Segurança da Informação - Tipos de Ataques

Tipos de Ataques


- Negação de Serviço
- Vazamento de Informações
- Acesso a arquivos comuns
- Informação Falsa
- Acesso a arquivos ou bancos de dados especiais
- Execução remota de código arbitrário
- Elevação de Privilégios

 
Negação de Serviço - (Denial of Service)


Quando a disponibilidade de um recurso é intencionalmente bloqueada ou prejudicada.
O ataque impede a disponibilidade do recurso para seus usuários autorizados regulares.
Dificultar processos.
Diminuir a capacidade de armazenamento.
Destruir arquivos para tornar o recurso inutilizável.
Desativar partes do sistema ou processos.
O ataque é local. São comuns.
Muitos casos inevitáveis.
São mais fáceis de detectar.
Desde que a infra-estrutura de segurança esteja correta, são facilmente rastreados e o atacante é facilmente identificado.
Degradação de processo.
Esgotamento de espaço em disco.
Esgotamento de nó de índice.

Degradação de processo


No kernel Linux até a versão 2.4.12 … … … O scheduler de processos podia ser bloqueado, impedindo que quaisquer outros processos no sistema recebessem tempo de CPU.
Ataque local.
Afetando outros sistemas operacionais, existe o fork bomb.
Diminui o desempenho de processos com efeitos variáveis.
O efeito pode ser tão pequeno quanto fazer o sistema operacional funcionar lentamente …
Ou podem ser tão extremos quanto monopolizar recursos do sistema operacional, causando sua queda.
O código para shell: $ 0 & $ 0 &
O código para C:
(main() {for( ; ; ) fork () ; } )
#include
#include
#include
void main(void)
{ malloc(9999);
fork();
main();
}

Esgotamento do espaço em disco


Ataque local.
O espaço em disco é um recurso finito.
Consumir o espaço em disco até sua capacidade máxima.
O espaço em disco era um recurso extremamente caro.
A indústria atual tem diminuído o preço do armazenamento em disco.
Pode-se resolver muitos problemas de armazenamento com soluções como arrays de disco e software que monitora o excesso de armazenamento.
O espaço em disco continua sendo um entrave para todos os sistemas. As soluções baseadas em software, com cotas de armazenamento por usuário, visam amenizar este problema.
O ataque impede a criação de novos arquivos e o crescimento dos arquivos existentes.
Alguns sistemas UNIX cairão quando a partição raiz atingir a capacidade de armazenamento.
Incluir uma partição separada para os recursos de log, como o /var, e uma partição separada para os usuários como o diretório /home no LINUX ou /export/home nos sistemas SUN.
Objetivo do ataque: derrubar sistemas, quando o layout de disco não for feito com partições de log e de usuários em separado.
Outro objetivo: obscurecer as atividades de um usuário, gerando grande quantidade de eventos que são registrados via syslog, enchendo a partição onde os logs são armazenados e impossibilitando o syslog de qualquer outra atividade.
Outro objetivo: obscurecer as atividades de um usuário, gerando grande quantidade de eventos que são registrados via syslog, enchendo a partição onde os logs são armazenados e impossibilitando o syslog de qualquer outra atividade.
O ataque: um usuário local executa o comando
cat /dev/zero > ~maliciousfile
O comando concatena dados do arquivo de dispositivo /dev/zero (que simplesmente gera zeros) com o arquivo malicioso, continuando até que o usuário suspenda o processo ou que a partição seja atingida.

Esgotamento de inode


O ataque é local.
Concentra-se no sistema de arquivos.
inode = index node (nó de índice).
Os nós de índice são parte essencial do sistema de arquivos do UNIX.
Contém informações vitais ao gerenciamento do sistema de arquivos: proprietário do arquivo, associação de grupo do arquivo, tipo de arquivo, as permissões, o tamanho e os endereços de bloco contendo os dados do arquivo.
Quando um sistema de arquivos é formatado, um número finito de inodes é criado para manipular a indexação dos arquivos.
O ataque visa usar todos os inodes disponíveis para uma partição.
O sistema é incapaz de criar novos arquivos.
Objetivos do ataque: impedir o registro dos eventos de sistema, especialmente, as atividades do próprio hacker.

INODE


Em UNIX, pode-se verificar quantos inodes estão livres sobre um disco por emitir o comando df com a opção –i:
% df -o i /usr

Negação de Serviço - (Ataque Remoto)


Ataques de negação de serviço lançados através de uma rede.
Duas categorias:


- um ataque que afeta um serviço específico;
- um ataque que visa um sistema inteiro.


Ferramentas disponíveis conferem anonimato e capacidade de causar um problema exigindo pouco conhecimento técnico.
A gravidade desses ataques varia significativamente.
São destinados a produzir transtornos.
Lançados como uma ação retaliatória.
Lado do Cliente
Baseado em Serviço
Direcionada a Sistema

DoS direcionada a sistema - Ataques de Flooding


Usado para prejudicar o desempenho ou tornar o sistema completamente indisponível.
Forma de ataque: usar uma exploração para atacar um sistema por meio de outro, deixando o sistema alvo inoperante.
O conceito de inundação (flooding) de SYN (.
Ataque lançado de qualquer sistema em uma rede mais rápida que o sistema-alvo, para múltiplos sistemas.
É usado para degradar desempenho de sistema.
A inundação de SYN (sincronização) é realizada enviando requisições de conexão IP mais rápido do que um sistema pode processar.
Como o sistema-alvo consome recursos para cuidar de cada conexão, um grande número de SYNs chegando, pode levar o sistema-alvo a ficar sem recursos para novas conexões legítimas.
O endereço IP de origem é falsificado, para quando o sistema-alvo tentar responder com um SYN-ACK (sincronização-confirmação), o atacante não recebe resposta alguma.
O código de exploração para o flooder de SYN, syn4k.c foi escrito por Zakath.
Este flooder de SYN permite selecionar as portas e um endereço, a inundar no sistema-alvo.

O código pode ser obtido em:
www.cotse.com/sw/dos/syn/synk4.c


Pode-se detectar uma inundação de SYN feito pelo código synk4.c usando-se o comando netstat (Windows).


C:WINNT\System32\cmd.exe


C:\>netstat -n -p tcp


C:\>netstat -all


C:WINNT\System32\cmd.exe


C:\>netstat -n -p tcp


-n exibe o (Local Address) atingido e o endereço remoto (Foreign Address) de onde vem a inundação.


-p seleciona o protocolo desejado.


C:\>netstat -n -p udp


São mostradas as conexões que interessam para o ataque em particular

DoS de rede direcionada a sistema - Ataques Smurfing


Geralmente lançados pelos scripts kiddiots (script do atacante), com poder de anonimato.
O ataque de smurf realiza um DoS através de rede contra um host-alvo.
O ataque se baseia na ajuda de um intermediário, um roteador.
O atacante falsificando o endereço IP de origem, gera uma grande quantidade de tráfego de echo ICMP (Internet Control Message Protocol) direcionado aos endereços de broadcast IP, no roteador.
O roteador, chamado de amplificador de smurf, converte o broadcast IP em um broadcast da camada 2 (enlace) e a passa adiante.
Cada host que recebe o broadcast, responde para o endereço IP falsificado, com uma resposta de echo.
Dependendo do número de hosts na rede, tanto o roteador, tanto o host-alvo podem ser inundados com tráfego.
Isto pode resultar na queda de desempenho na rede, do host-alvo sendo atacado e, dependendo do número de redes com roteadores amplificadores usados, a rede com o host-alvo, se torna saturada até a sua capacidade.

DoS direcionada a sistema - Ataques DDoS


Atacante – Quem efetivamente coordena o ataque.
Master – Máquina que recebe os parâmetros para o ataque e comanda os agentes.
Agente – Máquina que efetivamente concretiza o ataque DoS contra um ou mais alvos, conforme especificado pelo atacante.
Alvo do ataque – Máquina que é “inundada” por um volume grande de pacotes, ocasionando um congestionamento extremo da rede e resultando na paralização dos serviços oferecidos pela mesma.
Cliente – Aplicação que reside no Master e que efetivamente controla os ataques enviando comandos aos daemons.
Daemons – Processos que roda nos agentes, responsável por receber e executar os comandos enviados pelo cliente.
Resulta de conjugar os dois conceitos:


- negação de serviço


- intrusão distribuída.


Ataques DoS partindo de várias origens, disparados simultaneamente e coordenadamente sobre um ou mais alvos.


O ataque é dado em três fases:


- Uma fase de intrusão, na qual ferramentas automáticas são usadas para comprometer máquinas e obter acesso privilegiado (acesso de root).


- o atacante instala software DDoS (agentes) na máquinas invadidas, para montar a rede de ataque.


- fase da inundação, consolidando o ataque.
 
Fase 1: Intrusão em Massa


É realizada uma varredura de portas e vulnerabilidades em redes consideradas “interessantes”.
Explorar as vulnerabilidades reportadas para a obtenção de acesso privilegiado nessas máquinas.
 
Sniffers e Rootkits


Um Sniffer é um programa ou ferramenta que monitora uma rede em busca de informações em que o atacante possa estar interessado.
Informações de autenticação, como nomes de usuários e senhas.
Sniffers são incluídos na maior parte dos Rootkits.
É criada uma lista de IPs das máquinas que foram invadidas e que serão utilizadas na montagem da rede.
 
Fase 2: Instalação de Software DDoS


Uma conta de usuário qualquer é usada como repositório das versões compiladas de todas as ferramentas de ataque DDoS.
Uma vez que a máquina seja invadida, os binários das ferramentas DDoS são instalados nessas máquinas para permitir que sejam controladas remotamente.
 
Masters ou Agentes.


Masters, não devem ser máquinas manuseadas cosntantemente pelos administradores.
Agentes devem estar em máquinas conectadas à Internet por links relativamente rápidos.
Rodados os daemons que rodam nos agentes, esses se anunciam para os masters e ficam à espera de comandos.
A aplicação DDoS que roda nos masters, registra em uma lista IP das máquinas agentes ativas.
Essa lista pode ser acessada pela máquina atacante.
A partir da comunicação automatizada entre masters e agentes, organizam-se os ataques.
Rootkits poderão ser instalados para ocultar o comprometimento das máquinas.


Fase 3: O ataque


a) O atacante controla um ou mais máquinas masters, as quais por sua vez podem controlar um grande número de máquinas agentes.


b) A partir dos agentes é disparado o “flood” de pacotes que consolida o ataque.


c) Quando o atacante ordena o ataque, uma ou mais máquinas-alvo são inundadas por um volume considerável de pacotes, resultando na saturação do link de rede e paralização dos seus serviços.
 
Ferramentas de DDoS


- Fapi
- Blitznet
- Trin00
- TFN
- Stacheldraht
- Shaft
- TFN2K
- Trank
- Trin00 win version
 
 Abraços,

Ranieri Marinho de Souza
Segurança da Informação

Fonte: http://www.segr.com.br/
Share:

0 comentários:

Aviso importante!

Não realizamos upload dos ficheiros, apenas reportamos os links que encontramos na própria Internet. Assim, toda e qualquer responsabilidade não caberá ao administrador deste blog. Este blog não tem como objetivo reproduzir as obras, apenas divulgar o que foi encontrado na Internet. Os filmes aqui informados são de cunho científico assim como as séries, as quais são produzidas para exibição em TV aberta. Uma vez que a série não tenha sido ripada de um DVD, ou seja, a mesma foi gravada do sinal de TV aberta com o respectivo selo da emissora. Não é caracterizado crime, pois a mesma foi produzida para exibição pública. Será crime quando for realizado venda desta série ou filme. Quem efetuar download de qualquer ficheiro deste blog, que não tenha seu conteúdo de base Open Source (Código Aberto), ou FOSS (Free Open Source Software), deverá estar ciente que terá 24 horas para eliminar os ficheiros que baixou. Após assistir e gostar do filme ou série, adquira o original via lojas especializadas. Se algo contido no blog lhe causa dano ou prejuízo, entre em contato que iremos retirar o ficheiro ou post o mais rápido possível. Se encontrou algum post que considere de sua autoria, favor enviar e-mail para suporte@delphini.com.br informando o post e comprovando sua veracidade. Muito obrigado a todos que fizeram deste blog um sucesso.

Creative CommonsEsta obra está licenciada sob uma Licença Creative Commons. Você pode copiar, distribuir, exibir, executar, desde que seja dado crédito ao autor original (Citando nome do autor, data, local e link de onde tirou o texto). Você não pode fazer uso comercial desta obra.Você não pode criar obras derivadas.

Google+ Followers

Nossos 10 Posts Mais Populares