Roteiro TOCI-08: Seguranc¸a de Redes Prof. Rafael Obelheiro
[email protected]
Aula 3: Ameac¸as
1
˜ Introduc¸ao
2
Ameac¸as
3
Atacantes
4
Princ´ıpios de seguranc¸a computacional
Princ´ıpios de Seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
1 / 37
˜ Introduc¸ao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
2 / 37
Ameac¸as ˜ poss´ıvel que, uma vez concretizada, Ameac¸a: uma ac¸ao ´ produziria efeitos indesejaveis sobre os dados ou recursos do sistema
˜ uma func¸ao ˜ das ameac¸as Vimos que os riscos de seguranc¸a sao a que um dado sistema esta´ exposto I
˜ os tipos de ameac¸as? quais sao
Existem diversas categorias de ameac¸as Exemplo: modelo STRIDE (Microsoft) I
Quais os princ´ıpios da seguranc¸a computacional?
I I I I I
˜ de identidade . . . . . . . . . . . . . . . . . . . . Spoofing falsificac¸ao ˜ de dados . . . . . . . . . . . . . . . . . . . . . . Tampering manipulac¸ao ˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Repudiation repudiac¸ao ˜ de informac¸ao ˜ . . . . . . . . . . . . . . . . . . . . Information disclosure revelac¸ao ˜ de servic¸o . . . . . . . . . . . . . . . . . . . . . . . . . Denial of service negac¸ao ˜ de privilegio ´ elevac¸ao . . . . . . . . . . . . . . . . . . . . . . . Elevation of privilege
´ sao ˜ poss´ıveis Outras taxonomias tambem
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
3 / 37
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
4 / 37
˜ de identidade Falsificac¸ao
˜ de dados Manipulac¸ao
˜ autorizada Modificar dados ou programas de forma nao Objetivos podem ser
´ Se passar por outro usuario ou entidade Objetivo e´ burlar os mecanismos de seguranc¸a Exemplos I
I
I I
tentar realizar um acesso indevido usando o login e senha de outro ´ usuario forjar o enderec¸o de origem de um pacote IP
Exemplos I I
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
5 / 37
˜ Repudiac¸ao
I I
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
6 / 37
˜ para pessoas ou entidades nao ˜ autorizadas Divulgar informac¸oes ˆ a obte-las Exemplos
negar ter feito uma compra com o objetivo de obter o dinheiro de volta negar a autoria de um ataque negar ter enviado um email ofensivo
c 2008 Rafael Obelheiro (DCC/UDESC)
ˆ alterar notas no sistema academico ˜ de arquivos sigilosos conseguir modificar as permissoes
˜ de informac¸ao ˜ Revelac¸ao
˜ de alguma ac¸ao ˜ Negar a realizac¸ao Exemplos I
˜ de dados destruic¸ao ´ obter benef´ıcios diretos ou indiretos (e.g., mais privilegios no sistema)
Aula 3: Ameac¸as & Princ´ıpios
SEG
I I I I
7 / 37
vender os planos de um novo produto a um concorrente divulgar trocas de emails privados publicar uma lista de pacientes soropositivos em tratamento ˜ de credito ´ repassar numeros de cartoes obtidos em um site de ´ ´ ˆ comercio eletronico
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
8 / 37
˜ de servic¸o Negac¸ao
˜ de privilegios ´ Elevac¸ao
Tornar recursos do sistema indispon´ıveis ou degradar o seu desempenho Exemplos I I I I I
´ Aumentar os privilegios de forma indevida Exemplos I
´ sobrecarregar um site com trafego ´ desviar o trafego de um site para um “buraco negro” apagar a base de dados de produtos e clientes de uma loja ´ cortar cabos de fibra optica provocar quedas de energia
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
I
9 / 37
Os atacantes
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
10 / 37
Hackers casuais
˜ das ameac¸as esta´ diretamente A probabilidade de concretizac¸ao ligada aos atacantes dos quais se pretende defender
˜ script kiddies A maioria sao I
Hackers casuais Criminosos ˜ industriais Espioes
usam scripts baixados da Internet, sem compreender o seu funcionamento
˜ realmente capacitados Alguns sao ˜ e ferramentas entre hackers e´ muito A troca de informac¸oes intensa
Fogo amigo ˜ Espioes
c 2008 Rafael Obelheiro (DCC/UDESC)
´ permitir que um usuario remoto execute comandos em uma ´ maquina local ´ ´ possibilitar que um usuario comum opere com privilegio de administrador
I
Aula 3: Ameac¸as & Princ´ıpios
SEG
12 / 37
muito mais que entre o pessoal de seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
13 / 37
˜ das ferramentas Conhecimento vs. sofisticac¸ao
Risco dos hackers casuais
˜ sejam sofisticados, as ferramentas sao ˜ Embora os atacantes nao
Quanto custa para reconstruir um servidor? I
pessoal, indisponibilidade (downtime), . . .
E se a empresa virar not´ıcia de capa do Terra? ´ E se os hackers estiverem a servic¸o de alguem? ˜ se tornando mais Ha´ ind´ıcios de que os alvos estao selecionados. . .
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
14 / 37
Hacking for profit
Aula 3: Ameac¸as & Princ´ıpios
SEG
15 / 37
Crime organizado (e desorganizado)
˜ se aliando a spammers e phishers Os hackers estao A maioria dos ataques atuais e´ motivada por dinheiro ´ O mercado mostra sua forc¸a, e atrai novos talentos para a area ˜ ficando mais direcionados e sofisticados Ataques estao ˆ o proposito ´ ´ Muitos v´ırus e worms tem de transformar maquinas em “zumbis” I
c 2008 Rafael Obelheiro (DCC/UDESC)
Cada vez mais, hacking esta´ virando apenas mais um ve´ıculo ˜ de crimes comuns para a realizac¸ao ˜ envolvidos em fraudes bancarias, ´ Esses hackers estao lavagem ˜ de credito, ´ de dinheiro, roubo de cartoes ... Grande numero de quadrilhas especializadas presas pela PF ´
botnets
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
16 / 37
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
17 / 37
Espionagem industrial
Fogo amigo
˜ Estat´ısticas apontam que menos de 5% dos ataques sao detectados ˜ vao ˜ usar a rede Profissionais que visam um alvo espec´ıfico nao desse alvo como origem de novos ataques I
˜ sao ˜ descobertas modo como maioria das invasoes
´ sao ˜ mais propensos a recorrer a meios nao ˜ Profissionais tambem ´ tecnicos I I I I I I
roubo suborno chantagem engenharia social grampos ataques f´ısicos
˜ efetuados ou recebem a colaborac¸ao ˜ de Muitos ataques sao pessoas de dentro I
ponto em comum com a seguranc¸a f´ısica
Pessoas de dentro I I I I
˜ os alvos interessantes sabem quais sao conhecem os pontos fracos possuem acesso a` rede interna (f´ısica e logicamente) podem ter motivos fortes F
motu proprio ou induzidos externamente
O que acontece se o administrador da rede “passar para o outro lado”?
˜ atras ´ Profissionais geralmente sabem do que estao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
18 / 37
˜ Espioes
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
19 / 37
´ Resumo da opera
ˆ tecnologia ou informac¸oes ˜ que podem Algumas empresas detem interessar a (outros) governos I
Embraer, Petrobras, Vale, . . .
Certos governos oferecem apoio substancial a empresas de seus pa´ıses ˜ podem ser extremamente perigosos Espioes I I I
˜ tecnica ´ sofisticac¸ao recursos financeiros e materiais ˜ capacidade de persuasao
´ As defesas devem ser compat´ıveis com os provaveis atacantes I
definidos de forma impl´ıcita ou expl´ıcita
˜ fundamentalmente economica ˆ Seguranc¸a e´ uma questao I I
quanto pode ser gasto com seguranc¸a? ´ quanta seguranc¸a e´ necessaria?
Seria uma “cyber-guerra” uma possibilidade?
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
20 / 37
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
21 / 37
Princ´ıpios de seguranc¸a computacional
Tru´ısmos de seguranc¸a (1/3) Tru´ısmo = obviedade I
´ dos conceitos ja´ abordados, a seguranc¸a e´ governada por Alem ´ uma serie de princ´ıpios Esses princ´ıpios foram sendo estabelecidos ao longo do tempo I
muitas vezes aprendidos da pior forma poss´ıvel
ˆ ˜ de medidas E´ importante conhece-los para avaliar a adequac¸ao de seguranc¸a, sejam elas adotadas ou propostas
I
Aula 3: Ameac¸as & Princ´ıpios
SEG
23 / 37
Tru´ısmos de seguranc¸a (2/3)
´ o que interessa e´ manter os riscos em n´ıveis aceitaveis
˜ de economia A seguranc¸a e´ uma questao I
ja´ vimos isso hoje. . .
Mantenha o n´ıvel de todas as suas defesas aproximadamente na mesma altura ˜ passa pela seguranc¸a, mas em torno dela Um invasor nao Organize suas defesas em camadas I
c 2008 Rafael Obelheiro (DCC/UDESC)
´ obvio para quem?
˜ existe seguranc¸a absoluta Nao
uma ponte levadic¸a pode ser reforc¸ada por um fosso com crocodilos
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
24 / 37
Tru´ısmos de seguranc¸a (3/3)
´ ´ “Seguranc¸a por obscuridade” e´ uma pessima ideia I
I
˜ suponha que o invasor desconhec¸a aspectos internos da sua nao rede ou sistema ˜ dependa dela a obscuridade ate´ pode ajudar, mas nao
Mantenha a coisa simples I
quanto mais complicado, mais dif´ıcil de analisar e mais chances de dar errado
˜ fornec¸a a uma pessoa ou a um programa mais privilegios ´ Nao do ´ que aqueles necssarios para fazer o trabalho Programar e´ dif´ıcil I
I
ˆ bugs, e parte deles tem ˆ a ver com a maioria dos programas tem seguranc¸a a quantidade de bugs e´ diretamente proporcional ao tamanho e a` complexidade
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
25 / 37
A seguranc¸a deve ser parte integral do projeto original ˜ executa um programa, nao ˜ interessa se ele tem Se voceˆ nao furos de seguranc¸a Um programa ou protocolo e´ considerado inseguro ate´ que se ´ prove o contrario ˜ forte quanto seu elo mais fraco Uma corrente e´ tao ˜ de compromisso com a conveniencia ˆ A seguranc¸a e´ uma relac¸ao ˜ subestime o valor dos seus ativos Nao ˜ um produto (Bruce Schneier) Seguranc¸a e´ um processo, nao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
26 / 37
´ Princ´ıpio do m´ınimo privilegio
Princ´ıpios de projeto (Saltzer & Schroeder) ´ Na decada de 70, Saltzer & Schroeder (MULTICS) definiram oito ´ princ´ıpios basicos de projeto para mecanismos de seguranc¸a I
˜ com os tru´ısmos existe alguma sobreposic¸ao
Um sujeito (pessoa ou entidade agindo em seu nome) deve ´ ´ possuir apenas os privilegios necessarios para executar determinada tarefa ´ ˜ ditados pela func¸ao, ˜ nao ˜ pela identidade Esses privilegios sao
˜ Baseados em dois conceitos chave, simplicidade e restric¸ao Simplicidade I
menos coisas para dar errado
I
ˆ menor possibilidade de inconsistencias
F
F I
˜ ˜ interac¸oes, verificac¸oes, ...
Direitos de acesso devem ser concedidos temporariamente e ´ o uso revogados apos ˜ tao ˜ Os processos devem ser confinados a dom´ınios de protec¸ao pequenos quanto poss´ıvel
pol´ıticas
˜ facilidade de compreensao
˜ Restric¸ao I I
minimizar o acesso ˜ inibir comunicac¸oes F
entidades e canais
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
27 / 37
˜ segura (fail-safe defaults) Princ´ıpio da inicializac¸ao
28 / 37
I
SEG
princ´ıpio KISS
A simplicidade significa que menos coisas podem dar errado
˜ nao ˜ consegue ser completada, o Se uma determinada ac¸ao sistema deve ser retornado a um estado seguro
Aula 3: Ameac¸as & Princ´ıpios
SEG
˜ simples quanto Os mecanismos de seguranc¸a devem ser tao poss´ıvel
˜ e´ explicitamente permitido e´ proibido tudo o que nao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
Princ´ıpio da economia de mecanismos
˜ O acesso deve ser negado por padrao I
c 2008 Rafael Obelheiro (DCC/UDESC)
I
˜ mais faceis ´ se erros ocorrerem, sao de se entender e consertar
˜ e interfaces em que elas ocorrem A quantidade de interac¸oes aumenta a complexidade
29 / 37
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
30 / 37
˜ completa Princ´ıpio da mediac¸ao
Princ´ıpio do projeto aberto
Todos os acessos devem ser verificados Geralmente, isso e´ feito apenas uma vez, no primeiro acesso I
arquivos no UNIX
˜ de permissoes ˜ podem nao ˜ se refletir nos objetos em Alterac¸oes uso I
˜ autorizados acessos nao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
31 / 37
˜ de privilegios ´ Princ´ıpio da separac¸ao
˜ funciona “Seguranc¸a por obscuridade” nao ˜ se aplica a senhas e chaves criptograficas ´ Isso nao
c 2008 Rafael Obelheiro (DCC/UDESC)
duas assinaturas para emitir um cheque
32 / 37
Canais cobertos Mecanismos de isolamento I I
Aula 3: Ameac¸as & Princ´ıpios
SEG
˜ devem ser compartilhados Mecanismos de acesso a recursos nao ˜ atraves ´ dos canais Pode haver fluxo de informac¸ao compartilhados
Defesa em profundidade
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
Princ´ıpio do m´ınimo mecanismo comum (least common mechanism)
´ ˜ devem ser concedidos com base em uma unica Privilegios nao ´ ˜ condic¸ao ˜ de deveres (separation of duty) Separac¸ao I
˜ deve depender de seu A seguranc¸a de um mecanismos nao ˜ ser mantido em segredo projeto ou implementac¸ao ˜ implica necessariamente acesso ao codigo ´ Isso nao fonte
SEG
33 / 37
´ maquinas virtuais sandboxes
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
34 / 37
´ Princ´ıpio da aceitabilidade psicologica
´ Resumo da opera
˜ presentes em todos os Os princ´ıpios de seguranc¸a estao mecanismos ˆ Ignorar princ´ıpios (ou tru´ısmos) pode ter consequ¨ encias ´ desagradaveis ˜ dos princ´ıpios exige A correta aplicac¸ao
˜ devem dificultar o acesso a Os mecanismos de seguranc¸a nao um recurso Ocultar a complexidade dos mecanismos de seguranc¸a ˜ configurac¸ao, ˜ uso Facilidade de instalac¸ao, ˆ ´ o Se a conveniencia for seriamente afetada, a seguranc¸a tambem sera´
I
I I
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
35 / 37
Bibliografia
Dieter Gollmann. Computer Security, 2nd Edition. Wiley, 2006. Cap´ıtulos 1 e 2. William Cheswick, Steven Bellovin e Aviel Rubin. Firewalls e Seguranc¸a na Internet. Bookman, 2005. Cap´ıtulo 1. Matt Bishop. Computer Security: Art and Science. Addison-Wesley, 2002. Cap´ıtulo 13.
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
37 / 37
bom entendimento do objetivo do mecanismo e do ambiente em que ele vai ser usado ´ cuidado na analise e projeto ˜ cuidado na implementac¸ao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 3: Ameac¸as & Princ´ıpios
SEG
36 / 37