Analise de Vulnerabilidade

Prof: Cássio Alexandre Ramos
cassioaramos (at) gmail (dot) com
http://cassioaramos.blogspot.com
http://www.facebook.com/cassioaramos
Pós-Graduação - lato Sensu
BEM-VINDO À DISCIPLINA DE:
Análise de Vulnerabilidades

Análise de
Vulnerabilidades e
Metodologia de Ataque

• Fraquezas que podem ser exploradas
– Hardware/firmware
– Software
– Física
– Configuração
– Política
Vulnerabilidades

Definições
• Ataques de Segurança
• Tentativa de Intrusão
• Atividade Suspeita
• Anomalia de Protocolo

Ataques Contra a Segurança

TENTATIVA DE INTRUSÃO
Tentativa de exploração de vulnerabilidade
conhecida
Sendmail address parcing buffer overflow
MicrosoftWebDAV buffer overflow
Raramente resultam em alarme falso (falso
positivo)

ATIVIDADE SUSPEITA
Atividades que precedem um
ataque
Mapeamento da rede
Mapeamento de portas
Pode ser um aviso de que o ataque é iminente
Dificil de se definir

ANOMALIA DE PROTOCOLO
Tráfego não conforme com os padrões das RFC
Exemplo
TCPACK Scans
Flags TCP setadas de forma estranha
Pode ser um aviso de um exploit desconhecido

Propósito
Propósito é entender a metodologia de
ataque e não formar atacantes
..... Poderemos implementar estratégias de
defesa efetivas
Como são realizados os ataques?

Metodologia de Ensino
Por que escolhemos essas ferramentas e
tecnologias?
Porque são de uso corrente
Provêem fundamentação sobre os princípios
utilizados pelos atacantes
Ilustram o que precisamos para uma defesa
efetiva
Algumas delas são bastante interessantes e
“sujas”
NUNCA subestime o adversário

Metodologia de Ensino
Tentativa – ataque ser independente de plataforma
Ferramentas individuais podem rodar em Unix, Windows
etc
Enfoque em conceitos de ataque que podem funcionar
em diversas plataformas (Novell, VAX, MVS etc)
Serão incluídos links das ferramentas
Utilize por sua conta e risco
Podem causar danos
Recomenda-se o uso em ambientes de teste e
segregados
O uso de algumas ferramentas pode ser ilegal (verifique
com o setor jurídico)
Só utilize as ferramentas com permissão formal

Informações do Underground
Existe muita informação sobre vulnerabilidades de
segurança disponível publicamente
Ferramentas de ataque cada vez mais amigáveis e
fáceis de se distribuir
Script kiddies abusam dessas ferramentas
Ferramentas de qualidade e extremamente
funcionais
Atacante não precisa recriar a roda
Existe debate a respeito – vulnerabilidades de
segurança devem ser publicadas ou devem ser
escondidas até que a efetiva defesa esteja
disponível???

Atacantes tem excelente rede de comunicações
Chat, IRC, web, twitter, grupos informais e até
conferências oficiais (DEFCON)
Comunidade de segurança precisa aprender a
compartilhar informações
Aumento nas atividades de hacktivismo
Interesses políticos
Forma mais normal – alteração de sites Web

• Atacantes estão aprendendo a ganhar dinheiro com código
malicioso
Verifique – aonde tem mais dinheiro, maior é a atividade
dos atacantes
• Como ganhar dinheiro com código malicioso?
Vendendo código para backdoor / bots
http://rootkit.host.sk/antidetection.php para uma lista de
preços
Venda de keystroke loggers para roubo de informações
financeiras
Páginas Web dinâmicas – simulam sites de banco
Phishing
Extorsão
Aluguel de bots (robôs)

• Atacantes alteram site web/ftp e incluem backdoor
• Todos que fazem download das ferramentas são afetados
Nov 2002: tcpdump.org – alteração na libpcap por
backdoor – funcionalidades do tcpdump não foram
alteradas
Março 2003 – gnu.org hackeado e nenhum software
alterado (acredita-se)
Novembro de 2003 – servidores de desenvolvimento
Debian comprometidos
Janeiro 2005: jabber.org comprometido – arquivos de
vários projetos alterados
• Grandes nomes já passaram por isso - ..... Windows update
.......

Introdução
• Atacantes alteram site web e incluem backdoor
• Jan 2013: Site do Banco do Brasil é invadido e tirado do ar por
grupos hackers. Existe suspeita de inclusão de arquivos
maliciosos no mesmo.

Introdução
• Jun 2013: página oficial do governo brasileiro
(www.brasil.gov.br) na Internet, teve seu conteúdo
alterado indevidamente.

Introdução
• Ago 2013: Site do PMD é invadido por hackers pela segunda
semana e cobram de Sergio Cabral explicações sobre
paradeiro de amarildo.

Introdução
• Set 2013: Um dos Sites da Apple destinado a
desenvolvedores foi invadido por um hacker que pode ter
roubado informações pessoais desses profissionais.

Informações do Underground - defesas
• O que fazer para não baixar backdoor?
Checar hashes .... em vários mirrors
md5 e sha-1, pelo menos
md5sum e sha1sum são nativos do linux
md5summer – disponível para win em
md5summer.org
Não colocar software novo em produção - teste
primeiro
Período de testes - tempo valioso para verificar
em sites especializados se há algum problema no
download

Informações do Underground – Golden Age
• Casamento de ferramentas e virus/worms resulta
em poderosas técnicas de hacking
Worms cada vez mais sendo utilizados para carregar
backdoors, password crackers e scanners
• Época de ouro para hacking e cracking –
conseqüentemente é tempo de Segurança da
Informação

Metodologia um Ataque
Fases
Reconhecimento
Scanning
Obtenção de Acesso
Negação de Serviço
Manutenção do Acesso
Cobertura – limpeza de rastros

Reconhecimento
Ajuda o atacante a conhecer a vítima antes
de desferir qualquer pacote ofensivo
Internet é um tesouro de informações de
interesse
Essas informações são públicas – não há crime
Antes de um assalto a banco é boa prática
conhecer a rotina de funcionários, horários
de abertura e fechamento do cofre,
localização de câmeras etc

Reconhecimento
Baixa Tecnologia
Pesquisa na Web
Base de Dados Whois
DNS
Principais Ferramentas de Reconhecimento

Reconhecimento
Baixa Tecnologia
Engenharia Social
Acesso Físico
Dumpster Diving

Reconhecimento
Baixa Tecnologia
Engenharia Social
Ataque a boa fé
Telefone para helpdesk como funcionário
solicitando abertura de conta, e-mail, ramal
VoIP
Simular gerente com problemas de acesso
Simular admin pedindo que usuário troque
senha
Solicitação de acesso remoto
etc....
Kevin Mitnick's. The Art of Deception

Reconhecimento
Baixa Tecnologia
Acesso Físico
Intruso quebra segurança física
Não precisa invadir sistema para obter
informações
Pode plantar backdoors em sistemas
Atacante pode ter acesso a rede local, que
não está protegida por firewall
Roubo de pen drives, CDs, HDs, DVDs e
documentos
Pode utilizar técnicas de engenharia social
em conjunto

Reconhecimento
Dumpster Diving
Coleta de Lixo
Papel
CD, DVD, HD etc
Defesas
Classificação de material controlado
Trituradores de papel, DVDs etc
Procedimento de descarte de mídias e
computadores ((((Ex...caiu na net!!!!!))))
Conscientização

Reconhecimento
Pesquisa na Web
Pesquisa no site da instituição
Posições oficiais sobre determinados assuntos, como
por exemplo software livre e Tecnologias utilizadas
Cultura e linguagem corporativa - dicionários
Nomes de diretores e empregados
Recentes aquisições e fusões
Telefones de contato (war dialing e engenharia social) e
e-mails
Pesquisa em sites relacionados
Parceiros de negócios
Provedores de Internet
Fornecedores

Reconhecimento - Defesas
Limitar e controlar as informações no site da
instituição
Verificar atividade – web spider/crawler
logs apresentam acesso ao site inteiro, página por
página em curto período (5 min)
Pode ser somente um robo do google ou outra
ferramenta de busca
Alguém pode estar fazendo download do site
inteiro

Reconhecimento
Dados públicos
Sites de emprego
Vagas de emprego anunciadas.
Ex. precisa-se de empregado com experiência em
Web Server IIS 5
Sites de jornais – noticias sobre a instituição
Sites de relacionamento – comunidades
relacionadas

Reconhecimento
Pesquisa na Web
CPF, nomes de funcionários - extorsão

Reconhecimento
Pesquisa na Web
Endereço, situação fiscal etc..
É só colocar o CPF
que se verifica o
nome completo.....

Reconhecimento
Pesquisa na Web - GOOGLE
O google possui inúmeras informações que
auxiliam o atacante
Pergunte ao google que ele responde
Grande fonte de recursos
“Ihackstuff” – http://johnny.ihackstuff.com –
site com base de dados de google hacking
(GHDB)
Johnny escreveu “google hacking for
penetration testers”

Reconhecimento
Pesquisa na Web – GOOGLE
Robôs do google visitam os web sites
constantemente – é só verificar os logs
Servidores VNC, servidores Web com backdoors,
servidores com Páginas default
Ex. site:bigbank.com filetype:xls cpf
site:banco.com filetype:asp
site:banco.com .asp
site:banco.com filetype:cgi
site:banco.com filetype:php
allinurl:exchange/logon.asp“

Reconhecimento
Diretiva “site” – procura somente no domínio
Diretiva “link” – procura os sites que tem link para
determinado site
Diretiva “intitle” – mostra páginas que o título bate com
critério de busca
Diretiva “inurl” – mostra páginas em que a URL bate com o
critério de busca
Outros exemplos
“social security number” – nome exato
site:.edu SSN xls –pdf – procurar em sites .edu, planilhas
excel que contenham SSN e não incluir arquivos pdf
kickstart file automatically generated by anaconda
rootpw filetype:cfg
etc.....

Reconhecimento
“cache:www.site.com.br”
Mostra uma versão cacheada da página
Código html é carregado do google
Robôs do google só recebem 101k do código html
e colocam em cache
As imagens vem do site original
Links também vem do site original
Da para ver páginas recentemente removidas

Reconhecimento
Pesquisa na Web – GOOGLE como proxy
Navegar no cache não é uma boa alternativa de
navegação anonima
Google pode ser usado como serviço de tradução,
trabalhando como proxy limitado
Proxy anônimo mais profissional
www.all-nettools.com/toolbox
Possui outras funcionalidades

Reconhecimento
Pesquisa na Web – “Wayback Machine”
http://www.archive.org
Mostra como o site era no passado
Permite que se navegue interativamente no cache
As imagens, se ainda estiverem no site original, serão
carregadas deste. Caso contrário virão do cache

Reconhecimento
• Pesquisa na Web – GOOGLE
Pode-se usar o google para pesquisas associadas a
falhas comuns em servidores web ou de
desenvolvimento
Página web default (apache, IIS, ColdFusion, etc)
Alguns worms usam essas técnicas para localizar
sistemas vulneráveis
Worm saint de Dez de 2004 procurava por
vulnerabilidades em scripts phpBB
• Lista mantida em GHDB – johnny.ihackestuff.com

Reconhecimento - Whois
• Quando se registra um domínio algumas
informações devem ser providas
Endereços
Tel de contato
Servidores de domínio autoritativos
• Essas informações podem ser utilizadas em um
ataque
Engenharia social – nomes de contatos
War dialing – números de telefone
War driving – endereço
Scanning – endereços IP

Pesquisa Whois por blocos IP
• Atacantes buscam blocos de IP designados a alvos em bancos
de dados whois geográficos
• http://www.countryipblocks.net/country-blocks/select-formats/
ARIN (american registry for internet numbers)
http://www.arin.net
RIPE NCC (reseaux IP europeens network coordination
centre)
http://www.ripe.net
LACNIC (latin american and caribbean NIC)
http://lacnic.net
DoDNIC (department of defense NIC)
http://www.nic.mil/dodnic/
• Outros sites uteis para checar informações Whois
http://www.allwhois.com e http://www.uwhois.com

Base Whois
• Bancos de dados Whois estão distribuídos pela
Internet e contém inúmeras informações
Muitos podem ser acessados via web
Alternativamente podem ser utilizados comandos
em implementações Unix
• 1º procure o alvo no InterNIC (international network
information) para determinar o registrar
http://www.internic.net/whois.html
http://registro.br

Pesquisa Whois
• Consulta a site - http://registro.br/cgi-bin/whois/#lresp

Pesquisa Whois
• Whois checkpoint.com
• Server Name: CHECKPOINT.COM
• IP Address: 216.200.241.66
• Registrar: NETWORK SOLUTIONS, LLC.
• Whois Server: whois.networksolutions.com
• Referral URL: http://www.networksolutions.com
• Whois 216.200.241.66
• CHECKPOINT SOFTWARE MFN-B655-216-200-241-64-28
(NET-216-200-241-64-1) 216.200.241.64 - 216.200.241.79
• Abovenet Communications, Inc ABOVENET-5 (NET-216-
200-0-0-1) 216.200.0.0 - 216.200.255.255
• American Registry for Internet Numbers NET216 (NET-
216-0-0-0-0) 216.0.0.0 - 216.255.255.255

Defesa contra Reconhecimento Whois
• Simplesmente conviva com isso ....
A Internet é assim
• Use o nome da organização, telefone e e-mail alias –
admin@organizacao.com.br
É importante que esses dados estejam corretos – caso
contrário, em caso de problemas, vc não será
encontrado
• Pode-se utilizar registros anônimos
www.domainsbyproxy.com
Dificilmente vc será encontrado caso ocorra algum
problema – Ex. seu site atacando outros

Reconhecimento
Base de Dados Whois
Informações de domínio, IP, contatos etc.
Autoridades de registro
www.internic.net/alpha.html,

Reconhecimento
DNS
Servidores de nomes possuem informações úteis
sobre alvos
O objetivo dos atacantes é descobrir o maior número
de IP associados ao domínio vítima
Informações de DNS são públicas
Comando nslookup pode ser usado para interagir com
o DNS Server
Incluído no Windows NT/2000/XP
Algumas implementações Unix não possuem ou
não tem todas as funcionalidades, como por
exemplo transferência de zonas
Outra ferramenta útil - dig

Reconhecimento
DNS
Consulta interativa
root@bt:~# nslookup
www.checkpoint.com
Server: 172.16.49.2
Address: 172.16.49.2#53
Non-authoritative answer:
Name: www.checkpoint.com
Address: 216.200.241.66

Reconhecimento
DNS
Consulta interativa
root@bt:~# nslookup
set type=mx
checkpoint.com
Server: 172.16.49.2
Address: 172.16.49.2#53
checkpoint.com mail exchanger = 12 cale.checkpoint.com.
checkpoint.com mail exchanger = 15 usmail-as.zonelabs.com.

Reconhecimento
DNS
Consulta interativa
set type=ns
checkpoint.com
Server: 172.16.49.2
Address: 172.16.49.2#53
checkpoint.com nameserver = ns2.checkpoint.com.

Reconhecimento
DNS
Consulta interativa
root@bt:~# nslookup ns2.checkpoint.com
Server: 172.16.49.2
Address: 172.16.49.2#53
Name: ns2.checkpoint.com
Address: 208.185.174.141

Reconhecimento
DNS
Transferência de zona – atacante pode determinar
que máquinas são acessíveis pela Internet
Uso do nslookup
c: nslookup
server [IP_do_servidor_autoritativo]
set type=any
ls –d [dominio_alvo]
Lembre-se de utilizar esses comandos nos
servidores primários e secundários

Reconhecimento
DNS
Transferência de zona – em ambientes Unix o
nslookup pode ser utilizado em algumas versões
Algumas versões não suportam o nslookup e
outras não suportam todas as funcionalidades
Nesse caso deve-se utilizar o dig
$ dig @[dns_server_IP] [domínio_alvo] –t AXFR

Reconhecimento
DNS
Transferência de zona
root@bt:~# host -t ns offensive-security.com
offensive-security.com name server ns2.no-ip.com.
root@bt:~# host -l offensive-security.com ns4.no-ip.com
; Transfer failed.
Using domain server:
Name: ns4.no-ip.com
Address: 75.102.60.46#53
/pentest/enumeration/dnsenum# ./dnsenum.pl dominio

Reconhecimento DNS - Defesas
Não permitir transferência de zona com qualquer
sistema
Servidor primário só aceita transferência para o
secundário e terciário etc
Secundário e terciário não transferem para
nenhum sistema
Utilize arquitetura dividida
Servidores externos e internos
Assegure-se que seus servidores DNS externos
passaram por Hardening
Verifique nos logs DNS tentativas de transferência de
zona - tcp porta 53

Reconhecimento
Ferramenta de Reconhecimento
Freeware Sam Spade de Steve Atkins - www.samspade.org
Ping
Pesquisa Whois
Nslookup
Zone transfer
Traceroute
Finger
SMTP VRFY
Web Browser

Reconhecimento
• Ferramenta de Reconhecimento
SamSpade – caracteristicas adicionais
crawl website – faz download do site e cria
espelho local
Faz o mesmo que wget –r
• Scanning pode ser feito por aplicação cliente
ou via web – se web, toda atividade será
lançada pelo site

Reconhecimento
• Diversos sites oferecem pesquisa e ataque a outros sites
• Para a lista completa – www.attackportal.net
• Links para scanning Web (traceroute, ping, port scan,
smurf, testes DoS etc..
www.samspade.org
www.blackcode.com/net-tools/
http://www.tracert.com/trace_exe.html
www.network-tools.com
www.cotse.com
privacy.net/analyze/
www.securityspace.com

Scanning – War Driving
É o processo de procurar redes wireless
desprotegidas
Cada vez mais os próprios usuários criam suas redes
sem fio sem autorização institucional
É necessário um laptop e um cartão wireless
Informações adicionais em www.wardriving.com

Muitos AP wireless sem a mínima preocupação de
segurança
Default SSID
Por default muitos AP respondem a request de SSID
Mesmo os AP configurados para não responder, o
SSID será enviado em texto claro para usuários
autenticados
Lembre-se – SSID não provê segurança
Alguns protocolos de segurança wireless tem
vulnerabilidades significativas (WEP e LEAP)
Mesmo habilitando esses protocolos não é
suficiente

Ferramenta Netstumber
Desenvolvida por Marius Milner
www.netstumber.com
Free, mas sem código fonte
Detecta rede 801.11a/b/g/n
Win (95, 98, ME, 2000 e XP, vista e 7) e alguns mobiles – não
funciona com NT
Pode ser usada com GPS
Alguns problemas com hardware
Ver compatibilidade www.stumber.com/compat/
Muito barulhenta – funciona enviando beacon request
Não detecta AP que não respondem a beacon (broadcast
desabilitado)
Mesmo assim AP pode ser detectado – é só usar outra
ferramenta - Wellnreiter

Ferramenta Netstumber
Busca de access points
Scanning ativo – envio de probes (netstumbler)

Ferramenta Wellenreiter
Desenvolvido por Max Moser, Michael Lauer, Steffen
Kewitz e Martin J. Muench
Excelente sniffer wireless – captura dados no formato
tcpdump
Diferente do netstumber pode funcionar em passivo –
escuta equipamentos que não fazem broadcast de SSID
Funciona em ambiente Linux
www.wellenreiter.net e sourceforge.net/projects/
Analisa protocolo DHCP – consegue identificar o
range de IP alocado a rede alvo

Ferramentas adicionais
Sniffer tradicional pode ser utilizado
Tcpdump, wireshark etc
Sniffer para uso específico em redes wireless –
melhor análise no frame de dados
Kismet – para linux www.kismetwireless.net,
descobre AP passivamente
Airsnort – airsnort.sourceforge.net – utilizado
para crack de WEP

Ataque a cliente wireless
Hotspotter – Ataque a clientes XP
Desenvolvida por Max Moser
Disponível em www.remote-exploit.com
Funciona em Linux e monitora passivamente frames
request probe de clientes XP
Durante o boot, em power safe e em caso de perda de
sinal XP envia frames listando suas redes preferidas
Quando hotspotter vê isso, manda resposta dizendo que
é o AP
Em ambientes públicos........
Cliente se associa, hotspotter fica no controle
Envia IP, faz scan, infecta a vítima com worm, MITM

War Driving – Defesas
• Use SSID aleatório/discretos – evite SSID “banco_tal”
• Use filtro de MAC
Não escala bem e pode ocorrer spoof
• Utilize protocolos de autenticação e criptografia fortes
801.11i é mais seguro
Use TKIP para troca de chaves
AES para criptografia
WPA
• Utilize VPN

Scanning – War Dialers
War Dialing – discam uma sequência de números
telefônicos na tentativa de localizar modems
Demon Dialers – discam para um número para
conduzir ataques de força bruta em senhas
Muitos modems estão desprotegidos, o que facilita a
entrada de atacantes
THC-Scan 2.0 – escrito por Van Hauser
Disponível em http://www.thc.org/release.php
Ferramenta é uma versão atualizada do “ToneLoc

Scanning
War Dialing
THC-Scan 2.0
Ferramentas automatizam a busca – atacante pode
escanear até 1000 tel em uma noite
Acesso interno a rede
Como buscar telefones: google, site da instituição,
Whois, engenharia social, Páginas Amarelas etc
Verificar banners
Quebrar senhas, se existirem
Escanear a rede
Escuta passiva

Defesas - War Dialing
Rígida política de uso de Modems na Instituição
Ter inventário de todos os modems com respectivas
necessidades
Se modems são necessários deve-se fortalecer seus
métodos de autenticação (token, cripto etc)
Conduzir exercícios de war dialing na sua rede
Lista de telefones da Instituição – verificar pela conta
telefônica
Ferramenta comercial de war dialing
Sandstorm´s Phonesweep – www.phonesweep.com

Scanning
Mapeamento de Rede
Atacantes podem fazer mapeamento
Pela Internet
Pela Rede sem fio identificada em War Driving
Pela rede local via modem ou com acesso físico
Nessa fase o atacante tenta conhecer a topologia da
rede
Arquitetura da rede – Firewall, DMZ, IPs, regras
Serviços disponíveis – Http, Ftp, Smtp etc
Sistemas Operacionais em uso

Scanning
Mapeamento de Rede
Atacantes querem entender a topologia da rede alvo
Conectividade com a Internet – DMZ, perímetro,
serviços disponíveis
Redes internas – acessiveis por modems ou
wireless
Disposição dos roteadores e hosts pode expor
vulnerabilidades
Cheops-ng – ferramenta para linux utilizada para
mapeamento de rede, escrita por Brent Priddy
cheops-ng.sourgeforge.net

Scanning
Cheops-ng – BT-Final
Ferramenta de gerencia – GUI
Barulhenta...não é utilizada por atacante tentando
mapeamento stealthy
Facilmente detectável por IDS
Front-end para:
Trace
Ping
O.S fingerprint

Scanning
Mapeamento de Rede
ICMP echo request
Pacotes TCP porta 80
Pacotes TCP ACK
Pacotes UDP portas estranhas
Traceroute
Regras Fw....
etc

Scanning
Mapeamento de Rede
Ferramenta Cheops-ng automatiza (linux)
Faz fingerprint de S.O
http://cheops-ng.sourceforge.net
http://news.netcraft.com/

Cheops-ng Defesas
Desabilitar ICMP incoming
Seus usuários não conseguirão pingar
Isso é ruim???
Desabilitar mensagens outgoing ICMP TTL Exceded
Seus usuários não conseguirão fazer trace
Isso é ruim??
IDS tem assinaturas que procuram ping sweep e
traceroute
Podem acontecer falso positivos

Ping Sweeping
Muitos port scanners testam se um sistema está em
uso antes de fazer scanner
Fazem isso por meio de ping sweeping
Enviam echo request para diversos IPs – se sistema
responde está vivo. Caso contrário está desligado
Alguns port scanners, por default, somente fazem scan
em sistemas em que possam pingar
Pode ser reconfigurado
-P0 informa ao nmap para não pingar o alvo

Scanning – Port Scanning
• TCP e UDP possuem portas
65536 portas cada
• Port Scanner envia pacotes para várias portas para
determinar quais estão em escuta
Encontra tcp 80 – web server
Encontra tcp 23 – telnet server
Encontra udp 53 – DNS server
• Números de portas podem ser encontrados em:
http://www.iana.org/assignments/port-numbers

Port Scanning com NMAP
• Ferramenta muito utilizada com avançadas
capacidades de scanning
• Muito popular na comunidade de segurança
• Desenvolvida por Fyodor
• http://www.insecure.org/nmap
• Nmapfe – versão GUI
• Disponível para linux e Windows

Scanning
Como determinar portas abertas
Atacante pode identificar serviços rodando
Serviços são normalmente associados a portas
www.iana.org/assignments/port-numbers
Ferramenta – nmap www.insecure.org/Nmap

Scanning
Tipos de scan
TCP Connect – 3 way Completo (não é stealth)
TCP Syn – envia Syn e aguarda Syn+Ack (mais
silencioso)
TCP Fin – envia Fin – RST indica porta fechada, sem
resposta, a porta pode estar aberta
TCP Xmas – todas a flags setadas - RST indica
porta fechada, sem resposta, a porta pode estar
aberta
Ack scan
Idle Scanning – faz scan com spoof de origem
UDP scanning
S.O fingerprint

Scanning
Tipos de scan
TCP Connect – 3 way Completo (não é stealth)
Aderente a RFC
Fácil de detectar – cria log no sistema final

Scanning
Tipos de scan
TCP Syn – envia Syn e aguarda Syn+Ack (mais
silencioso, pois não completa 3 Way
Envia Syn, recebe Syn+Ack e envia RST
Stealth e mais rápido – não cria entrada no log
Roteadores, firewalls e IDS detectam

Scanning
Tipos de scan
TCP Ack Scan
Indica se hosts estão vivos e filtros aplicados

Scanning
Idle Scan
Determina portas abertas
(spoof IP do atacante)
Monitora ID do inocente –
campo do header IP (frag)
Inocente deve ser silencioso
(idle) e ter ID incremental ou
previsível (muitos Win)
Scan – atacante envia Syn
com IP origem de inocente –
se porta aberta, inocente
recebe Syn+Ack e envia RST
(incrementa ID). Se porta
fechada inocente recebe RST
e não responde (não
incrementa ID)

Scanning
Scanner de Vulnerabilidades
O que o atacante sabe até agora?
Lista de hosts ativos
Topologia
Lista de portas ativas
Sistemas Operacionais
Regras de filtragem

Scanning
Idéia – automatizar o processo de conexão ao alvo e verificar
se existem vulnerabilidades
Ferramentas tem inventário de vulnerabilidades de sistemas
Erros comuns de configuração
Configurações default
Vulnerabilidades bem conhecidas
Ex. scanner verifica se sistema está rodando versão
vulnerável de SSH
Lista de serviços e versões rodando nos hosts
Exemplos
ISS's Internet Scanner (www.iss.net)
E-eye's Retina Scanner (www.eeye.com)
Nessus (http://www.nessus.org)

Scanning
Nessus
Verifica
Backdoors
CGIs
Cisco
Contas Unix default
Windows
DoS
Problemas SMTP
SNMP
etc.....

Obtenção de Acesso pela Rede
Sniffers
O que é?
Protocolos Vulneráveis
MAC flooding
ARP Poisoning
Captura de Sessão
Contra-medidas
Spoofing e defesas
Ataques a Servidores DNS
Ataques HTTP

Sniffer
Sniffing

Sniffers
• São capazes de capturar informações
– Ethernet permite uso de sniffers – captura de senhas
e informações
– Ethernet – utiliza broadcast no segmento
• Switch limita essa característica

Sniffers
• Capturam pacotes da rede
– Captura em tempo real ou salvando no disco para
posterior análise
– Essenciais para fins de teste e depuração
– Interceptação passiva: difícil de detectar
• Analisadores de Protocolo
– Decodificam os dados binários para um formato mais
legível para o ser humano
• Impacto de segurança
– Muitos protocolos transmitem dados sensíveis às
claras, sem nenhum tipo de proteção especial

Sniffers
• Dependência da Ligação Física
– Hubs:
Todos os pacotes retransmitidos pelo hub em todas as
portas - permite a captura dos dados no mesmo
“segmento”
– Switches:
somente broadcasts e pacotes para o destino
• Modo promíscuo
– placa de rede processa os pacotes, mesmo os que
não sejam destinados para o seu endereço MAC
– Maior quantidade de pacotes a analisar - impacta a
performance
– Os SOs tipicamente requerem privilégios de
administrador para habilitar esse modo

Sniffers
• Tcpdump e windump – freeware
• Snoop – solaris
• Wireshark – free, open
• Snort – free, open e comercial
• Sniffit – free e open
• dsniff - free e open (suite de ferramentas)

Sniffers
• Wireshark
Linux ou Win
Formato libpcap
Entende mais de 500 protocolos
GUI
Cuidado com bugs

Sniffers
• Dsniff
– Suite de ferramentas que facilitam o monitoramento
– Escrita por Dug Song
– Funciona em redes sem fio e cabeadas
– Linux e alguns componentes foram portados para Win32
• Dsniff, mailsnarf, urlsnarf e webspy
– Componentes
• Dsniff, arpspoof, macoff, tcpkill, tcpnice, mailsnarf,
urlsnarf, webspy, DNSSpoof, Webmitm, SSHmitm

Sniffing: contra-medidas
• Usar protocolos “fortes”:
– Criptografia: previne que os dados capturados sejam
analisados (“previne interceptação”)
– Verificação de integridade:
previne ataques de inserção
– Geralmente não é uma opção disponível
• Controlar o acesso ao meio físico
– Rigor na ativação de pontos de rede
– Controle rigoroso de acesso físico ao cabeamento
– Evitar usuários com poderes de admin nos PCs
• Segurança dos Roteadores
– Hosts usados como roteadores devem ser difíceis de serem
invadidos
• Detectores de sniffers
– Eficácia questionável

Alguns protocolos vulneráveis
• Correio: SMTP, POP3, IMAP
• Compartilhamento de arquivos
• – NetBIOS, NFS (e praticamente tudo de RPC)
• Transferência de arquivos: FTP
• Shell remoto:
– RLOGIN, TELNET, RSH
• Controle remoto e sistemas de janelas:
– VNC, X11
• Multimídia
– H.323 (NetMeeting)
• Instant messaging e chat: AIM, IRC, Talk
• Web: HTTP

Mais protocolos
• Resistentes
– controle remoto: pcAnywhere, ICA (Cytrix WinFrame)
– Web: SSL/TLS
– Rede: IPSec (sob certas condições)
– Shell remoto: SSH (não usar versão 1)
– Permite tunelar conexões TCP quaisquer, podendo
tornar X11 e vários outros protocolos mais resistentes

Sniffers especializados
• Decodificam protocolos de rede comuns
– Extraem os dados das aplicações (correio, etc)
– Isolam logins, senhas, credenciais
• ReplayTools
– Remonta as sessões TCP
• DSniff
– Remonta sessões e extrai login/senhas de mais de 30
protocolos comuns
• Mailsnarf
– Captura e-mails e salva em arquivos texto
• Webspy
– Captura URLs e move o browser até elas em tempo
real

Protocolo ARP
• Address Resolution Protocol - RFC 826
– Protocolo de Resolução de Endereços
• Mapeia Endereços IP Û Endereços MAC
– Só faz sentido no âmbito de IP sob Ethernet
– Totalmente sem autenticação
– Crédulo: aceita respostas a perguntas que ele
não fez

Protocolo ARP
• Cache ARP
– Mantém na memória do computador durante
algum tempo (da ordem de minutos) as
associações entre endereços IPs e MACs
– Registra qualquer coisa que lhe seja
mandada, inclusive o que não perguntou.

ARP
• CACHE DE RESOLUÇÃO DE ENDEREÇO
– Broadcast é muito caro para ser usado sempre que uma
máquina queira transmitir um pacote para outra, pois
isto requer que toda máquina processe o pacote de
broadcast
– Para reduzir custos de comunicação, hosts que utilizam
ARP - mantêm um cache das associações de
endereços Internet-ETHERNET obtidos recentemente
– Esse armazenamento evita que um ARP seja utilizado
repetidamente
– Portanto, quando um host recebe um reply de ARP, ele
salva o resultado no seu cache
– Ao transmitir um pacote de ARP, o host olha o seu
cache. Caso o endereço desejado se encontre no
cache, o pacote será enviado diretamente

MAC Flooding
• O switch monta dinamicamente uma
tabela associando portas com endereço
MAC
• Para cada frame que entra, uma linha da
MAC Address/CAM table é acrescentada,
ou se já presente tem seu timer
reinicializado

CAM normal 1/3
Content Addressable Memory

CAM normal 2/3

CAM normal 3/3

CAM overflow 1/2

CAM overflow 2/2

Contra-medidas
• Port secure / MAC based filtering
• Limitar a quantidade de endereços que
uma porta pode aprender
• Especificar os endereços que uma porta
pode aprender
• Administrativamente pode ser um
pesadelo
• Engessa a infraestrutura....

ARP Gratuito – cache poisoning
Config IP Forwarding
enviar pacotes para
GW
4
1
Enviar ARP reply. para
redirecionar traf. Para
atacante
Vitima envia tráfego
destinado Internet
3
2
Sniff o tráfego
Pacotes são
redirecionados do
atacante para GW
5

ARP Spoofing
• Ferramentas
– Hunt
– Dsniff
– Ethercap

Como enganar DNS
Atacante sniff
DNS req. 3
www.banco .com
10.1.1.56
4
Atacante ativa
DNSSpoof
Atacante envia
falsa resp. DNS
Vítima tenta resolver
nome DNS
2
1
www.banco.com
www.banco .com 10.22.12.41
5 Vítima navega no site
do atacante
Site do
atacante
10.1.1.56

Sniffing SSL
2
Atacante ativa
DNSSpoof e webmitm
DNSSpoof envia
DNS resp com
End IP do
atacante
10.1.2.3
Vítima estabelece
conexão SSL sem
saber que atacante
está fazendo proxy
3
1
Webmitm faz proxy da
conexão. Estabelece
Https com servidor e
envia seu cert para
vítima
4
10.1.2.3
5 Vítima navega no site
desejado, mas tráfego
é visto pelo atacante
www .banco. com
10.22.12.41

Detectando Sniffing
Localmente
Ifconfig – Linux
Ifstatus – Solaris
PromiscDetect – Windows NT 4.0 / 2000 / XP / 2003 /
Vista
(http://www.ntsecurity.nu/toolbox/promiscdetect)
Remoto
Sentinel
EtherARP – envia arp request com MAC falso
EtherPing – envia ping

Defesa contra Sniffing
Observar manipulação de ARP
Entradas Arp erradas são sinal de sniffing
Windows e Linux – Arp – a
Pela Rede
ARPWatch - http://www-nrg.ee.lbl.gov/
Monitora a atividade em uma rede ethernet,
mantendo atualizada uma tabela com endereços
ethernet (MAC) e seus respectivos endereços IP
NIDS – com assinaturas específicas para tráfego
ARP

Session Hijacking
Roubo de sessão
Focado em sessões orientadas a aplicação
telnet, ftp rlogin etc..
Ferramentas: Hunt e Ethercap

Procurando uma Sessão
Alice faz telnet em Bob
Rede
Alice Bob
Eva

Capturando a Sessão
Atacante pode monitorar o tráfego e gerar pacotes com
o mesmo número de seqüência
Atacante pode tirar Alice da jogada e fazer alterações
em Bob. Os logs mostram que Alice fez as alterações
Rede
Alice Bob
Ola, eu sou
Alice
Eva
Sniffing + spoofing
Se autenticação é por token, mas sem criptografia o ataque
pode ser realizado

Ack Storms
Se atacante somente seqüestra a sessão, fazendo
spoofing de pacotes, os números de seqüência
nas pontas perdem o sincronismo
Na tentativa de sincronia eles reenviam Syn e Acks
de um lado para o outro – ack storm
Rede
Alice Bob
Ola, eu sou
Alice
Eva

Captura de Sessão e Arp Poisoning
Rede
Alice Bob
IP=1.2.3.4
MAC=BB.BB
Eva
Para evitar ack storm
Eva faz DoS em Alice
Ou, mais interessante, usa Arp cache Poisoning
IP=5.6.7.8
MAC=AA.AA
Arp 5.6.7.8
CC.CC...
Arp 1.2.3.4
DD.DD..
IP=????
MAC=CC.CC..

Captura de Sessão
Ferramentas
Hunt
TTYWatcher
IP-Watcher – comercial
Ethercap – linux, FreeBSD e OpenBSD

Captura de Sessão
Defesas
Tabela Arp fixa em redes sensíveis
Port security
Cada porta física – só 1 MAC
Cada porta física – só MAC específico
Criptografia na sessão e autenticação forte
Não use aplicações inseguras para configurar
equipamentos – telnet ou ssh??
Use ARPWatch na rede
Atenção a msg de erro (browser e ssh)

Spoofing de IP
• Spoofing – tentar se passar por alguém
• Finalidade
– Enganar roteadores
– Enganar firewalls
– Se aproveitar de relações de confiança
– DoS
• 3 tipos principais
– Sabor 1 - Trocar o IP
– Sabor 2 - Spoofing de IP – guessing sequence
number (previsão de número de seqüência)
– Sabor 3 - Spoofing de IP – Source routing

Sabor 1 - Trocar o IP
• Efetuar a troca de IP na interface de rede
• Utilizar gerador de pacotes com IP
• Simples, mas
– Não haverá respostas – o pacote será
roteado para o IP verdadeiro
– Não fecha o three-way handshake

Sabor 1 - Trocar o IP
Alice Bob
Eva
Three-way
handshake não
acontece Syn (ISNa)
Ack (ISNa + 1) Syn (ISNb)
RESET !!!!!

Sabor 2 – Guessing sequence Number
Alice
Bob
O atacante tenta adivinhar o número
de seqüência
Explora relações de confiança - Unix
Variante desse ataque foi usado por
Kevin Mitnick

Sabor 2 – Guessing sequence Number
Numero de seqüência, em alguns casos é
previsível
Atacante tenta prever número de seqüência
futuro
Se acontecer Bob vai pensar que Eve é Alice
Mas Alice não vai dar RESET!!!
DoS em Alice

Sabor 2 - Guessing sequence Number
Eva envia Syn e
rcb Syn-Ack (sem
spoofing)
0
Ack (ISNb + 1)
Alice Bob
DoS Eva
Syn (ISNa)
Ack (ISNa + 1) Syn (ISNb)
1
3
4
2

Sabor 2 - Guessing sequence Number
• Eva tem um canal aberto com Bob
• Eva pode enviar comandos para Bob
• Claro que Eva não recebe msg de Bob
– Msg são enviadas para Alice
– Alice não pode responder ou Resetar
• Eva faz vôo cego mas pode, por um
instante reconfigurar Bob
– Pode reconfigurar /etc/hosts.equiv
– Como detectar essa reconfiguração???

Sabor 3 - Spoofing IP – Source routing
• Utiliza a opção Source routing
• Atacante precisa receber as respostas
• Ataque mais simples que o sabor 2
– Independente de plataforma e não precisa de
relações de confiança
• Pacote parece vir do endereço spoofado
• Todos os pacotes seguem o caminho
• Atacante pode interpretar as respostas
• Ferramenta - netcat

Alice Bob
Eva
Rede entre Eva e Bob
deve suportar source
routing
Rede entre Alice e Eva e
Alice e Bob não precisa
suportar source routing
Rota
1 - Alice
2 – Roteador X
3 – Eva
4 - Roteador Y
5 - Bob
Conteúdo Pacote
Rota
1 - Bob
2 – Roteador Y
3 – Eva
4 - Roteador X
5 - Alice
Conteúdo Pacote

• Atacante consegue completar o three-way
handshake
• Atacante não precisa retransmitir o pacote
para Alice
• Alice não participa do jogo – não há
RESET

Defesa para Spoofing
• Manter número de seqüência imprevisível
– Patch TCP/IP stack
• Cuidado com relações de confiança
– Não estenda atrás de firewall – só com VPN
– Cuidado com Windows e Unix
• Não use autenticação baseada em IP
– Senhas e outras técnicas
• Utilize ssh no lugar dos r-command
• Utilize filtros anti-spoof em firewalls e roteadores

Detalhes sobre DNS
Informações adicionais
Cada consulta DNS tem ID própria
Resposta tem que ter mesmo ID
ID as vezes é previsível
Serv. DNS fazem cache das respostas

DNS cache Poisoning
DNS
Componente crítico da Internet
Mapeia nomes para IP
www.banco.com = 10.0.0.1
Mail Server banco.com
mx.banco.com Internet address = 10.0.0.2
Qual é a importância??
Quase tudo depende de DNS...

DNS cache Poisoning – ID query
Eva
dns.eva.com
dns.legal.com
Alice
www.banco.com
dns.banco.com
1
Atacante pergunta
any.eva.com??
any.eva.com??
3
2
Armazena
query ID
DNS mantido por
Eva
Steps 1 a 3 podem ser repetidos diversas vezes

Eva
dns.eva.com
dns.legal.com
Alice
www.banco.com
www.banco.com?
Resposta Spoof
www.banco.com
=w.x.y.z (DNS ID e
portas previsíveis)
dns.banco.com
4
6
5
www.banco.com?
7
Cache
www.banco.com
=w.x.y.z

Eva
dns.eva.com
Cache
www.banco.com
=w.x.y.z
dns.legal.com
Alice
www.banco.com
dns.banco.com
9
Vamos ao banco
8
www.banco.com? w.x.y.z
10

DNS Poisoning - Defesas
Bind ou Win DNS atualizado - ID query
Utilize um IDS
Configure DNS externos para resolver
consultas recursivas somente para usuários
internos
Usuários externos não devem fazer
consultas recursivas – separar servidores
Previne steps de 1 a 3
Questão de configuração

Analise de Vulnerabilidade

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Analise de Vulnerabilidade

Mais de Cassio Ramos

Analise de Vulnerabilidade