SlideShare uma empresa Scribd logo

Seg Sniff, MITM e Cripto

Transferir como ODP, PDF
Fernando Vieira da Silva
Fernando Vieira da Silva

O documento discute vários tipos de ataques cibernéticos como packet sniffing e man-in-the-middle. Ele também fornece estratégias para prevenir esses ataques, como criptografia de chave pública, validação de entrada no servidor e no cliente, software anti-cheat, e proteção contra DDoS e invasões no servidor.

Tecnologia
1 de 16
Segurança Prof. Fernando Vieira da Silva, MSc.
Packet Sniffing ● Ler o conteúdo de pacotes que trafegam pela rede por razões que não são as operações normais de rede ● Ex: Roubar informações de login ou tentar trapacear (cheating) em jogos multiplayer
Ataque Man-in-the-Middle ● Ocorre quando alguém, em algum lugar no caminho entre a origem e o destino, está fazendo sniffing de pacotes ● Qualquer computador usando uma rede Wifi insegura pode ter seus pacotes lidos por outra máquina na rede ● Numa rede cabeada, o sniffing pode ser feito pelo computador gateway (malware ou administrador de redes mal intencionado) ● Um jogador poderia usar essa técnica para trapacear ou roubar informações de um jogo
Criptografia de Chave Pública ● Pode-se combater o ataque man-in-the-middle ao criptografar dados transmitidos ● RSA (criado em 1977 por Rivest, Shamir e Adelman) – o mais popular sistema de criptografia por chave pública ● Ao enviar uma informação, usa-se a chave pública para criptografar. ● Ao receber a informação, usa-se a chave privada para descriptografar
Sniffing no Host ● O executável (.exe) de um jogo pode ser hackeado – e o hacker pode aprender a descriptografar os dados ● Mas engenharia reversa de código para encontrar chaves privadas leva tempo…
Torne as coisas mais difíceis para o hacker... ● Criptografe e mude a localização das chaves na memória frequentemente ● Mude a ordem ou o formato dos pacotes de tempos em tempos ● Alterne o tipo de criptografia se possível… ● Você não vai conseguir garantir que será impossível hackear, mas vai tornar isso uma tarefa trabalhosa e chata o suficiente para desestimular que alguém o faça...
Validação de Entrada no Servidor ● O servidor não deve executar qualquer comando que ele receber – deve validar primeiro ● Exemplo: se o servidor receber uma informação que um jogador atirou, primeiro deve verificar coisas como: ● Esse jogador tem uma arma? ● Essa arma tem munição?
Validação de Entrada no Cliente ● No modelo de Servidor Autoritário, somente o servidor tem a visão completa do jogo, como o cliente pode validar algo vindo do servidor? ● Método simples: não permitir que jogadores hospedem o servidor do jogo ● Outro método: manter contato com outros clientes, para validar informações vindas do servidor (problema: aumentaria muito o tráfego na rede...)
Software de Detecção de Cheating ● Executa como parte do jogo ou uma ferramenta externa que monitora sua integridade ● Exemplos de cheat que podem ser detectados: ● Em jogo ponto-a-ponto, algumas áreas com exército inimigo são escondidas (fog of war), mas há cheats que permitem visualizá-las (todas as informações são compartilhadas no modelo lockstep determinístico) ● Bots que jogam MMOs para acumular XP e/ou subir de nível, mesmo que o jogador esteja fora
Software de Detecção de Cheating – Como funcionam? ● Geralmente escaneam procurando programas de cheating conhecidos ● Se um jogador é detectado trapaceando, não é banido automaticamente, mas colocado em uma lista (para que ele não perceba que aquele cheat não é mais válido) ● Criam uma lista para banimento futuro – assim pode pegar mais usuários numa ban wave ● Em alguns casos: cliente precisa enviar o checksum de seus arquivos para um servidor “puro” verificar se não houve alteração ● Exemplos: Valve Anti-Cheat (VAC) e Warden (da Blizzard Entertainment)
Segurança do Servidor - DDoS ● Proteger contra ataques DDoS (Distributed Denial of Service) – Servidor sobrecarregado com requisições que ele não pode atender ● Solução: é preciso atualizar o hardware e distribuir o tráfego em servidores diferentes. ● Dica: serviços de cloud já tratam DDoS
Segurança do Servidor – Dados Mal estruturados ● Usuários maliciosos podem enviar informações mal-formadas para tentar quebrar o servidor ou tentar executar código malicioso ● Solução: Faça testes automatizados enviando grandes quantias de dados mal estruturados para o servidor, e corrija os bugs que encontrar
Segurança do Servidor – Ataques temporais ● Suponha que o servidor recebe uma senha ou código como requisição e o valida (ex: login/senha) ● Se o servidor rejeita logo que percebe que o código está errado, o tempo que demora para rejeitar dá uma pista ao hacker sobre quanto do código ele acertou
Segurança do Servidor – Ataques temporais ● Solução: Garanta que seus códigos sempre levam o mesmo tempo para terminar, aceitando ou rejeitando um código Código vulnerável Código seguro
Segurança do Servidor – Invasões ● Usuários maliciosos podem tentar invadir o servidor para roubar dados, número de cartão de crédito, senhas, ou mesmo destruir toda sua base de dados! ● Garanta que seu sistema operacional e aplicações estão sempre atualizadas ● Reduza o número de serviços funcionando o servidor ao mínimo necessário ● Não armazene senhas originais, prefira guardar apenas seu Hash ● Criptografe os dados sensíveis ● Faça Backups! :)
Fim!

Recomendados

Ethical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoEthical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoCleórbete Santos
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoVinicius Marangoni
 
O submundo dos hackers: ataques e defesas
O submundo dos hackers: ataques e defesasO submundo dos hackers: ataques e defesas
O submundo dos hackers: ataques e defesasCleórbete Santos
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-EnsinadoLeandro Magnabosco
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetAna Júlia Damião
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 

Recomendados

Ethical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoEthical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoCleórbete Santos
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoVinicius Marangoni
 
O submundo dos hackers: ataques e defesas
O submundo dos hackers: ataques e defesasO submundo dos hackers: ataques e defesas
O submundo dos hackers: ataques e defesasCleórbete Santos
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-EnsinadoLeandro Magnabosco
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetAna Júlia Damião
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
HTTPS com TLS em Modo RSA
HTTPS com TLS em Modo RSAHTTPS com TLS em Modo RSA
HTTPS com TLS em Modo RSARudá Moura
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Carlos Henrique Martins da Silva
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetPatrícia Morais
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software LivrePalestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software LivreBruno Rocha da Silva
 
Dica 01 - Hash de Senhas e sua utilização Segura
Dica 01 - Hash de Senhas e sua utilização SeguraDica 01 - Hash de Senhas e sua utilização Segura
Dica 01 - Hash de Senhas e sua utilização SeguraAlcyon Ferreira de Souza Junior, MSc
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - SegurançaAndrei Carniel
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
APLICAÇÕES SEGURAS.pptx
APLICAÇÕES SEGURAS.pptxAPLICAÇÕES SEGURAS.pptx
APLICAÇÕES SEGURAS.pptxAlcindoAntnio
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptJorgeSpindola1
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptIvanildoGomes18
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFernando Mercês
 
Arquitetura Cliente-servidor em jogos Multi-jogadores
Arquitetura Cliente-servidor em jogos Multi-jogadoresArquitetura Cliente-servidor em jogos Multi-jogadores
Arquitetura Cliente-servidor em jogos Multi-jogadoresFernando Vieira da Silva
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoEscola de Governança da Internet no Brasil
 
Apresentação sobre o modelo de segurança OPC UA
Apresentação sobre o modelo de segurança OPC UAApresentação sobre o modelo de segurança OPC UA
Apresentação sobre o modelo de segurança OPC UADalton Valadares
 

Mais conteúdo relacionado

Mais procurados

Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
HTTPS com TLS em Modo RSA
HTTPS com TLS em Modo RSAHTTPS com TLS em Modo RSA
HTTPS com TLS em Modo RSARudá Moura
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software LivrePalestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software LivreBruno Rocha da Silva
 

Mais procurados (10)

Pentest
Pentest Pentest
Pentest
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
HTTPS com TLS em Modo RSA
HTTPS com TLS em Modo RSAHTTPS com TLS em Modo RSA
HTTPS com TLS em Modo RSA
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com Nmap
 
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software LivrePalestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
 
Dica 01 - Hash de Senhas e sua utilização Segura
Dica 01 - Hash de Senhas e sua utilização SeguraDica 01 - Hash de Senhas e sua utilização Segura
Dica 01 - Hash de Senhas e sua utilização Segura
 

Semelhante a Seg Sniff, MITM e Cripto

Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
APLICAÇÕES SEGURAS.pptx
APLICAÇÕES SEGURAS.pptxAPLICAÇÕES SEGURAS.pptx
APLICAÇÕES SEGURAS.pptxAlcindoAntnio
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptJorgeSpindola1
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptIvanildoGomes18
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFernando Mercês
 
Arquitetura Cliente-servidor em jogos Multi-jogadores
Arquitetura Cliente-servidor em jogos Multi-jogadoresArquitetura Cliente-servidor em jogos Multi-jogadores
Arquitetura Cliente-servidor em jogos Multi-jogadoresFernando Vieira da Silva
 
Apresentação sobre o modelo de segurança OPC UA
Apresentação sobre o modelo de segurança OPC UAApresentação sobre o modelo de segurança OPC UA
Apresentação sobre o modelo de segurança OPC UADalton Valadares
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2Marco Guimarães
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)Marco Guimarães
 
DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoGustavo Neves
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Introdução à Unity High Level API (HLAPI)
Introdução à Unity High Level API (HLAPI)Introdução à Unity High Level API (HLAPI)
Introdução à Unity High Level API (HLAPI)Fernando Vieira da Silva
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 

Semelhante a Seg Sniff, MITM e Cripto (20)

Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusos
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - Segurança
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1
 
APLICAÇÕES SEGURAS.pptx
APLICAÇÕES SEGURAS.pptxAPLICAÇÕES SEGURAS.pptx
APLICAÇÕES SEGURAS.pptx
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.ppt
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.ppt
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
 
Arquitetura Cliente-servidor em jogos Multi-jogadores
Arquitetura Cliente-servidor em jogos Multi-jogadoresArquitetura Cliente-servidor em jogos Multi-jogadores
Arquitetura Cliente-servidor em jogos Multi-jogadores
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Apresentação sobre o modelo de segurança OPC UA
Apresentação sobre o modelo de segurança OPC UAApresentação sobre o modelo de segurança OPC UA
Apresentação sobre o modelo de segurança OPC UA
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fio
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)
 
DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviço
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 
Introdução à Unity High Level API (HLAPI)
Introdução à Unity High Level API (HLAPI)Introdução à Unity High Level API (HLAPI)
Introdução à Unity High Level API (HLAPI)
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Exploits
ExploitsExploits
Exploits
 

Mais de Fernando Vieira da Silva

Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"
Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"
Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"Fernando Vieira da Silva
 
Jogos Multi-jogadores: Revisão sobre Redes de computadores
Jogos Multi-jogadores: Revisão sobre Redes de computadoresJogos Multi-jogadores: Revisão sobre Redes de computadores
Jogos Multi-jogadores: Revisão sobre Redes de computadoresFernando Vieira da Silva
 
Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"
Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"
Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"Fernando Vieira da Silva
 
Arquitetura ponto-a-ponto para jogos Multi-jogadores
Arquitetura ponto-a-ponto para jogos Multi-jogadoresArquitetura ponto-a-ponto para jogos Multi-jogadores
Arquitetura ponto-a-ponto para jogos Multi-jogadoresFernando Vieira da Silva
 
Problemas de Rede em Jogos Multi-jogadores
Problemas de Rede em Jogos Multi-jogadoresProblemas de Rede em Jogos Multi-jogadores
Problemas de Rede em Jogos Multi-jogadoresFernando Vieira da Silva
 
Tratamento de latência em jogos Multi-jogadores
Tratamento de latência em jogos Multi-jogadoresTratamento de latência em jogos Multi-jogadores
Tratamento de latência em jogos Multi-jogadoresFernando Vieira da Silva
 
Instruções para Anotações de Emoções em Tweets
Instruções para Anotações de Emoções em TweetsInstruções para Anotações de Emoções em Tweets
Instruções para Anotações de Emoções em TweetsFernando Vieira da Silva
 
Identifying Emotions in Tweets related to the Brazilian Stock Market
Identifying Emotions in Tweets related to the Brazilian Stock MarketIdentifying Emotions in Tweets related to the Brazilian Stock Market
Identifying Emotions in Tweets related to the Brazilian Stock MarketFernando Vieira da Silva
 
Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...
Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...
Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...Fernando Vieira da Silva
 
Palestra otimização em linguagem c - e-stude.com
Palestra otimização em linguagem c - e-stude.comPalestra otimização em linguagem c - e-stude.com
Palestra otimização em linguagem c - e-stude.comFernando Vieira da Silva
 

Mais de Fernando Vieira da Silva (12)

Introdução a jogos Multi-jogadores
Introdução a jogos Multi-jogadoresIntrodução a jogos Multi-jogadores
Introdução a jogos Multi-jogadores
 
Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"
Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"
Arquitetura de jogos multi-jogadores: Estudo de caso "Starsiege Tribes"
 
Jogos Multi-jogadores: Revisão sobre Redes de computadores
Jogos Multi-jogadores: Revisão sobre Redes de computadoresJogos Multi-jogadores: Revisão sobre Redes de computadores
Jogos Multi-jogadores: Revisão sobre Redes de computadores
 
Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"
Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"
Arquitetura de Jogos Multi-jogadores: Estudo de caso "Age of Empires"
 
Arquitetura ponto-a-ponto para jogos Multi-jogadores
Arquitetura ponto-a-ponto para jogos Multi-jogadoresArquitetura ponto-a-ponto para jogos Multi-jogadores
Arquitetura ponto-a-ponto para jogos Multi-jogadores
 
Escalabilidade em Jogos Multi-jogadores
Escalabilidade em Jogos Multi-jogadoresEscalabilidade em Jogos Multi-jogadores
Escalabilidade em Jogos Multi-jogadores
 
Problemas de Rede em Jogos Multi-jogadores
Problemas de Rede em Jogos Multi-jogadoresProblemas de Rede em Jogos Multi-jogadores
Problemas de Rede em Jogos Multi-jogadores
 
Tratamento de latência em jogos Multi-jogadores
Tratamento de latência em jogos Multi-jogadoresTratamento de latência em jogos Multi-jogadores
Tratamento de latência em jogos Multi-jogadores
 
Instruções para Anotações de Emoções em Tweets
Instruções para Anotações de Emoções em TweetsInstruções para Anotações de Emoções em Tweets
Instruções para Anotações de Emoções em Tweets
 
Identifying Emotions in Tweets related to the Brazilian Stock Market
Identifying Emotions in Tweets related to the Brazilian Stock MarketIdentifying Emotions in Tweets related to the Brazilian Stock Market
Identifying Emotions in Tweets related to the Brazilian Stock Market
 
Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...
Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...
Identifying Emotions in Tweets for Brazilian Stock Market Prediction (WTD Pre...
 
Palestra otimização em linguagem c - e-stude.com
Palestra otimização em linguagem c - e-stude.comPalestra otimização em linguagem c - e-stude.com
Palestra otimização em linguagem c - e-stude.com
 

Seg Sniff, MITM e Cripto

  • 2. Packet Sniffing ● Ler o conteúdo de pacotes que trafegam pela rede por razões que não são as operações normais de rede ● Ex: Roubar informações de login ou tentar trapacear (cheating) em jogos multiplayer
  • 3. Ataque Man-in-the-Middle ● Ocorre quando alguém, em algum lugar no caminho entre a origem e o destino, está fazendo sniffing de pacotes ● Qualquer computador usando uma rede Wifi insegura pode ter seus pacotes lidos por outra máquina na rede ● Numa rede cabeada, o sniffing pode ser feito pelo computador gateway (malware ou administrador de redes mal intencionado) ● Um jogador poderia usar essa técnica para trapacear ou roubar informações de um jogo
  • 4. Criptografia de Chave Pública ● Pode-se combater o ataque man-in-the-middle ao criptografar dados transmitidos ● RSA (criado em 1977 por Rivest, Shamir e Adelman) – o mais popular sistema de criptografia por chave pública ● Ao enviar uma informação, usa-se a chave pública para criptografar. ● Ao receber a informação, usa-se a chave privada para descriptografar
  • 5. Sniffing no Host ● O executável (.exe) de um jogo pode ser hackeado – e o hacker pode aprender a descriptografar os dados ● Mas engenharia reversa de código para encontrar chaves privadas leva tempo…
  • 6. Torne as coisas mais difíceis para o hacker... ● Criptografe e mude a localização das chaves na memória frequentemente ● Mude a ordem ou o formato dos pacotes de tempos em tempos ● Alterne o tipo de criptografia se possível… ● Você não vai conseguir garantir que será impossível hackear, mas vai tornar isso uma tarefa trabalhosa e chata o suficiente para desestimular que alguém o faça...
  • 7. Validação de Entrada no Servidor ● O servidor não deve executar qualquer comando que ele receber – deve validar primeiro ● Exemplo: se o servidor receber uma informação que um jogador atirou, primeiro deve verificar coisas como: ● Esse jogador tem uma arma? ● Essa arma tem munição?
  • 8. Validação de Entrada no Cliente ● No modelo de Servidor Autoritário, somente o servidor tem a visão completa do jogo, como o cliente pode validar algo vindo do servidor? ● Método simples: não permitir que jogadores hospedem o servidor do jogo ● Outro método: manter contato com outros clientes, para validar informações vindas do servidor (problema: aumentaria muito o tráfego na rede...)
  • 9. Software de Detecção de Cheating ● Executa como parte do jogo ou uma ferramenta externa que monitora sua integridade ● Exemplos de cheat que podem ser detectados: ● Em jogo ponto-a-ponto, algumas áreas com exército inimigo são escondidas (fog of war), mas há cheats que permitem visualizá-las (todas as informações são compartilhadas no modelo lockstep determinístico) ● Bots que jogam MMOs para acumular XP e/ou subir de nível, mesmo que o jogador esteja fora
  • 10. Software de Detecção de Cheating – Como funcionam? ● Geralmente escaneam procurando programas de cheating conhecidos ● Se um jogador é detectado trapaceando, não é banido automaticamente, mas colocado em uma lista (para que ele não perceba que aquele cheat não é mais válido) ● Criam uma lista para banimento futuro – assim pode pegar mais usuários numa ban wave ● Em alguns casos: cliente precisa enviar o checksum de seus arquivos para um servidor “puro” verificar se não houve alteração ● Exemplos: Valve Anti-Cheat (VAC) e Warden (da Blizzard Entertainment)
  • 11. Segurança do Servidor - DDoS ● Proteger contra ataques DDoS (Distributed Denial of Service) – Servidor sobrecarregado com requisições que ele não pode atender ● Solução: é preciso atualizar o hardware e distribuir o tráfego em servidores diferentes. ● Dica: serviços de cloud já tratam DDoS
  • 12. Segurança do Servidor – Dados Mal estruturados ● Usuários maliciosos podem enviar informações mal-formadas para tentar quebrar o servidor ou tentar executar código malicioso ● Solução: Faça testes automatizados enviando grandes quantias de dados mal estruturados para o servidor, e corrija os bugs que encontrar
  • 13. Segurança do Servidor – Ataques temporais ● Suponha que o servidor recebe uma senha ou código como requisição e o valida (ex: login/senha) ● Se o servidor rejeita logo que percebe que o código está errado, o tempo que demora para rejeitar dá uma pista ao hacker sobre quanto do código ele acertou
  • 14. Segurança do Servidor – Ataques temporais ● Solução: Garanta que seus códigos sempre levam o mesmo tempo para terminar, aceitando ou rejeitando um código Código vulnerável Código seguro
  • 15. Segurança do Servidor – Invasões ● Usuários maliciosos podem tentar invadir o servidor para roubar dados, número de cartão de crédito, senhas, ou mesmo destruir toda sua base de dados! ● Garanta que seu sistema operacional e aplicações estão sempre atualizadas ● Reduza o número de serviços funcionando o servidor ao mínimo necessário ● Não armazene senhas originais, prefira guardar apenas seu Hash ● Criptografe os dados sensíveis ● Faça Backups! :)
  • 16. Fim!