Segurança de Sistemas
Segurança de Sistemas. Intrusos. Detecção de Intrusão. Gerenciamento de senhas. Software malicioso. Vírus e ameaças relacionadas. Contramedidas para vírus. Ataques de negação de serviço distribuído.
Intrusos
É um problema de segurança significativo para
sistemas em rede é a intrusão hostil ou
indesejada.
Ela pode ser via local ou via rede.
foram identificadas três classes de intrusos:
mascarado
infrator
Intrusos
É um problema que vem crescendo muito.
Eles podem parecer inofensivos mas não são, e
custam recursos.
Podem utilizar sistemas comprometidos para
lançar outros ataques.
A conscientização sobre os intrusos conduziu
Técnicas de Intrusão
O objetivo é obter acesso ou aumentar a gama de
privilégios acessíveis em um sistema.
Metodologia básica de ataque:
obtenção do alvo e reunião de informações
acesso inicial
aumento de privilégios
esconder pistas
O principal objetivo, em geral, é obter senhas.
Detecção de intrusos
Inevitavelmente, haverá falhas de segurança.
Então, precisamos também detectar intrusões de
modo a:
bloquear com rapidez
agir para restringir
coletar informações para aprimorar a segurança
A detecção de intrusão é baseada na suposição de
que o comportamento do intruso difere de um
usuário legítimo.
mas não haverá distinção clara entre os dois
Técnicas de detecção de intrusão
Detecção estatística de anomalia de limiar
Conta as ocorrências de um tipo de evento específico ao longo de um intervalo de
tempo.
Se ultrapassar um número razoável, a intrusão é presumida. por si só, é um detector primitivo e ineficaz.
baseda em perfil
Focaliza a caracterização do comportamento passado dos usuários. Detecta desvios significativos.
O perfil pode ser formado por um conjunto de parâmetros.
Detecção baseada em regras
Usa regras para identificar penetrações conhecidas, padrões de vulnerabilidade ou
comportamento suspeito.
Observa o comportamento atual e compara com as regras para verificar se há
correspondência.
Gerenciamento de senhas
É um dos ataques mais comuns.
O atacante conhece o login (do e-mail/página Web etc.)
Então, tenta adivinhar a senha:
padrão, senhas curtas, sistema de dicionário
informações do usuário (variações do nome, data de nascimento,
telefone, palavras comuns/interesses)
procura exaustiva por todas as senhas possíveis
Verifica com o login ou contra um arquivo de senha roubado.
O sucesso depende da senha escolhida pelo usuário.
As estatísticas indicam que muitas pessoas não sabem
escolher senhas, pois colocam datas de aniversário, números
de documentos, etc.
Gerenciamento de senhas
As senhas, em geral, são armazenadas
criptografadas.
Deve-se proteger o arquivo da senha no sistema.
Podemos adotar políticas e treinamento de usuários.
Orientá-los sobre a importância de senhas
adequadas.
Gerenciamento de senhas
Verificação reativa
Executa, reativamente um quebrador de senhas. Cancela quaisquer senhas descobertas.
Exige muitos recursos.
Senhas existentes permanecem vulneráveis até que o verificador de
senhas reativo as encontre.
Verificação proativa
Técnica mais promissora para maior segurança das senhas. Permite que o usuário selecione sua própria senha.
O sistema verifica se a senha é permitida:
Reforço de regras simples.
Compara com um dicionário de possíveis senhas ‘ruins’.
Usa algoritmo (modelo de Markov ou filtro de Bloom) para detectar
Captação de senhas
Outro ataque envolve captação de senhas:
observando a digitação de senhas pelo usuário
usando programas do tipo cavalo-de-Tróia
monitorando um login de rede não seguro
•por exemplo: telnet, FTP, web, e-mail
Extraindo informação registrada após um login de sucesso
(história/cache de Web, último número discado etc.).
Usando login/senha válidos o intruso pode se passar
pelo usuário.
Os usuários precisam ser educados para utilizar ações
Softwares Maliciosos
• O termo malware é proveniente do inglês malicious software; é um
software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms,
trojan horses (cavalos de troia) e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada.
Vírus e ameaças relacionadas
Os vírus de computador têm recebido grande publicidade. Eles pertencem à categoria softwares maliciosos.
Em geral, os efeitos são evidentes.
Têm sido tema de notícias de jornal, ficção, filmes (geralmente com
exagero).
Todavia, são uma preocupação.
A natureza dos vírus
É um pedaço de código, anexado a outro código, que pode se autocopiar.
Como o vírus biológico.
Ambos se propagam e carregam um payload.
Carrega códigos para fazer cópias de si próprio.
Tipos de ameaças - Vírus
A operação do vírus O vírus passa por quatro fases:
Latência – esperando por algum evento que o ‘dispare’ Propagação – se autocopia em programas/discos
Disparo – por diversos eventos do sistema Execução– a função do vírus é executada
Executa seu trabalho de maneira específica a determinado sistema
operacional
Explora as características e vulnerabilidades
Tipos de vírus
vírus parasitário
vírus residente na memória
vírus do setor de inicialização (boot) vírus furtivo (stealth virus)
vírus polimórfico vírus metamórfico
Tipos de Ameaças - Vírus
Bomba Lógica
um dos tipos mais antigos de software malicioso. código embutido em algum programa legítimo.
configurado para ‘explodir’ quando certas condições forem
satisfeitas, por exemplo:
presença/ausência de algum arquivo. uma data ou hora particular.
um usuário particular.
quando disparada, causa danos.
Tipos e ameaças - Vírus
Cavalo de Tróia
Programa com efeitos ocultos. O qual é freqüentemente atrativo.
Por exemplo: jogos, upgrade de software etc.
Quando rodado, executa tarefas adicionais.
Permite ao atacante obter, de forma indireta, acessos que não teria de
forma direta.
Freqüentemente utilizado para propagar vírus/vermes ou instalar uma
backdoor.
Tipos e ameaças - Vírus
Zumbi
Programa que controla secretamente outro computador conectado à Internet. Depois usa esse computador para disparar ataques.
Usados em ataques de negação de serviço, tipicamente contra sites Web Explora falhas conhecidas em sistemas de rede.
Backdoor ou Trapdoor
Ponto de entrada secreto para um programa.
Os programas desse tipo permitem que alguém, ciente da backdoor, obtenha
acesso sem passar pelos procedimentos normais de acesso de segurança
Têm sido usados normalmente por programadores.
Tornam-se ameaças quando programadores inescrupulosos os utilizam para
obter acesso não autorizado.
É difícil implementar controles do sistema operacional para esses programas
As medidas de segurança precisam focalizar atividades de desenvolvimento de
Tipos e ameaças – Vírus
Vírus de e-mails
Espalham-se pelo uso de e-mails com anexos contaminados com vírus de
macro.
como o Melissa
É ativado quando o usuário abre o anexo.
Ou ao abrir-se um e-mail que contém o vírus, em vez de abrir um anexo Então, se propaga muito rápido.
Geralmente enviado pelo Microsoft Outlook ou por documentos em Word/
Excel.
É necessário um maior nível de segurança nos sistemas operacionais e nos
Tipos e ameaças - Verme
Verme
Programa que pode se replicar e que busca ativamente mais máquinas para
infectar.
Em geral, espalha-se pela rede.
Como o verme Morris lançado pela Internet em 198.8
Valendo-se de privilégios do usuário e explorando vulnerabilidades do sistema. Amplamente usado por rackers para criar o zumbi de PC, subseqüentemente
usado para outros ataques, principalmente a DOS.
A maior preocupação se dá pela falta de segurança de sistemas
Tipos e ameaças - Verme
A natureza dos Vermes
Assim como o vírus, têm fases:
Latência Propagação
•Procura por outros sistemas para infectar
•Estabelece conexão com sistemas-alvo remotos •Faz reprodução em sistemas remotos
Disparo Execução
Tipos e ameaças - Verme
Verme Morris
É o tipo de verme mais conhecido. Criado por Robert Morris em 1988. Projetado para sistemas Unix.
Usa várias técnicas de propagação.
Quebra do arquivo de senha local.
Exploração de um erro no protocolo finger.
Exploração de uma trapdoor na opção de depuração do processo
remoto que recebe e envia mensagens.
Contramedidas para vírus
A solução ideal é a prevenção Mas, em geral, não é possível Então, é necessário:
Detecção – dos vírus em sistemas infectados Identificação – do vírus específico
Software – Antivírus
Primeira geração
Um scanner exige que uma assinatura identifique um vírus. Ou procura alterações no tamanho dos programas.
Segunda geração
Usa regras heurísticas para procurar uma provável infecção. Pode usar também uma função de hash criptografada.
Terceira geração
Programas residentes na memória que identificam o vírus por suas
ações.
Quarta geração
Pacotes com uma variedade de técnicas antivírus. Por exemplo, varreduras e controle de acesso.
Técnicas Anitvírus avançada
Decriptografia genérica
Usa emulador de CPU para verificar a assinaturas do programa antes de
rodá-lo
Sistema digital imune (IBM)
Sistema de emulação e de detecção de vírus de uso geral
Capta, analisa, acrescenta detecção mais proteção contra, e remove cada
Ataque de Negação de serviço distribuídos
Os ataques de negação de serviço distribuídos apresentam uma ameaça
de segurança significativa para as empresas
Tornam sistemas de rede inviáveis Inundando com tráfego inútil
Usando um grande número de ‘zumbis’ Ataques de sofisticação crescente
Ataque de Negação de ameaça distribuídas
•
Definições necessárias
•
Objetivo
•
Estatística?
•
Resposta?
•
Localização
•
Conexões externas?
•
Rede interna ?
•
Sistema de detecção
•
Único ?
•
Misto ?
•
Fornecedor
•
Open Source ?
•
Comercial ?
Ataque de Negação de ameaça distribuídas
Criando a rede de ataque de DDOs
Infecção de diversas máquinas com software zumbi Requer:
1. Software para implementar o ataque DDoS
2. Uma vulnerabilidade em uma grande quantidade de sistemas
3. Uma estratégia para localizar máquinas vulneráveis, entre os tipos:
Aleatória, lista de acerto, topológica e sub-rede local
Contramedidas
Existem três linhas de defesa:
1. Prevenção de ataque e ação antecipada (antes) 2. Detenção e filtragem de ataque (durante)
3. Rastreamento e identificação da origem do ataque (durante e após)
Há um grande número de possibilidades de ataque Portanto, as contramedidas precisam evoluir