Criptografia e Criptografia e Segurança de RedesSegurança de Redes

Capítulo 18Capítulo 184ª Edição4ª Edição

por William Stallingspor William Stallings

Slides para palestra por Lawrie Slides para palestra por Lawrie BrownBrown

Traduzido por Otavio MoreiraTraduzido por Otavio Moreira

Capítulo 18 – Capítulo 18 – IntrusosIntrusos

Eles concordaram que Graham deveria definir o Eles concordaram que Graham deveria definir o teste para Charles Mabledene. Nada mais, nada teste para Charles Mabledene. Nada mais, nada menos do que Dragon deveria obter o código de menos do que Dragon deveria obter o código de Stern. Se ele tivesse a ‘entrada’ em Utting, que Stern. Se ele tivesse a ‘entrada’ em Utting, que afirmou ter, isso deveria ser possível, e somente afirmou ter, isso deveria ser possível, e somente a lealdade a Central de Moscou impediria isso. a lealdade a Central de Moscou impediria isso. Se ele tivesse a chave para o código, provaria Se ele tivesse a chave para o código, provaria sua lealdade à Central de Londres sem sombra sua lealdade à Central de Londres sem sombra de dúvida.de dúvida.——Talking to Strange Men, Talking to Strange Men, Ruth RendellRuth Rendell

IntrusosIntrusos Uma questão importante para sistemas em Uma questão importante para sistemas em

rede são acessos hostis ou indesejadosrede são acessos hostis ou indesejados Seja via rede ou localSeja via rede ou local Podemos indentificar os intrusos por Podemos indentificar os intrusos por

classes:classes: Mascarado (masquerader)Mascarado (masquerader) Infrator (misfeasor)Infrator (misfeasor) Usuário clandestino (clandestine user)Usuário clandestino (clandestine user)

Com níveis de competência diferentesCom níveis de competência diferentes

IntrusosIntrusos Claramente um problema com publicidade Claramente um problema com publicidade

crescentecrescente de “Wily Hacker” em 1986/87de “Wily Hacker” em 1986/87 to clearly escalating CERT statsto clearly escalating CERT stats

Podem ser benignos, mas continuam consumindo Podem ser benignos, mas continuam consumindo recursosrecursos

Podem utilizar sistema comprometido para lançar Podem utilizar sistema comprometido para lançar outros ataquesoutros ataques

Consciência dos invasores levou ao Consciência dos invasores levou ao desenvolvimento da CERTdesenvolvimento da CERT

Técnicas de IntrusãoTécnicas de Intrusão

O objetivo é obter acesso e/ou aumentar O objetivo é obter acesso e/ou aumentar privilégios em um sistemaprivilégios em um sistema

Metodologia básica de ataque Metodologia básica de ataque Adquiri um alvo e recolher informações Adquiri um alvo e recolher informações Acesso inicial Acesso inicial Aumentar os privilégiosAumentar os privilégios covering tracks (cobrindo faixas?)covering tracks (cobrindo faixas?)

O objetivo principal é ,geralmente, a O objetivo principal é ,geralmente, a aquisição de senhas.aquisição de senhas.

Então exerce o direito do proprietárioEntão exerce o direito do proprietário

Adivinhando SenhasAdivinhando Senhas

Um dos ataques mais comunsUm dos ataques mais comuns Invasor conhece um login (de email/web page etc) Invasor conhece um login (de email/web page etc) Depois tenta adivinhar uma senha para eleDepois tenta adivinhar uma senha para ele

defaults, palavras pequenas, palavras muito procuradasdefaults, palavras pequenas, palavras muito procuradas Informações do usuário (variações no nome, aniversário, Informações do usuário (variações no nome, aniversário,

telefone, interesses/palavras comuns) telefone, interesses/palavras comuns) Tentar exaustivamente todas as senhas possíveisTentar exaustivamente todas as senhas possíveis

Checar pelo login ou contra arquivos de senha roubados Checar pelo login ou contra arquivos de senha roubados Sucesso depende da senha escolhida pelo usuárioSucesso depende da senha escolhida pelo usuário Inquéritos mostram que muitos usuários escolhem mal Inquéritos mostram que muitos usuários escolhem mal

Capturando SenhaCapturando Senha Outro ataque envolve captura de senha Outro ataque envolve captura de senha

Fazer verificação de tráfico pra ver quando a senha é digitada Fazer verificação de tráfico pra ver quando a senha é digitada Usar um programa cavalo de tróia para coletarUsar um programa cavalo de tróia para coletar Monitorar uma rede insegura de login Monitorar uma rede insegura de login

• ex. telnet, FTP, web, emailex. telnet, FTP, web, email Extrair informações gravadas depois de obter êxito no login Extrair informações gravadas depois de obter êxito no login

(histórico da web/cache, último número discado etc) (histórico da web/cache, último número discado etc)

Usando login/senha válidos podemos fingir ser um Usando login/senha válidos podemos fingir ser um usuáriousuário

Usuários precisam ser educados a utilizar precauções Usuários precisam ser educados a utilizar precauções adequadasadequadas

Detecção de IntrusãoDetecção de Intrusão Inevitavelmente haverá falhas de seguraçaInevitavelmente haverá falhas de seguraça Por isso precisamos também detectar as Por isso precisamos também detectar as

intrusões então podemos:intrusões então podemos: Bloquear se a detecção for rápidaBloquear se a detecção for rápida Agir como uma proteçãoAgir como uma proteção Coletar informações para aperfeiçoar a segurançaColetar informações para aperfeiçoar a segurança

Presumir que o intruso terá o comportamento Presumir que o intruso terá o comportamento diferente do usuário legítimodiferente do usuário legítimo Mas haveria distinção imperfeita entre eles(?)Mas haveria distinção imperfeita entre eles(?)

Abordagens para Detecção de Abordagens para Detecção de IntrusãoIntrusão

Detecção estatística de anomaliaDetecção estatística de anomalia Detecção de limiarDetecção de limiar Baseada em perfilBaseada em perfil

Detecção baseada em regrasDetecção baseada em regras Detecção de anomaliaDetecção de anomalia Identificação de penetraçãoIdentificação de penetração

Registros de AuditoriaRegistros de Auditoria Ferramenta fundamental para a Detecção de Ferramenta fundamental para a Detecção de

IntrusãoIntrusão Registros de auditoria navitosRegistros de auditoria navitos

Parte de todo SO multiusuário comumParte de todo SO multiusuário comum Já presente para usoJá presente para uso Talvez não tenha a informação requerida em um Talvez não tenha a informação requerida em um

formato convenienteformato conveniente Registros de auditoria específicos para Registros de auditoria específicos para

detecçãodetecção Criado especificamente para coletar informações Criado especificamente para coletar informações

requeridasrequeridas Custo de um overhead extra no sistemaCusto de um overhead extra no sistema

Detecção Estatística de Detecção Estatística de AnomaliaAnomalia

Análise de limiarAnálise de limiar Conta ocorrências de um evento específico ao longo do Conta ocorrências de um evento específico ao longo do

tempotempo Se exceder um valor razoável supõe-se que seja Se exceder um valor razoável supõe-se que seja

intrusãointrusão Sozinho é um detector imperfeito e ineficazSozinho é um detector imperfeito e ineficaz

Baseada em perfilBaseada em perfil Caracterizado no comportamento passado dos usuáriosCaracterizado no comportamento passado dos usuários Detectar desvios significativos a partir destesDetectar desvios significativos a partir destes Perfil normalmente possui multiparâmetrosPerfil normalmente possui multiparâmetros

Análise dos Registros de Análise dos Registros de AuditoriaAuditoria

Fundamento das estatísticas de abordagemFundamento das estatísticas de abordagem Analize dos registros para obter métricas ao longo Analize dos registros para obter métricas ao longo

do tempodo tempo contador, medidor, temporizador de intervalo, utlização de contador, medidor, temporizador de intervalo, utlização de

recursosrecursos

Utiliza vários testes para determinar se o Utiliza vários testes para determinar se o comportamento corrente é aceitávelcomportamento corrente é aceitável média e desvio padrão, multivariado, processo de Markov, média e desvio padrão, multivariado, processo de Markov,

séries de tempo, operacionalséries de tempo, operacional

principal vantagem é que nenhum conhecimento principal vantagem é que nenhum conhecimento prévio é utilizadoprévio é utilizado

Detecção de Intrusão Detecção de Intrusão Baseada em RegrasBaseada em Regras

Observa eventos no sistema e aplica regras Observa eventos no sistema e aplica regras para decidir se é atividade suspeita ou nãopara decidir se é atividade suspeita ou não

Detecção de anomalia baseada em regrasDetecção de anomalia baseada em regras Analisa registros históricos de auditoria para Analisa registros históricos de auditoria para

identificar habitos de consumos e geração identificar habitos de consumos e geração automática de regras por elesautomática de regras por eles

Então observa o comportamento atua e compara Então observa o comportamento atua e compara com as regras para ver se confirmacom as regras para ver se confirma

Como a detecção de anomalia por estatística não Como a detecção de anomalia por estatística não requer conhecimento prévio das falhas de requer conhecimento prévio das falhas de segurançasegurança

Detecção de Intrusão Detecção de Intrusão Baseada em RegrasBaseada em Regras

Identificação de Penetração Baeada em Identificação de Penetração Baeada em RegrasRegras Usa tecnologia de um sistema especialistaUsa tecnologia de um sistema especialista Com as regras identifica penetração conhecida, pontos Com as regras identifica penetração conhecida, pontos

fracos, ou comportamento suspeitofracos, ou comportamento suspeito Compara os registros de auditoria ou os estados com Compara os registros de auditoria ou os estados com

as regrasas regras Regras normalmente específicas para máquina e SORegras normalmente específicas para máquina e SO Regras geralmente são criadas por especialista que Regras geralmente são criadas por especialista que

são entrevistados e codificados com o conhecimento são entrevistados e codificados com o conhecimento dos adminstradores de segurançados adminstradores de segurança

A qualidade depende do quão bem isso é feitoA qualidade depende do quão bem isso é feito

O Mito da Probabilidade de O Mito da Probabilidade de BaseBase

Para que tenha um uso prático um sistema de Para que tenha um uso prático um sistema de detecção de intrusão precisa detectar uma detecção de intrusão precisa detectar uma porcentagem substancial de intrusões com poucos porcentagem substancial de intrusões com poucos alarmes falsosalarmes falsos Se poucas intrusões forem detectadas-> falso sentido de Se poucas intrusões forem detectadas-> falso sentido de

segurançasegurança Se tiver grande quantidade de alarmes falsos -> ignora / Se tiver grande quantidade de alarmes falsos -> ignora /

perda de tempoperda de tempo

Isto é muito difícil de fazerIsto é muito difícil de fazer Existem sistemas que não possuem um bom Existem sistemas que não possuem um bom

registroregistro

Detecção de Intrusão Detecção de Intrusão DistribuídaDistribuída

Tradicionalmente focalizado em um único sistemaTradicionalmente focalizado em um único sistema Mas tipicamente necessita defender um sistema em Mas tipicamente necessita defender um sistema em

rederede Defesa mais eficaz com trabalho em equipe na Defesa mais eficaz com trabalho em equipe na

detecção de intrusõesdetecção de intrusões QuestõesQuestões

Lidar com formatos variados de registros de auditoriaLidar com formatos variados de registros de auditoria Integridade e confidencialidade desses dados em redeIntegridade e confidencialidade desses dados em rede Arquitetura centralizada ou descentralizadaArquitetura centralizada ou descentralizada

Distributed Intrusion Detection - Distributed Intrusion Detection - ArchitectureArchitecture

Monitor de LAN

Módulo agente

Roteador

Gerenciador central

Módulo gerenciador

Detecção de Intrusão Distribuída Detecção de Intrusão Distribuída – Implementação do Agente– Implementação do Agente

Informações de auditoria do SO

Filtro

Registro de auditoria do host

Lógica

Atividade observávelAssinaturasSessões dignas de atenção

Modificações

Máquina de

protocolo do agente

Alertas Consulta/ resposta

Gerenciador central

HoneypotsHoneypots

Sistemas de armadilha, para atrair atacantesSistemas de armadilha, para atrair atacantes Desviar um atacante do acesso a sistemas críticosDesviar um atacante do acesso a sistemas críticos Coletar informações sobre a atividade do atacanteColetar informações sobre a atividade do atacante Encorajar o atacante a permanecer no sistema por Encorajar o atacante a permanecer no sistema por

tempo o suficiente para que os administradores tempo o suficiente para que os administradores respondamrespondam

Recheados com informações falsasRecheados com informações falsas Preparado para coletar informçoes detalhadas Preparado para coletar informçoes detalhadas

das atividades do atacantedas atividades do atacante Sistemas únicos ou compatilhados em redeSistemas únicos ou compatilhados em rede Padrões Intrusion Detection Working Group do Padrões Intrusion Detection Working Group do

IETFIETF

Gerenciamento de SenhasGerenciamento de Senhas Primeira linha de defesa contra intrusosPrimeira linha de defesa contra intrusos O usuário deve fornecer ambos:O usuário deve fornecer ambos:

login – determina os privilégios desse usuáriologin – determina os privilégios desse usuário senha – para identifica-losenha – para identifica-lo

Senhas freqüentemente são encriptadas antes de Senhas freqüentemente são encriptadas antes de serem armazenadasserem armazenadas Unix usa multiplo DES (variando com sal)Unix usa multiplo DES (variando com sal) Sistemas mais recentes utilizam criptografia com Sistemas mais recentes utilizam criptografia com

função de hashfunção de hash Deve proteger o arquivo de senha no sistemaDeve proteger o arquivo de senha no sistema

Estudos & SenhasEstudos & Senhas

Purdue 1992 – muitas senhas curtasPurdue 1992 – muitas senhas curtas Klein 1990 – muitas senhas descobertasKlein 1990 – muitas senhas descobertas Conclusão é que os usuários escolhem Conclusão é que os usuários escolhem

freqüentemente senhar fracasfreqüentemente senhar fracas Precisamos de técnicas para combater Precisamos de técnicas para combater

issoisso

Gerenciamento de Senhas – Gerenciamento de Senhas – Treinamento do UsuárioTreinamento do Usuário

Pode usar política e bom treinamento para os Pode usar política e bom treinamento para os usuários usuários

Ensinar a importância de boas senhasEnsinar a importância de boas senhas Dar uma orientação para escolher senhas Dar uma orientação para escolher senhas

Mínimo de 6 caracteres (>6) Mínimo de 6 caracteres (>6) Requer uma mistura de letras minúsculas e letras Requer uma mistura de letras minúsculas e letras

maiúsculas, números e caracteres especiais maiúsculas, números e caracteres especiais Não utilizar palavras do dicionárioNão utilizar palavras do dicionário

Mas suscetível a ser ignorado por muitos Mas suscetível a ser ignorado por muitos usuáriosusuários

Gerenciamento de Senhas – Gerenciamento de Senhas – Senhas Geradas Pelo Senhas Geradas Pelo

ComputadorComputador Deixa o computador criar as senhasDeixa o computador criar as senhas Se for muito aleatoria e o usuário não conseguir Se for muito aleatoria e o usuário não conseguir

memorizar, ele tera que escrever (síndrome da memorizar, ele tera que escrever (síndrome da etiqueta adesiva)etiqueta adesiva)

Mesmo que seja pronunciável pode não ser difícil Mesmo que seja pronunciável pode não ser difícil de lembrarde lembrar

Possui histórico de fraca aceitação pelos usuáriosPossui histórico de fraca aceitação pelos usuários FIPS PUB 181 um dos melhores geradoresFIPS PUB 181 um dos melhores geradores

Possui ambos descrição e código-fontePossui ambos descrição e código-fonte Geração de palavras pela concatenação de sílabas Geração de palavras pela concatenação de sílabas

pronunciáveis geradas aleatoriamentepronunciáveis geradas aleatoriamente

Gerenciamento de Senhas – Gerenciamento de Senhas – Verificação Reativa de Verificação Reativa de

SenhasSenhas Reativamente roda ferramentas para Reativamente roda ferramentas para

descobrir senhas descobrir senhas Note que existem bons dicionários para Note que existem bons dicionários para

qualquer idiomaqualquer idioma Senhas quebradas são desabilitadasSenhas quebradas são desabilitadas Mas é um recurso intensivoMas é um recurso intensivo Senhas ruims são vuneráveis até serem Senhas ruims são vuneráveis até serem

encontradasencontradas

Gerenciamento de senhas – Gerenciamento de senhas – Verificação Proativa de Verificação Proativa de

SenhasSenhas Técnica mais promissora para maior Técnica mais promissora para maior

segurança das senhassegurança das senhas O usuário pode escolher sua própria senhaO usuário pode escolher sua própria senha Mas o sistema verifica se a senha é aceitávelMas o sistema verifica se a senha é aceitável

Execução de regras simples(ver slides anteriores)Execução de regras simples(ver slides anteriores) Compara as senhas ruins com um dicionárioCompara as senhas ruins com um dicionário Usa algorítmos (modelo de Markov ou filtro de Usa algorítmos (modelo de Markov ou filtro de

Bloom) para detectar escolhas ruins.Bloom) para detectar escolhas ruins.

RESUMORESUMO

considerações:considerações: Problema de intrusãoProblema de intrusão Detecção de intrusão(estatística & baseada Detecção de intrusão(estatística & baseada

em regras)em regras) Gerenciamento de senhaGerenciamento de senha