
Engenharia Social
Longa carreira de “crimes”
1979 (16 anos) acesso não-autorizado à DEC (Digital
Equipment Corporation )
Uma das principais fabricantes de computadores das décadas de
Uma das principais fabricantes de computadores das décadas de
60 e 90. Posteriormente foi comprada pela Compaq e HP
obteve um número telefônico de modem de um amigo
K
EVIN
M
ITNICK
Principal método de ataque
Engenharia Social
Longa carreira de “crimes”
1982 invadiu PacBell (companhia telefônica que operava na
Califórnia) - 1 ano de lib. cond.
Uso de máquinas da USC (University of Southern California)
p/ atividades ilegais - 6 meses de prisão juvenil
p/ atividades ilegais - 6 meses de prisão juvenil
1987 invasão da SCO (Santa Cruz Operation) - 3 anos de
lib. cond.
Fabricante de uma das primeiras versões de Unix para a plataforma
K
EVIN
M
ITNICK
Principal método de ataque
Engenharia Social
Longa carreira de “crimes”
1988 estudos no Pierce College
mau uso dos sistemas expulsão
1988 nova invasão da DEC
preso pelo FBI - 1 ano de prisão e 3 de lib. cond.
preso pelo FBI - 1 ano de prisão e 3 de lib. cond.
1992, final da lib. cond., nova invasão `a PacBell
K
EVIN
M
ITNICK
Principal método de ataque
Engenharia Social
Longa carreira de “crimes”
1994 DMV propõe recompensa de US$ 1mi pela captura de
Mitnick
DMV (Department of Motor Vehicles – parecido com o Detran
brasileiro)
brasileiro)
tentativa de fraudar carteira de motorista
1994, dia de Natal
invasão do SDSC (episódio Shimomura)
SDSC -
San Diego Supercomputer Center
K
EVIN
M
ITNICK
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
Era comum naquela época estações X Terminal que eram
diskless (sem disco) - projetados especialmente para uma
interface de baixo custo com aplicações que eram
executadas em um X Server via rede
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
Não! Os computadores NÃO eram modernos
como esses abaixo! =(
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
E que era o alvo?
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
E que era o alvo?
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
X Terminal não precisa de login.
Imagine se o tempo todo o cliente precisasse
logar no servidor!
Porta: 513
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
Em algum lugar da Internet está
o Kevin Mitnick!
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Conhecer a rede! Atacante queria descobrir se
existe relação entre máquinas e usuários na rede.
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Entupir a fila de requisições de abertura de
conexões na porta 513
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Entupir a fila de requisições de abertura de
conexões na porta 513
Endereço IP não poderia estar “ativo” na Internet. O roteador
de última milha deveria fazer um arp para enviá-lo (ARP). A
de última milha deveria fazer um arp para enviá-lo (ARP). A
implementação realizava 3 tentativas para descobrir o
endereço de enlace do destino (5,5s e 29,5s) até dar ICMP
Host Destination Unreachable.
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Gera uma série de requisições SYN para o
Xterminal para descobrir o padrão de geração dos
números de seqüência iniciais (ISN – Initial
Sequence Number) do mesmo – 20 tentativas de
conexão
Diferença entre os números gerados é de 128000
Diferença entre os números gerados é de 128000
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Requisição de conexão TCP forjada,
aparentemente proveniente do X Server para o X
Terminal mas os pacotes vieram de fonte externa
(passaram pelo roteador)
Veja que o segundo pacote foi enviado para o cliente
aproximadamente meio segundo depois. X Terminal deve ter
respondido para o X Server mas o log do roteador
provavelmente não registrou. O atacante não teria como saber
qual era o número para o ACK do TCP Three Way Handshake
mas ele poderia supor devido às 20 requisições feitas
mas ele poderia supor devido às 20 requisições feitas
anteriormente.
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Requisição de conexão TCP forjada,
aparentemente proveniente do X Server para o X
Terminal mas os pacotes vieram de fonte externa
(passaram pelo roteador)
X Server real deveria ter recebido o ack do X Terminal e
enviado um RST já que não solicitou tal requisição.
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Requisição de conexão TCP forjada,
aparentemente proveniente do X Server para o X
Terminal mas os pacotes vieram de fonte externa
(passaram pelo roteador)
X Server real deveria ter recebido o ack do X Terminal e
enviado um RST já que não solicitou tal requisição.
E agora?
Porta “login” de X Server está sufocada. Aguardando as
confirmações das conexões solicitadas no início.
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
Atacante com conexão estabelecida porém , sem
retorno de confirmação pacotes.
Só pode enviar dados.
Com esse comando
o atacante não necessita de mais nada:
ele agora pode logar de qualquer máquina da Internet, como
qualquer usuário, na conta root de x-Terminal (significado da
linha adicionada em .rhosts).
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
RST`s começam a chegar no X Server.
Porta login de X Server pode novamente aceitar
conexões
K
EVIN
M
ITNICK
– E
PISÓDIO
S
HIMOMURA
- A
TAQUE
O ataque:
•Assumiu controle de outra conexão já
estabelecida entre X-terminal e alvo original.
• Roubou código fonte do OS VMS, entre outras
coisas.
D
ESFECHO DO
E
PISÓDIO
46 meses de prisão (concorrente com outra de 22 meses)
Solto em jan/2000 em lib. cond.
Proibido de usar internet ou e-mail
D
ISTRIBUTED
D
ENIAL OF
S
ERVICE
(DD
O
S)
Sites amadureceram e foram ganhando proteções
1998 hackers perceberam a importância de número
Milhares de atacantes contra um site
Invasão de cliente e instalação de controle remoto
1999 primeiro uso em larga escala
D
ISTRIBUTED
D
ENIAL OF
S
ERVICE
(DD
O
S)
Primeiro ataque em larga escala
Jan/2000 provedor local Oz.net em Seattle, WA
Alvos: roteadores dos provedores locais
provedor upstream (Semaphore)
provedor upstream superior (UUNet)
D
ISTRIBUTED
D
ENIAL OF
S
ERVICE
(DD
O
S)
Ataques contra sites bem providos de banda
1 semana em Fev/2000
DoS de muitas horas em cada um