Administrao e Segurana de Redes de Computadores Segurana do Sistema

Thiago Leite contato@thiagofmleite.com

quinta-feira, 17 de maio de 12

Segurana do Sistema
Explorando erros de cdigo Uso freqente para a realizao de
ataques externos

Aproveitam de erros dos programas Sistema Operacional programas populares

quinta-feira, 17 de maio de 12 2

Segurana do Sistema
Explorando erros de cdigo Objetivo subverter o sistema
operacional

Execuo na mquina-alvo geralmente sem consentimento

quinta-feira, 17 de maio de 12 3

Segurana do Sistema
Ataque por transbordamento do buffer Compiladores no vericam limites de
vetores

Nenhuma vericao realizada em

tempo de execuo

quinta-feira, 17 de maio de 12

int i; char c[1024]; i = 12000; c[i] = 0;

Cdigo Compilvel
quinta-feira, 17 de maio de 12 5

Segurana do Sistema
Exemplo de ataque de transbordamento do
buffer

Qual tamanho de varivel ideal para o

nome de um arquivo a ser lido?

quinta-feira, 17 de maio de 12

Transbordamento do buffer
quinta-feira, 17 de maio de 12 7

Segurana do Sistema
E se o nome do arquivo no contiver lixo
aleatrio?

E se o programa possuir privilgios SETUID? Execuo de um interpretador de comandos

(bash)

Transferncia de programa ou script pela

INternet
quinta-feira, 17 de maio de 12 8

Segurana do Sistema
SETUID de root equivalente ao poder de Administrador
em uma ambiente MS Windows

quinta-feira, 17 de maio de 12

Segurana do Sistema
Ataque funciona em qualquer situao em Ex: funo gets do C vulnervel

que exista um buffer de tamanho xo para uma entrada de usurio

quinta-feira, 17 de maio de 12

10

Segurana do Sistema
Ataques por injeo de cdigo Fazer com que um programa-alvo Comum entre programadores
preguiosos

execute outro cdigo sem perceber

quinta-feira, 17 de maio de 12

11

Segurana do Sistema
Ataques por injeo de cdigo Exemplo: programa para copiar dois
arquivos

quinta-feira, 17 de maio de 12

12

#include <stdio.h> #include <string.h> int main(int argc, char *argv[]){ char src[100], dst[100], cmd[205]="cp "; printf("Por favor, digite o nome do arquivo-fonte: "); gets(src); strcat(cmd,src); strcat(cmd," "); printf("Por favor, informe o nome do arquivo destino: "); gets(dst); strcat(cmd,dst); system(cmd); }

Cdigo vulnervel a injeo de cdigo

quinta-feira, 17 de maio de 12 13

Uso esperado do programa

quinta-feira, 17 de maio de 12 14

Uso malicioso do programa

quinta-feira, 17 de maio de 12 15

Segurana do Sistema
E se o programa estiver com SETUID? Consequncias catastrcas!

quinta-feira, 17 de maio de 12

16

Segurana do Sistema
Ataques de escalada de privilgio Enganar o sistema e obter direitos de
acesso maiores do que o permitido

quinta-feira, 17 de maio de 12

17

Segurana do Sistema

Ataques de escalada de privilgio

Exemplo: antigo ataque ao daemon cron

Cron possui diretrios com scripts que executa em horas determinadas Criar script que utilize o diretrio do cron como diretrio de trabalho Fora despejo de memria pelo sistema no diretrio protegido Cron executa as cpias como root

quinta-feira, 17 de maio de 12

18

Segurana do Sistema
Malware Programas maliciosos Antigamente, no ano 2000, criado por
adolescentes curiosos e carentes

quinta-feira, 17 de maio de 12

19

Segurana do Sistema
Malware Atualmente so desenvolvidos sob
propagar o mais rpido possvel

encomenda por entidades criminosas

Em geral possuem a capacidade de se

quinta-feira, 17 de maio de 12

20

Segurana do Sistema
Malware Um computador infectado pode ser
zumbi remotamente acessado pela porta dos fundos (backdoor)

Computador comandado chamado Vrios zumbis compem uma botnet

(robot network)
quinta-feira, 17 de maio de 12 21

Segurana do Sistema
Usos de malwares Envio comercial de spam envio distribudo de e-mails Chantagem aos usurios resgate por arquivos criptografados
sem o consentimento
quinta-feira, 17 de maio de 12 22

Segurana do Sistema
Usos de malwares Keylogger registro de informaes digitadas da
mquina-alvo

Roubo de identidade Keylogger e outros dados obtidos pelo

malware
quinta-feira, 17 de maio de 12 23

Segurana do Sistema
Por que um malware se espalha to
rapidamente?

Assim como no mundo biolgico, a

diversidade uma boa defesa. ao invs da segurana

Windows prioriza a facilidade de uso

quinta-feira, 17 de maio de 12

24

Segurana do Sistema
Acha segurana importante acima de tudo? Congure o celular para solicitar o PIN
antes de realizar toda chamada

difcil, n?

quinta-feira, 17 de maio de 12

25

Segurana do Sistema
Principais tipos de malwares Cavalos de Tria (Trojans) Vrus Spywares Vermes (Worms) Rootkits
quinta-feira, 17 de maio de 12 26

Segurana do Sistema
Cavalos de Tria (Trojans) Programa que ao entrar no computador,

tentar liberar uma porta para um possvel invasor.

quinta-feira, 17 de maio de 12

27

Segurana do Sistema
Vrus Programa capaz de se reproduzir
utilizando outro programa como hospedeiro, causando danos.

quinta-feira, 17 de maio de 12

28

Segurana do Sistema
Objetivos do vrus Espalhar-se rapidamente Dicultar a sua deteco Dicultar a sua remoo Causar danos
quinta-feira, 17 de maio de 12 29

Segurana do Sistema

Tipos de Vrus

Companheiro

No infecta um programa, mas executa antes do programa ser executado Sobrescreve arquivos executveis do sistema Fcil de deteco

Programas Executveis

quinta-feira, 17 de maio de 12

30

Segurana do Sistema

Tipos de Vrus

Parasita

Anexa-se a um programa existente no interferindo em sua execuo Se inltra nos espaos restantes dos segmentos No Windows segmentos so x512 bytes, sendo o restante dos segmentos preenchido com 0s pelo linker.

Cavidade

quinta-feira, 17 de maio de 12

31

Segurana do Sistema

Tipos de Vrus

Residentes em Memria

Aps ser executado, permanece na memria Pode modicar o endereo de Mapa de Bits para car oculto Copia-se para RAM ao iniciar o sistema, no topo ou entre os vetores de interrupo Persistente formataes

Setor de Boot

Sistemas de formatao padro no apagam a primeira trilha do disco

quinta-feira, 17 de maio de 12

32

Segurana do Sistema

Tipos de Vrus

Dispositivos

Infecta um driver do dispositivo Arquivos de de sutes des escritrio possuem macros que podem conter programas inteiros Infecta um cdigo fonte incluindo funes e bibliotecas maliciosas

Macros

Cdigo-fonte

quinta-feira, 17 de maio de 12

Ex: #include <virus.h> e run_virus( );

33

Segurana do Sistema
Disseminao de um Vrus Vrus colocados onde h chance de
serem copiados conveis

Programas copiados de fontes no Anexam-se mensagens eletrnicas

aparentemente inocentes
quinta-feira, 17 de maio de 12 34

Segurana do Sistema

As convenes de denominao de vrus do Norton AntiVirus (Symantec) Prexo.Nome.Suxo:

Prexo: plataforma operacional (MS Word, DOS, MS Windows) Nome: alcunha da famlia do Vrus Suxo (opcional): variantes da mesma famlia vrus de macro para MS Word variante da famlia Cap.

Exemplo: WM.Cap.A

quinta-feira, 17 de maio de 12

35

Segurana do Sistema

Sistemas anti-vrus

Vericadores de Vrus

Coletam amostras do vrus para estudo e assim conseguir entende-lo Armazenam dados sobre os vrus num banco de dados Caso seja um vrus polimrco, tentam achar o motor de mutao Calcula a Soma de vericao (checksum) para cada arquivo Quando executado, recalcular e detectar os arquivos infectados

Vericao de Integridade

quinta-feira, 17 de maio de 12

36

Segurana do Sistema

Sistemas anti-vrus

Vericao de Comportamento

Anti-vrus, residente em memria capturando as chamadas ao sistema e monitorando as atividades. Opte por sistemas com alto grau de segurana, use apenas software originais, use um antivirus potente e faa backup Quando infectado, reinicie o sistema por uma midia protegida contra escrita (CD-ROM), execute um antivrus, salve os arquivos no infectados e formate o HD

Preveno

Recuperao

quinta-feira, 17 de maio de 12

37

Segurana do Sistema
Vermes (Worms) Programas que se auto-replicam com o
intuito de se disseminar sem causar graves danos aos sistemas.

quinta-feira, 17 de maio de 12

38

Segurana do Sistema
Spyware Programa que recolhe informaes sobre
o usurio e transmite-as uma entidade externa, sem o conhecimento e consentimento do usurio.

quinta-feira, 17 de maio de 12

39

Segurana do Sistema
Modos de disseminao Os mesmos adotados por Vrus Distribudos facilmente Fontes no-conveis Anexar-se a mensagens aparentemente
inocentes
quinta-feira, 17 de maio de 12 40

Segurana do Sistema
Possveis aes de um Spyware Modicar a pgina inicial do browser Modicar a lista de favoritos do browser Adicionar novas barras no browser Modicar motor de busca padro Gerar contnuas propagandas e pop-ups
quinta-feira, 17 de maio de 12 41

Segurana do Sistema
Rootkits Ferramenta utilizada por um invasor para
ocultar rastros

quinta-feira, 17 de maio de 12

42

Segurana do Sistema
Tipos de Rootkits Rootkits de rmware Rootkits de hypervisor Rootkits de kernel Rootkits de biblioteca Rootkits de aplicao
quinta-feira, 17 de maio de 12 43

Tipos de Rootkits
quinta-feira, 17 de maio de 12 44

Segurana do Sistema

Rootkit Sony

Distribudo em 2005 em CDs de udio Tentativa de deter a pirataria de CDs Afetava sistemas MS Windows Uso do autorun.inf Instalao mesmo sem o consentimento do usurio Filtragem das chamadas de sistema de leitura do driver de CD-ROM

quinta-feira, 17 de maio de 12

45

Segurana do Sistema

Rootkit Sony

Filtragem das chamadas de sistema de leitura do driver de CD-ROM M resposta pblica da Sony

A maioria das pessoas, imagino, sequer sabe o que um rootkit, ento por que deveriam se preocupar?

Violao de direitos autorais por uso de cdigos de outros projetos Por m, ainda monitorava os hbitos dos usurios e os enviam para a Sony

quinta-feira, 17 de maio de 12

46

Reviso

objetivos da explorao de erros de cdigo transbordame nto de buffer injeo de cdigo SETUID escalada de privilgios

usos de malware keylogger backdoor zumbi botnet roubo de identidade tipos de malware

cavalo de tria vrus tipos de vrus spyware verme rootkit anti-vrus

quinta-feira, 17 de maio de 12

47

Procuradora Geral do Distrito Federal

Um software malicioso explora uma vulnerabilidade ou falha de congurao de um sistema, podendo se propagar automaticamente por meio de uma rede de computadores, sem a necessidade de ser explicitamente executado por um usurio de computador. Este software denominado: a) Verme (worm). b) Cavalo de tria. c) Hoax. d) Rookit. e) Phishing

quinta-feira, 17 de maio de 12

48

Companhia Hidro Eltrica do So Francisco

Das alternativas abaixo, que tipo de ataque NO est em consonncia com sua denio? a) Por footprinting, entende-se a tarefa de coletar informaes sobre um sistema alvo. Esta coleta feita por vias tradicionais e pblicas com uso do nger, leitura de pginas do site para obter dados interessantes e etc. O sniffers um utilitrio que verica vulnerabilidades. Pode ser um scanner de sistema quando checa vulnerabilidade na mquina local. Por spoong entende-se a tarefa de fazer uma mquina passar por outra, forjando por exemplo, pacotes IPs. Cdigo malicioso um software criado com nalidades mal intencionadas. Nesta categoria, incluem-se os cdigos no autorizados que efetuam aes desconhecidas e no desejadas pelo usurio. Exploits so programas criados para explorar falhas, advindas principalmente de bugs, nos daemons de servios. b) c) d)

e)

quinta-feira, 17 de maio de 12

49

Tribunal Regional do Trabalho - AL

No contexto de ataques externos ao sistema, ele consiste, tecnicamente, de um bootstrap que compilado e executado no sistema sob ataque e, uma vez em execuo, abre as portas para a invaso efetiva do programa principal; a partir desse novo hospedeiro o malware passa a procurar novas mquinas e, assim, disseminar o bootstrap. Trata-se do malware do tipo: a) worm. b) vrus. c) trojan horse. d) spyware. e) adware.

quinta-feira, 17 de maio de 12

50

Tribunal de Contas de Gois

Considere a hiptese de recebimento de uma mensagem no solicitada de um site popular que induza o recebedor a acessar uma pgina fraudulenta projetada para o furto dos dados pessoais e nanceiros dele. Trata-se de: a) spam. b) phishing/scam. c) adware. d) keylogger. e) bluetooth.

quinta-feira, 17 de maio de 12

51

Tribunal de Contas de Gois

Considere o recebimento de um e-mail que informa o usurio a respeito de uma suposta contaminao do computador dele por um vrus, sugerindo a instalao de uma ferramenta disponvel em um site da Internet para eliminar a infeco. Entretanto, a real funo dessa ferramenta permitir que algum tenha acesso ao computador do usurio e a todos os dados l armazenados. Este mtodo de ataque trata-se de: a) Social Engineering. b) Sniffer. c) Service Set Identier. d) Exploit. e) Denial of Service.

quinta-feira, 17 de maio de 12

52

Tribunal de Justia - ES
(CESPE) Um spyware consiste em uma falha de segurana intencional, gravada no computador ou no sistema operacional, a m de permitir a um cracker obter acesso ilegal e controle da mquina. a) Certo b) Errado

quinta-feira, 17 de maio de 12

53

BRB
(CESPE) Um vrus mutante de computador capaz de assumir mltiplas formas com o intuito de burlar o software de antivrus. a) Certo b) Errado

quinta-feira, 17 de maio de 12

54

Receita Federal
Em relao a vrus de computador correto armar que, entre as categorias de malware, o Cavalo de Tria um programa que: a) usa um cdigo desenvolvido com a expressa inteno de se replicar. Um Cavalo de Tria tenta se alastrar de computador para computador incorporando-se a um programa hospedeiro. Ele pode danicar o hardware, o software ou os dados. Quando o hospedeiro executado, o cdigo do Cavalo de Tria tambm executado, infectando outros hospedeiros e, s vezes, entregando uma carga adicional.

quinta-feira, 17 de maio de 12

55

Receita Federal (continuao)

b) parece til ou inofensivo, mas que contm cdigos ocultos desenvolvidos para explorar ou danicar o sistema no qual executado. Os cavalos de tria geralmente chegam aos usurios atravs de mensagens de e-mail que disfaram a nalidade e a funo do programa. Um Cavalo de Tria faz isso entregando uma carga ou executando uma tarefa mal-intencionada quando executado.

quinta-feira, 17 de maio de 12

56

Receita Federal (continuao)

c) usa um cdigo mal-intencionado autopropagvel que pode se distribuir automaticamente de um computador para outro atravs das conexes de rede. Um Cavalo de Tria pode desempenhar aes nocivas, como consumir recursos da rede ou do sistema local, possivelmente causando um ataque de negao de servio.

quinta-feira, 17 de maio de 12

57

Receita Federal (continuao)

d) pode ser executado e pode se alastrar sem a interveno do usurio, enquanto alguns variantes desta categoria de malware exigem que os usurios executem diretamente o cdigo do Cavalo de Tria para que eles se alastrem. Os Cavalos de Tria tambm podem entregar uma carga alm de se replicarem.

quinta-feira, 17 de maio de 12

58

Receita Federal (continuao)

e) no pode ser considerado um vrus ou um verme de computador porque tem a caracterstica especial de se propagar. Entretanto, um Cavalo de Tria pode ser usado para copiar um vrus ou um verme em um sistema-alvo como parte da carga do ataque, um processo conhecido como descarga. A inteno tpica de um Cavalo de Tria interromper o trabalho do usurio ou as operaes normais do sistema. Por exemplo, o Cavalo de Tria pode fornecer uma porta dos fundos no sistema para que um hacker roube dados ou altere as denies da congurao.

quinta-feira, 17 de maio de 12

59