Post on 17-Apr-2015
Criptografia e Criptografia e Segurança de RedesSegurança de Redes
Capítulo 18Capítulo 184ª Edição4ª Edição
por William Stallingspor William Stallings
Slides para palestra por Lawrie Slides para palestra por Lawrie BrownBrown
Traduzido por Otavio MoreiraTraduzido por Otavio Moreira
Capítulo 18 – Capítulo 18 – IntrusosIntrusos
Eles concordaram que Graham deveria definir o Eles concordaram que Graham deveria definir o teste para Charles Mabledene. Nada mais, nada teste para Charles Mabledene. Nada mais, nada menos do que Dragon deveria obter o código de menos do que Dragon deveria obter o código de Stern. Se ele tivesse a ‘entrada’ em Utting, que Stern. Se ele tivesse a ‘entrada’ em Utting, que afirmou ter, isso deveria ser possível, e somente afirmou ter, isso deveria ser possível, e somente a lealdade a Central de Moscou impediria isso. a lealdade a Central de Moscou impediria isso. Se ele tivesse a chave para o código, provaria Se ele tivesse a chave para o código, provaria sua lealdade à Central de Londres sem sombra sua lealdade à Central de Londres sem sombra de dúvida.de dúvida.——Talking to Strange Men, Talking to Strange Men, Ruth RendellRuth Rendell
IntrusosIntrusos Uma questão importante para sistemas em Uma questão importante para sistemas em
rede são acessos hostis ou indesejadosrede são acessos hostis ou indesejados Seja via rede ou localSeja via rede ou local Podemos indentificar os intrusos por Podemos indentificar os intrusos por
classes:classes: Mascarado (masquerader)Mascarado (masquerader) Infrator (misfeasor)Infrator (misfeasor) Usuário clandestino (clandestine user)Usuário clandestino (clandestine user)
Com níveis de competência diferentesCom níveis de competência diferentes
IntrusosIntrusos Claramente um problema com publicidade Claramente um problema com publicidade
crescentecrescente de “Wily Hacker” em 1986/87de “Wily Hacker” em 1986/87 to clearly escalating CERT statsto clearly escalating CERT stats
Podem ser benignos, mas continuam consumindo Podem ser benignos, mas continuam consumindo recursosrecursos
Podem utilizar sistema comprometido para lançar Podem utilizar sistema comprometido para lançar outros ataquesoutros ataques
Consciência dos invasores levou ao Consciência dos invasores levou ao desenvolvimento da CERTdesenvolvimento da CERT
Técnicas de IntrusãoTécnicas de Intrusão
O objetivo é obter acesso e/ou aumentar O objetivo é obter acesso e/ou aumentar privilégios em um sistemaprivilégios em um sistema
Metodologia básica de ataque Metodologia básica de ataque Adquiri um alvo e recolher informações Adquiri um alvo e recolher informações Acesso inicial Acesso inicial Aumentar os privilégiosAumentar os privilégios covering tracks (cobrindo faixas?)covering tracks (cobrindo faixas?)
O objetivo principal é ,geralmente, a O objetivo principal é ,geralmente, a aquisição de senhas.aquisição de senhas.
Então exerce o direito do proprietárioEntão exerce o direito do proprietário
Adivinhando SenhasAdivinhando Senhas
Um dos ataques mais comunsUm dos ataques mais comuns Invasor conhece um login (de email/web page etc) Invasor conhece um login (de email/web page etc) Depois tenta adivinhar uma senha para eleDepois tenta adivinhar uma senha para ele
defaults, palavras pequenas, palavras muito procuradasdefaults, palavras pequenas, palavras muito procuradas Informações do usuário (variações no nome, aniversário, Informações do usuário (variações no nome, aniversário,
telefone, interesses/palavras comuns) telefone, interesses/palavras comuns) Tentar exaustivamente todas as senhas possíveisTentar exaustivamente todas as senhas possíveis
Checar pelo login ou contra arquivos de senha roubados Checar pelo login ou contra arquivos de senha roubados Sucesso depende da senha escolhida pelo usuárioSucesso depende da senha escolhida pelo usuário Inquéritos mostram que muitos usuários escolhem mal Inquéritos mostram que muitos usuários escolhem mal
Capturando SenhaCapturando Senha Outro ataque envolve captura de senha Outro ataque envolve captura de senha
Fazer verificação de tráfico pra ver quando a senha é digitada Fazer verificação de tráfico pra ver quando a senha é digitada Usar um programa cavalo de tróia para coletarUsar um programa cavalo de tróia para coletar Monitorar uma rede insegura de login Monitorar uma rede insegura de login
• ex. telnet, FTP, web, emailex. telnet, FTP, web, email Extrair informações gravadas depois de obter êxito no login Extrair informações gravadas depois de obter êxito no login
(histórico da web/cache, último número discado etc) (histórico da web/cache, último número discado etc)
Usando login/senha válidos podemos fingir ser um Usando login/senha válidos podemos fingir ser um usuáriousuário
Usuários precisam ser educados a utilizar precauções Usuários precisam ser educados a utilizar precauções adequadasadequadas
Detecção de IntrusãoDetecção de Intrusão Inevitavelmente haverá falhas de seguraçaInevitavelmente haverá falhas de seguraça Por isso precisamos também detectar as Por isso precisamos também detectar as
intrusões então podemos:intrusões então podemos: Bloquear se a detecção for rápidaBloquear se a detecção for rápida Agir como uma proteçãoAgir como uma proteção Coletar informações para aperfeiçoar a segurançaColetar informações para aperfeiçoar a segurança
Presumir que o intruso terá o comportamento Presumir que o intruso terá o comportamento diferente do usuário legítimodiferente do usuário legítimo Mas haveria distinção imperfeita entre eles(?)Mas haveria distinção imperfeita entre eles(?)
Abordagens para Detecção de Abordagens para Detecção de IntrusãoIntrusão
Detecção estatística de anomaliaDetecção estatística de anomalia Detecção de limiarDetecção de limiar Baseada em perfilBaseada em perfil
Detecção baseada em regrasDetecção baseada em regras Detecção de anomaliaDetecção de anomalia Identificação de penetraçãoIdentificação de penetração
Registros de AuditoriaRegistros de Auditoria Ferramenta fundamental para a Detecção de Ferramenta fundamental para a Detecção de
IntrusãoIntrusão Registros de auditoria navitosRegistros de auditoria navitos
Parte de todo SO multiusuário comumParte de todo SO multiusuário comum Já presente para usoJá presente para uso Talvez não tenha a informação requerida em um Talvez não tenha a informação requerida em um
formato convenienteformato conveniente Registros de auditoria específicos para Registros de auditoria específicos para
detecçãodetecção Criado especificamente para coletar informações Criado especificamente para coletar informações
requeridasrequeridas Custo de um overhead extra no sistemaCusto de um overhead extra no sistema
Detecção Estatística de Detecção Estatística de AnomaliaAnomalia
Análise de limiarAnálise de limiar Conta ocorrências de um evento específico ao longo do Conta ocorrências de um evento específico ao longo do
tempotempo Se exceder um valor razoável supõe-se que seja Se exceder um valor razoável supõe-se que seja
intrusãointrusão Sozinho é um detector imperfeito e ineficazSozinho é um detector imperfeito e ineficaz
Baseada em perfilBaseada em perfil Caracterizado no comportamento passado dos usuáriosCaracterizado no comportamento passado dos usuários Detectar desvios significativos a partir destesDetectar desvios significativos a partir destes Perfil normalmente possui multiparâmetrosPerfil normalmente possui multiparâmetros
Análise dos Registros de Análise dos Registros de AuditoriaAuditoria
Fundamento das estatísticas de abordagemFundamento das estatísticas de abordagem Analize dos registros para obter métricas ao longo Analize dos registros para obter métricas ao longo
do tempodo tempo contador, medidor, temporizador de intervalo, utlização de contador, medidor, temporizador de intervalo, utlização de
recursosrecursos
Utiliza vários testes para determinar se o Utiliza vários testes para determinar se o comportamento corrente é aceitávelcomportamento corrente é aceitável média e desvio padrão, multivariado, processo de Markov, média e desvio padrão, multivariado, processo de Markov,
séries de tempo, operacionalséries de tempo, operacional
principal vantagem é que nenhum conhecimento principal vantagem é que nenhum conhecimento prévio é utilizadoprévio é utilizado
Detecção de Intrusão Detecção de Intrusão Baseada em RegrasBaseada em Regras
Observa eventos no sistema e aplica regras Observa eventos no sistema e aplica regras para decidir se é atividade suspeita ou nãopara decidir se é atividade suspeita ou não
Detecção de anomalia baseada em regrasDetecção de anomalia baseada em regras Analisa registros históricos de auditoria para Analisa registros históricos de auditoria para
identificar habitos de consumos e geração identificar habitos de consumos e geração automática de regras por elesautomática de regras por eles
Então observa o comportamento atua e compara Então observa o comportamento atua e compara com as regras para ver se confirmacom as regras para ver se confirma
Como a detecção de anomalia por estatística não Como a detecção de anomalia por estatística não requer conhecimento prévio das falhas de requer conhecimento prévio das falhas de segurançasegurança
Detecção de Intrusão Detecção de Intrusão Baseada em RegrasBaseada em Regras
Identificação de Penetração Baeada em Identificação de Penetração Baeada em RegrasRegras Usa tecnologia de um sistema especialistaUsa tecnologia de um sistema especialista Com as regras identifica penetração conhecida, pontos Com as regras identifica penetração conhecida, pontos
fracos, ou comportamento suspeitofracos, ou comportamento suspeito Compara os registros de auditoria ou os estados com Compara os registros de auditoria ou os estados com
as regrasas regras Regras normalmente específicas para máquina e SORegras normalmente específicas para máquina e SO Regras geralmente são criadas por especialista que Regras geralmente são criadas por especialista que
são entrevistados e codificados com o conhecimento são entrevistados e codificados com o conhecimento dos adminstradores de segurançados adminstradores de segurança
A qualidade depende do quão bem isso é feitoA qualidade depende do quão bem isso é feito
O Mito da Probabilidade de O Mito da Probabilidade de BaseBase
Para que tenha um uso prático um sistema de Para que tenha um uso prático um sistema de detecção de intrusão precisa detectar uma detecção de intrusão precisa detectar uma porcentagem substancial de intrusões com poucos porcentagem substancial de intrusões com poucos alarmes falsosalarmes falsos Se poucas intrusões forem detectadas-> falso sentido de Se poucas intrusões forem detectadas-> falso sentido de
segurançasegurança Se tiver grande quantidade de alarmes falsos -> ignora / Se tiver grande quantidade de alarmes falsos -> ignora /
perda de tempoperda de tempo
Isto é muito difícil de fazerIsto é muito difícil de fazer Existem sistemas que não possuem um bom Existem sistemas que não possuem um bom
registroregistro
Detecção de Intrusão Detecção de Intrusão DistribuídaDistribuída
Tradicionalmente focalizado em um único sistemaTradicionalmente focalizado em um único sistema Mas tipicamente necessita defender um sistema em Mas tipicamente necessita defender um sistema em
rederede Defesa mais eficaz com trabalho em equipe na Defesa mais eficaz com trabalho em equipe na
detecção de intrusõesdetecção de intrusões QuestõesQuestões
Lidar com formatos variados de registros de auditoriaLidar com formatos variados de registros de auditoria Integridade e confidencialidade desses dados em redeIntegridade e confidencialidade desses dados em rede Arquitetura centralizada ou descentralizadaArquitetura centralizada ou descentralizada
Distributed Intrusion Detection - Distributed Intrusion Detection - ArchitectureArchitecture
Monitor de LAN
Módulo agente
Roteador
Gerenciador central
Módulo gerenciador
Detecção de Intrusão Distribuída Detecção de Intrusão Distribuída – Implementação do Agente– Implementação do Agente
Informações de auditoria do SO
Filtro
Registro de auditoria do host
Lógica
Atividade observávelAssinaturasSessões dignas de atenção
Modificações
Máquina de
protocolo do agente
Alertas Consulta/ resposta
Gerenciador central
HoneypotsHoneypots
Sistemas de armadilha, para atrair atacantesSistemas de armadilha, para atrair atacantes Desviar um atacante do acesso a sistemas críticosDesviar um atacante do acesso a sistemas críticos Coletar informações sobre a atividade do atacanteColetar informações sobre a atividade do atacante Encorajar o atacante a permanecer no sistema por Encorajar o atacante a permanecer no sistema por
tempo o suficiente para que os administradores tempo o suficiente para que os administradores respondamrespondam
Recheados com informações falsasRecheados com informações falsas Preparado para coletar informçoes detalhadas Preparado para coletar informçoes detalhadas
das atividades do atacantedas atividades do atacante Sistemas únicos ou compatilhados em redeSistemas únicos ou compatilhados em rede Padrões Intrusion Detection Working Group do Padrões Intrusion Detection Working Group do
IETFIETF
Gerenciamento de SenhasGerenciamento de Senhas Primeira linha de defesa contra intrusosPrimeira linha de defesa contra intrusos O usuário deve fornecer ambos:O usuário deve fornecer ambos:
login – determina os privilégios desse usuáriologin – determina os privilégios desse usuário senha – para identifica-losenha – para identifica-lo
Senhas freqüentemente são encriptadas antes de Senhas freqüentemente são encriptadas antes de serem armazenadasserem armazenadas Unix usa multiplo DES (variando com sal)Unix usa multiplo DES (variando com sal) Sistemas mais recentes utilizam criptografia com Sistemas mais recentes utilizam criptografia com
função de hashfunção de hash Deve proteger o arquivo de senha no sistemaDeve proteger o arquivo de senha no sistema
Estudos & SenhasEstudos & Senhas
Purdue 1992 – muitas senhas curtasPurdue 1992 – muitas senhas curtas Klein 1990 – muitas senhas descobertasKlein 1990 – muitas senhas descobertas Conclusão é que os usuários escolhem Conclusão é que os usuários escolhem
freqüentemente senhar fracasfreqüentemente senhar fracas Precisamos de técnicas para combater Precisamos de técnicas para combater
issoisso
Gerenciamento de Senhas – Gerenciamento de Senhas – Treinamento do UsuárioTreinamento do Usuário
Pode usar política e bom treinamento para os Pode usar política e bom treinamento para os usuários usuários
Ensinar a importância de boas senhasEnsinar a importância de boas senhas Dar uma orientação para escolher senhas Dar uma orientação para escolher senhas
Mínimo de 6 caracteres (>6) Mínimo de 6 caracteres (>6) Requer uma mistura de letras minúsculas e letras Requer uma mistura de letras minúsculas e letras
maiúsculas, números e caracteres especiais maiúsculas, números e caracteres especiais Não utilizar palavras do dicionárioNão utilizar palavras do dicionário
Mas suscetível a ser ignorado por muitos Mas suscetível a ser ignorado por muitos usuáriosusuários
Gerenciamento de Senhas – Gerenciamento de Senhas – Senhas Geradas Pelo Senhas Geradas Pelo
ComputadorComputador Deixa o computador criar as senhasDeixa o computador criar as senhas Se for muito aleatoria e o usuário não conseguir Se for muito aleatoria e o usuário não conseguir
memorizar, ele tera que escrever (síndrome da memorizar, ele tera que escrever (síndrome da etiqueta adesiva)etiqueta adesiva)
Mesmo que seja pronunciável pode não ser difícil Mesmo que seja pronunciável pode não ser difícil de lembrarde lembrar
Possui histórico de fraca aceitação pelos usuáriosPossui histórico de fraca aceitação pelos usuários FIPS PUB 181 um dos melhores geradoresFIPS PUB 181 um dos melhores geradores
Possui ambos descrição e código-fontePossui ambos descrição e código-fonte Geração de palavras pela concatenação de sílabas Geração de palavras pela concatenação de sílabas
pronunciáveis geradas aleatoriamentepronunciáveis geradas aleatoriamente
Gerenciamento de Senhas – Gerenciamento de Senhas – Verificação Reativa de Verificação Reativa de
SenhasSenhas Reativamente roda ferramentas para Reativamente roda ferramentas para
descobrir senhas descobrir senhas Note que existem bons dicionários para Note que existem bons dicionários para
qualquer idiomaqualquer idioma Senhas quebradas são desabilitadasSenhas quebradas são desabilitadas Mas é um recurso intensivoMas é um recurso intensivo Senhas ruims são vuneráveis até serem Senhas ruims são vuneráveis até serem
encontradasencontradas
Gerenciamento de senhas – Gerenciamento de senhas – Verificação Proativa de Verificação Proativa de
SenhasSenhas Técnica mais promissora para maior Técnica mais promissora para maior
segurança das senhassegurança das senhas O usuário pode escolher sua própria senhaO usuário pode escolher sua própria senha Mas o sistema verifica se a senha é aceitávelMas o sistema verifica se a senha é aceitável
Execução de regras simples(ver slides anteriores)Execução de regras simples(ver slides anteriores) Compara as senhas ruins com um dicionárioCompara as senhas ruins com um dicionário Usa algorítmos (modelo de Markov ou filtro de Usa algorítmos (modelo de Markov ou filtro de
Bloom) para detectar escolhas ruins.Bloom) para detectar escolhas ruins.
RESUMORESUMO
considerações:considerações: Problema de intrusãoProblema de intrusão Detecção de intrusão(estatística & baseada Detecção de intrusão(estatística & baseada
em regras)em regras) Gerenciamento de senhaGerenciamento de senha