Trabalho desenvolvido para a disciplina de Segurança em Sistemas para Internet do curso de Tecnologia em Sistemas para Internet da Faculdade de Tecnologia Prof. José Camargo – Fatec Jales
1. Intrusos e Honeypots
Trabalho apresentado à disciplina de Segurança em Sistemas para
Internet da Faculdade de Tecnologia de Jales - "Professor José
Camargo".
Prof. Rogério Leão
Thaís Berjas Favore
Jales
2016
3. 3
A intrusão não autorizada em um sistema ou rede de
computadores é uma das ameaças mais sérias à segurança de
computadores;
Sistemas de detecção de intrusão estão sendo desenvolvidos
para fornecer avisos e para que uma ação defensiva possa ser
tomada;
Envolve a detecção de padrões incomuns de atividades e
detecção de atividades relacionadas a intrusões;
É importante o gerenciamento de senhas, para impedir o
acesso de usuários não autorizados às senhas de outros.
6. 6
Função Unidirecional: Quando o usuário apresenta uma
senha, o sistema transforma essa senha e a compara ao
valor armazenado. (HASH)
Controle de acesso: O acesso ao arquivo de senha é
limitado a somente uma ou a muito poucas contas.
Um sistema precisa manter um arquivo que associa uma
senha a cada usuário autorizado. Se esse arquivo for
armazenado sem proteção, então é uma questão de fácil solução
obter acesso a ele e descobrir as senhas registradas.
7. 7
Técnicas para descobrir senhas
1. Tentar senhas-padrão usadas com contas padrão;
2. Tentar exaustivamente todas as senhas curtas;
3. Tentar palavras de um sistema de dicionário online, ou lista
de senhas prováveis;
4. Coletar informações sobre os usuários (nomes, fotos,
hobbies);
8. 8
5. Tentar os números de telefone, documentos, salas;
6. Tentar todos os números de placas de automóveis legítimos
do estado;
7. Usar um cavalo-de-troia para contornar as restrições do
acesso;
8. Realizar escuta clandestina na linha entre um usuário remoto
e o sistema host.
Técnicas para descobrir senhas
10. 10
Se uma intrusão for detectada com rapidez suficiente, o
intruso poderá ser identificado e expulso do sistema antes
que seja feito qualquer dano ou que dados sejam
comprometidos;
Um sistema de detecção de intrusão pode servir como um
elemento desencorajador;
Permite a coleta de informações sobre as técnicas de
intrusão, o que pode ser usado para fortalecer a estrutura
de prevenção.
13. 13
Um bom exemplo de registro de auditoria foi desenvolvido
por Dorothy Denning. Cada registro contém os seguintes
campos:
Sujeito;
Ação;
Objeto;
Uso de recursos;
Carimbo de tempo.
14. 14
Detecção estatística de anomalia
Detecção de limiar: envolve a contagem do número de
ocorrências de um tipo de evento específico ao longo de um
intervalo de tempo;
Detecção baseada em perfil: focaliza a caracterização do
comportamento passado dos usuários e depois a detecção de
desvios significativos. (Análise dos registros de auditoria)
15. 15
Contador: inteiro não-negativo que pode ser incrementado.
(Contagem de certos tipos de evento em um período);
Medidor: Usado para medir o valor atual de alguma entidade;
Temporizador de intervalo: Período de tempo entre dois
eventos relacionados;
Utilização de recursos: Quantidade de recursos consumidos;
16. 16
Média e desvio padrão: Se aplica a uma grande quantidade
de contadores e temporizadores;
Operacional: Julgamento daquilo que é considerado anormal.
Suspeita-se de uma intrusão por observação daquilo que está
fora dos limites;
Série temporal: Observa sequência de eventos que
acontecem muito rapidamente ou muito lentamente.
Técnicas
17. 17
Detecção de intrusão baseada em regras
Detecção de anomalia baseada em regras: Registros de
auditoria são analisados para identificar padrões de uso e
gerar automaticamente regras que descrevem esses padrões.
Para que seja eficaz, um grande banco de dados de regras se
faz necessário;
Identificação de penetração baseada em regras: Essas regras
são geradas por ‘especialistas’. O procedimento é entrevistar
administradores de sistemas e analistas de segurança.
18. 18
1. Usuários não devem ler arquivos nos diretórios pessoais de
outros usuários;
2. Usuários não devem escrever nos arquivos de outros
usuários;
3. Usuários não devem estar logados mais de uma vez no
mesmo sistema;
4. Usuários não fazem cópias dos programas do sistema.
Exemplos
19. 19
Detecção de intrusão distribuída
Aplicando-se a LANs ou inter-
rede, embora seja possível montar
uma defesa usando sistemas de
detecção isolados em cada host,
uma defesa mais eficaz pode ser
obtida pela coordenação entre
sistemas de detecção de intrusão
na rede.
20. 20
Pode ter de lidar com diferente formatos de registro de
auditoria;
Os dados brutos de auditoria devem ser transmitidos pela
rede. Requisito para garantir a integridade e a
confidencialidade desses dados;
Pode ser usada uma arquitetura centralizada ou
descentralizada.
22. 22
São sistemas de armadilha, planejados para atrair um
atacante em potencial para longe dos sistemas críticos.
Desviar um atacante do acesso a sistemas críticos;
Coletar informações sobre a atividade do atacante;
Encorajar o atacante a permanecer no sistema por tempo
suficiente para que os administradores respondam.
23. 23
Níveis de interação
Baixa Interação: são sistemas e serviços de rede que são
emulados, onde o sistema real é inacessível, não permitindo
que o atacante interaja com o sistema real.
Alta interação: são máquinas que atuam como servidores de
serviços de rede reais e totalmente acessíveis. O atacante
pode ganhar total controle sobre esses sistemas, podendo
oferecer um grande risco ao sistema. Deve ser implementado
em um local onde se tenha um grande controle da rede
através de métodos de proteção e detecção.
24. 24
Pesquisas mais recentes focalizaram a criação de redes
honeypot inteiras, que simulam uma empresa, com tráfego e
dados reais ou simulados. Quando os hackers estão dentro da
rede, os administradores podem observar seu comportamento
detalhadamente e delinear defesas.
25. 25
O termo Honeypot foi adotado como uma gíria durante a
Segunda Guerra Mundial para descrever as mulheres bonitas
usadas como isca para revelar segredos militares de inimigos. No
final da década de 90, o termo passou a ser empregado por
profissionais de segurança que desenvolviam métodos para
tentar descobrir a identidade dos invasores e desviá-los do foco
principal dos ataques.
Você sabia?
27. 27
Vulnerabilidade das senhas
Alguns usuários, quando podem escolher a senha, escolhem
uma que é absurdamente curta.
Um estudo observou escolhas de mudança de senhas em
7000 contas de usuário. Quase 3% das senhas tinham 3
caracteres ou menos.
Uma solução simples é que o sistema exija que todas as
senhas tenham exatamente oito caracteres.
28. 28
Muitas pessoas escolhem uma senha que pode ser
descoberta, como o seu próprio nome, o nome da rua, uma
palavra comum do dicionário.
Isso torna muito fácil o trabalho de quebra de senhas, pois
basta que o cracker de senhas teste o arquivo de senhas em
relação a listas de senhas prováveis.
29. 29
Controle de acesso
Uma maneira de impedir um ataque de senha é negar o
acesso do oponente ao arquivo de senhas.
Uma vez que um atacante obteve acesso por algum meio, ele
poderá obter uma coleção de senhas.
Uma estratégia mais eficaz seria forçar os usuário a selecionar
senhas difíceis de adivinhar.
30. 30
Estratégias de seleção de senhas
Quatro técnicas básicas:
Treinamento do usuário;
Senhas geradas pelo computador;
Verificação reativa de senha;
Verificação pró-ativa da senha
31. 31
Treinamento do usuário
Podem ser informados da importância de usar senhas de
difícil descoberta e podem receber orientação para selecionar
senhas fortes.
Muitos vão simplesmente ignorar, outros podem não
entender. Alguns acham que apenas colocar uma letra em
maiúsculo no final já torna a senha indecifrável
32. 32
Senhas geradas pelo computador
Se forem de natureza muito aleatória, os usuários não serão
capazes de se lembrar delas;
Possuem um histórico de fraca aceitação;
Existe um algoritmo em C que gera palavras formando sílabas
pronunciáveis. Um gerador de números aleatórios produz um
fluxo aleatório usado para criar sílabas e palavras.
33. 33
Verificação reativa de senha
O sistema executa periodicamente seu próprio quebrador se
senhas para encontrar senhas fáceis, e encontrando-as,
cancela essas senhas e notifica o usuário;
Exige muitos recursos;
As senhas continuam vulneráveis até a detecção.
34. 34
Verificação pró-ativa de senha
No momento da escolha da senha, o sistema verifica se a
senha é permitida e, se não for, ela é rejeitada;
Conseguir equilíbrio entre aceitabilidade do usuário e força;
Imposição de regras;
Compilar um grande dicionário de possíveis senhas ‘ruins’;
35. 35
Conclusão
Examinamos a natureza do ataque, estratégias planejadas
para a prevenção, detecção, gerenciamento de senhas.
Com o grande número de ameaças e outros mecanismos de
captação de informações via internet, os administradores
precisam estar atentos para qualquer abertura que possa deixar
o sistema vulnerável e precisam estar preparados para lidar com
possíveis invasões.
36. 36
Bibliografia
LOPES, Alexandre. HONEYPOT E HONEYNET: AS VANTAGENS DE CONHECER O
INIMIGO: Níveis de interação do Honeypots. 2013. Disponível em:
<https://www.profissionaisti.com.br/2013/11/honeypot-e-honeynet-as-
vantagens-de-conhecer-o-inimigo/>. Acesso em: 08 nov. 2016.
MOREIRA, Ademilson. A importância da segurança da informação. 2013.
Disponível em:
<https://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_d
a_informacao>. Acesso em: 08 nov. 2016.
SANCHES, Rodrigo. Honeypots: Evitando invasões: Fique por dentro. 20--.
Disponível em: <http://www.devmedia.com.br/honeypots-evitando-
invasoes/29983>. Acesso em: 08 nov. 2016.
STALLINGS, William. Criptografia e segurança de redes: Princípios e práticas. 4.
ed. São Paulo: Pearson Prentice Hall, 2008. 492 p.