Criptografia e Criptografia e Segurança em Redes Segurança em Redes

Capítulo 19Capítulo 19

Quarta edição por William StallingsQuarta edição por William Stallings

Slides por Lawrie BrownSlides por Lawrie Brown

Tradução por Paulo WerdtTradução por Paulo Werdt

Capítulo 19 –Software maliciosoCapítulo 19 –Software malicioso

““Qual o conceito de defesa? Qual o conceito de defesa?

Desviar-se de um golpe. Desviar-se de um golpe.

Qual é a sua principal característica?: Qual é a sua principal característica?: Esperar o golpe”Esperar o golpe”

——Sobre a guerra, Sobre a guerra, Carl Von ClausewitzCarl Von Clausewitz

Vírus e outros conteúdos Vírus e outros conteúdos maliciososmaliciosos

Os vírus de computador têm tido muita Os vírus de computador têm tido muita publicidade.publicidade.

Mas são apenas um tipo de software Mas são apenas um tipo de software malicioso.malicioso.

Geralmente causam efeitos óbvios.Geralmente causam efeitos óbvios. Aparecem em notícias, ficção, filmes Aparecem em notícias, ficção, filmes

(muitas vezes de maneira exagerada) (muitas vezes de maneira exagerada) recebendo mais atenção do que recebendo mais atenção do que realmente merecem.realmente merecem.

Porém devem ser temidos.Porém devem ser temidos.

Software maliciosoSoftware malicioso

Backdoor (Porta dos fundos) ou Backdoor (Porta dos fundos) ou AlçapãoAlçapão

Pontos de entrada secretos dentro de um Pontos de entrada secretos dentro de um programa.programa.

Permite àqueles que conhecem o acesso Permite àqueles que conhecem o acesso burlarem procedimento de segurança usuais.burlarem procedimento de segurança usuais.

Comumente usado por desenvolvedores.Comumente usado por desenvolvedores. Uma ameaça quando deixados em programas Uma ameaça quando deixados em programas

de produção, permitindo a exploração dos de produção, permitindo a exploração dos atacantes.atacantes.

Muito difícil para o SO bloquear.Muito difícil para o SO bloquear. Requer um bom desenvolvimento e atualização Requer um bom desenvolvimento e atualização

de Software.de Software.

Bomba lógicaBomba lógica

Um dos tipos mais antigos de software Um dos tipos mais antigos de software malicioso.malicioso.

Código embutido em programas legítimos.Código embutido em programas legítimos. Ativada quando encontra determinada condiçãoAtivada quando encontra determinada condição

Presença ou ausência de algum arquivo.Presença ou ausência de algum arquivo. Uma data/hora em particular.Uma data/hora em particular. Um usuário em particular.Um usuário em particular.

Quando acionado normalmente causa danos ao Quando acionado normalmente causa danos ao sistema:sistema: Modificando ou deletando arquivos ou discos, Modificando ou deletando arquivos ou discos,

resetando a máquina.resetando a máquina.

Cavalo de TróiaCavalo de Tróia

Programa com efeitos ocultos.Programa com efeitos ocultos. Em geral é superficialmente atrativo:Em geral é superficialmente atrativo:

Jogos, prêmios, atualizaçãos de SW.Jogos, prêmios, atualizaçãos de SW. Executa tarefas adicionais quando roda:Executa tarefas adicionais quando roda:

Permite ao atacante obter acesso indireto onde não Permite ao atacante obter acesso indireto onde não existe acesso direto.existe acesso direto.

Frequentemente utilizado para propagar Frequentemente utilizado para propagar um vírus / worm, instalar um alçapão ou um vírus / worm, instalar um alçapão ou simplesmente para destruir dados.simplesmente para destruir dados.

ZumbiZumbi

Programa que secretamente assume o Programa que secretamente assume o lugar de outro computador ligado à rede e lugar de outro computador ligado à rede e dessa forma lança ataques.dessa forma lança ataques.

Geralmente utilizado para gerar ataques Geralmente utilizado para gerar ataques distribuídos de negação de serviço distribuídos de negação de serviço (DDoS).(DDoS).

Conhecido por explorar falhas em Conhecido por explorar falhas em sistemas de rede.sistemas de rede.

VírusVírus

Um pedaço de código auto-replicante Um pedaço de código auto-replicante inserido em outro código.inserido em outro código. cf Vírus biológico.cf Vírus biológico.

Propaga a sí mesmo ?Propaga a sí mesmo ? Carrega código para fazer cópias de sí Carrega código para fazer cópias de sí

mesmo.mesmo. Bem como código para realizar outras tarefas.Bem como código para realizar outras tarefas.

Operação de um vírusOperação de um vírus

Fases de um vírus:Fases de um vírus: Dormente – Esperando por um evento Dormente – Esperando por um evento

gatilho.gatilho. Propagação – Replicando para outros Propagação – Replicando para outros

programas e discos.programas e discos. Desencadeamento – Por um evento para Desencadeamento – Por um evento para

executar a carga maliciosa.executar a carga maliciosa. Geralmente detalha uma Maquina ou um SO Geralmente detalha uma Maquina ou um SO

específico.específico. Expondo suas características e fraquezas.Expondo suas características e fraquezas.

Estruturas de vírusEstruturas de vírusprogram V :=program V :=

{goto main;{goto main;1234567;1234567;subroutine infect-executable :=subroutine infect-executable := {loop:{loop:

file := get-random-executable-file;file := get-random-executable-file;if (first-line-of-file = 1234567) then goto loopif (first-line-of-file = 1234567) then goto loopelse prepend V to file; }else prepend V to file; }

subroutine do-damage := {whatever damage is to be done}subroutine do-damage := {whatever damage is to be done}subroutine trigger-pulled := {return true if condition holds}subroutine trigger-pulled := {return true if condition holds}main: main-program :=main: main-program := {infect-executable;{infect-executable;

if trigger-pulled then do-damage;if trigger-pulled then do-damage;goto next;}goto next;}

next:next:}}

Tipos de vírusTipos de vírus

Podem ser classificados de acordo com a Podem ser classificados de acordo com a forma como eles atacam. forma como eles atacam.

Vírus parasitas.Vírus parasitas. Vírus residentes em memória.Vírus residentes em memória. Vírus de boot de setor.Vírus de boot de setor. stealth.stealth. Vírus polimórficos.Vírus polimórficos. Vírus metamórficos.Vírus metamórficos.

Macro VirusMacro Virus Um Macro anexado a algum arquivo de dados.Um Macro anexado a algum arquivo de dados. Interpretado pelo programa que usa o arquivo:Interpretado pelo programa que usa o arquivo:

ex: Word/Excel macrosex: Word/Excel macros Usando comandos auto-executáveis e comandos de Usando comandos auto-executáveis e comandos de

macro.macro. Código fica independente de plataforma.Código fica independente de plataforma. É a maior fonte das novas infecções virais.É a maior fonte das novas infecções virais. Difícil distinção entre dados e arquivos de Difícil distinção entre dados e arquivos de

programas.programas. classic trade-off: "ease of use" vs "security”.classic trade-off: "ease of use" vs "security”. Melhorou a segurança do Word e etc…Melhorou a segurança do Word e etc… Não é mais a ameaça dominante.Não é mais a ameaça dominante.

Virus de EmailVirus de Email Espalha-se usando email cujos anexos contém Espalha-se usando email cujos anexos contém

vírus de macro.vírus de macro. cf Melissacf Melissa

É acionado quando o usuário abre o anexo.É acionado quando o usuário abre o anexo. Ou pior, quando o email é visualizado por meio Ou pior, quando o email é visualizado por meio

de algum script do gerenciador de email.de algum script do gerenciador de email. Então propaga-se rapidamente.Então propaga-se rapidamente. Geralmente orientados para o gerenciador de Geralmente orientados para o gerenciador de

email Microsoft Outlook e documentos Word / email Microsoft Outlook e documentos Word / Excel.Excel.

Necessita de melhores SO e aplicações de Necessita de melhores SO e aplicações de segurança.segurança.

WormsWorms

Replicantes, mas não infectam programas.Replicantes, mas não infectam programas. Em geral, espalham-se em redes.Em geral, espalham-se em redes.

ex: Morris Internet Worm em 1988.ex: Morris Internet Worm em 1988. Levaram a criação das CERTs.Levaram a criação das CERTs.

Usando privilégios distribuídos aos usuários ou Usando privilégios distribuídos aos usuários ou explorando vulnerabilidades do sistema.explorando vulnerabilidades do sistema.

Muito usados por hackers para criar PCs Muito usados por hackers para criar PCs Zumbis, e assim, usá-los para novos ataques.Zumbis, e assim, usá-los para novos ataques.

Maior problema é a falta de segurança dos Maior problema é a falta de segurança dos sistemas permanentemente conectados.sistemas permanentemente conectados.

Operação de um WormOperação de um Worm

As fases de um worm são as mesmas de As fases de um worm são as mesmas de um vírus:um vírus: Dormência.Dormência. PropragaçãoPropragação

• Procura por outros sistemas a infectar.Procura por outros sistemas a infectar.• Estabelecimento de conexão com um sistema Estabelecimento de conexão com um sistema

remoto alvo.remoto alvo.• Auto replicação em um sistema remoto .Auto replicação em um sistema remoto .• Acionamento.Acionamento.

Execução.Execução.

Morris WormMorris Worm

Mais conhecido dos Worms clássicos.Mais conhecido dos Worms clássicos. Liberado por Robert Morris em 1988.Liberado por Robert Morris em 1988. Visava sistemas Unix.Visava sistemas Unix. Utilizando várias técnicas de propagação:Utilizando várias técnicas de propagação:

Simples quebra de senha de um arquivo protegido.Simples quebra de senha de um arquivo protegido. Explorando bugs no finger daemon.Explorando bugs no finger daemon. Explorando o debug de alçapão no daemon de emails Explorando o debug de alçapão no daemon de emails

de saída.de saída.

Se qualquer ataque der certo faz auto-Se qualquer ataque der certo faz auto-replicação.replicação.

Ataques recentes de WormAtaques recentes de Worm

Nova incidência de ataques em meados de 2001.Nova incidência de ataques em meados de 2001. Código vermelho – usou MS IIS bug.Código vermelho – usou MS IIS bug.

Sondou IPs aleatórios em sistemas rodando Sondou IPs aleatórios em sistemas rodando IIS.IIS.

Possuia gatilho de tempo para ataque DoS. Possuia gatilho de tempo para ataque DoS. A segunda onda de ataque infectou 360000 A segunda onda de ataque infectou 360000

servidores em 14 horas.servidores em 14 horas. Código vermelho 2 – Alçapão instalado.Código vermelho 2 – Alçapão instalado. Nimda – Mecanismo de múltiplas infecções.Nimda – Mecanismo de múltiplas infecções. SQL Slammer – atacou servidores MS SQL.SQL Slammer – atacou servidores MS SQL. Sobig.f – ataque abrindo servidores de proxy.Sobig.f – ataque abrindo servidores de proxy. Mydoom – inúmeros emails de worm + alçapões.Mydoom – inúmeros emails de worm + alçapões.

Tecnologia do WormTecnologia do Worm

Multi-plataforma.Multi-plataforma. Exploração múltipla.Exploração múltipla. Propagação ultra-rápida.Propagação ultra-rápida. Polimórfico.Polimórfico. Metamórfico.Metamórfico. Veículos de transporte.Veículos de transporte. Exploração dia-zero.Exploração dia-zero.

Contramedidas a Virus Contramedidas a Virus

Melhor contramedida é a prevenção.Melhor contramedida é a prevenção. O que em geral, não é possível.O que em geral, não é possível. Por isso, fazem-se necessários um ou Por isso, fazem-se necessários um ou

mais: mais: Detecção – Detecção – dos virus num sistemas dos virus num sistemas

infectado.infectado. IdentificaçãoIdentificação – do vírus específico. – do vírus específico. Remoção – Remoção – restauração do sistema.restauração do sistema.

Softwares Anti-VirusSoftwares Anti-Virus Primeira geraçãoPrimeira geração

Scanners usando a assinatura do vírus para identificá-lo.Scanners usando a assinatura do vírus para identificá-lo. Ou uma mudança no tamanho dos programas.Ou uma mudança no tamanho dos programas.

Segunda geraçãoSegunda geração Utilizando regras de heurística para encontrar infecções virais.Utilizando regras de heurística para encontrar infecções virais. Ou usando o hash de programas para encontrar mudanças.Ou usando o hash de programas para encontrar mudanças.

Terceira geraçãoTerceira geração Identificando os vírus pelas suas ações.Identificando os vírus pelas suas ações.

Quarta geraçãoQuarta geração Pacotes com uma variedade de técnicas anti-vírus.Pacotes com uma variedade de técnicas anti-vírus. Ex: varredura, Armadilhas e controle de acesso.Ex: varredura, Armadilhas e controle de acesso.

E a Corrida armamentista continua...E a Corrida armamentista continua...

Técnicas avançadas de anti-Técnicas avançadas de anti-vírusvírus

Decriptografia genéricaDecriptografia genérica Usa simulação de CPU para checar Usa simulação de CPU para checar

programas.programas. Chaca assinatura e comportamento antes de Chaca assinatura e comportamento antes de

rodar.rodar. Sistema imunológico Digital (IBM)Sistema imunológico Digital (IBM)

Emulação de propósito generalizado e Emulação de propósito generalizado e detecção de vírus.detecção de vírus.

Qualquer vírus entrando é capturado, Qualquer vírus entrando é capturado, analizado, é criada a detecção/proteção para analizado, é criada a detecção/proteção para ele e então é removido.ele e então é removido.

Sistema Imunológico DigitalSistema Imunológico Digital

Software de bloqueamentoSoftware de bloqueamento

Integrado com o sistema operacional do usuario.Integrado com o sistema operacional do usuario. Monitoramento de programas em tempo real.Monitoramento de programas em tempo real.

Ex: Acesso a arquivos, formatação de disco, Ex: Acesso a arquivos, formatação de disco, executáveis, mudanças na configuração do sistema, executáveis, mudanças na configuração do sistema, acesso a rede...acesso a rede...

Para possíveis ações maliciosasPara possíveis ações maliciosas Se detectado pode bloquear, terminar ou procurar Se detectado pode bloquear, terminar ou procurar

desinfectado.desinfectado.

Tem vantagem sobre scanners.Tem vantagem sobre scanners. Código malicioso roda antes da detecção.Código malicioso roda antes da detecção.

Ataques distribuidos de Ataques distribuidos de negação de serviço (DDoS)negação de serviço (DDoS)

Ataques distribuidos de negação de serviço Ataques distribuidos de negação de serviço (DDoS) são ameaças significativas a segurança.(DDoS) são ameaças significativas a segurança.

Tornando indisponíveis sistemas baseados em Tornando indisponíveis sistemas baseados em rede.rede.

Quebrando (derrubando) sistemas de redes.Quebrando (derrubando) sistemas de redes. Inundando a rede com tráfego inútil.Inundando a rede com tráfego inútil. Usando um grande número de zumbis.Usando um grande número de zumbis. Sofisticação crescente dos ataques.Sofisticação crescente dos ataques. Batalha das tecnologias de defesa para fazer Batalha das tecnologias de defesa para fazer

frente.frente.

Ataques distribuídos de Ataques distribuídos de negação de serviço (DDoS)negação de serviço (DDoS)

Construindo uma rede de Construindo uma rede de ataque DDoS ataque DDoS

Precisa infectar um grande número de zumbís.Precisa infectar um grande número de zumbís. Precisa:Precisa:1.1. Um software para implementar o DDoS Um software para implementar o DDoS

ataque.ataque.2.2. Uma vulnerabilidade desvendada em vários Uma vulnerabilidade desvendada em vários

sistemas.sistemas.3.3. Estratégia de escaneamento para achar Estratégia de escaneamento para achar

sistemas vulneráveis.sistemas vulneráveis. Aleatório, lista de alvos, Topológico, Subrede local, Aleatório, lista de alvos, Topológico, Subrede local,

etc...etc...

Contramedidas de DDoS Contramedidas de DDoS

Três grandes linhas de defesaTrês grandes linhas de defesa1.1. Prevenção & opção do ataque (antes).Prevenção & opção do ataque (antes).2.2. Detecção & Filtragem do ataque (durante).Detecção & Filtragem do ataque (durante).3.3. Investigação da fonte & identificação do Investigação da fonte & identificação do

ataque (depois).ataque (depois). Enorme leque de possibilidades de Enorme leque de possibilidades de

ataque.ataque. Por isso, evolução das contramedidas.Por isso, evolução das contramedidas.

ResumoResumo

Ter consideradoTer considerado

Diversos programas maliciosos.Diversos programas maliciosos. Alçapões, Bombas-lógicas, Cavalos de tróia e Alçapões, Bombas-lógicas, Cavalos de tróia e

Zumbis.Zumbis. Worms.Worms. Contramedidas.Contramedidas. Ataques distribuídos de negação de serviço.Ataques distribuídos de negação de serviço.