Seg Aula 03 Handout

Roteiro TOCI-08: Seguranc¸a de Redes Prof. Rafael Obelheiro [email protected]

Aula 3: Ameac¸as

1

˜ Introduc¸ao

2

Ameac¸as

3

Atacantes

4

Princ´ıpios de seguranc¸a computacional

Princ´ıpios de Seguranc¸a

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

1 / 37

˜ Introduc¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

2 / 37

Ameac¸as ˜ poss´ıvel que, uma vez concretizada, Ameac¸a: uma ac¸ao ´ produziria efeitos indesejaveis sobre os dados ou recursos do sistema

˜ uma func¸ao ˜ das ameac¸as Vimos que os riscos de seguranc¸a sao a que um dado sistema esta´ exposto I

˜ os tipos de ameac¸as? quais sao

Existem diversas categorias de ameac¸as Exemplo: modelo STRIDE (Microsoft) I

Quais os princ´ıpios da seguranc¸a computacional?

I I I I I

˜ de identidade . . . . . . . . . . . . . . . . . . . . Spoofing falsificac¸ao ˜ de dados . . . . . . . . . . . . . . . . . . . . . . Tampering manipulac¸ao ˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Repudiation repudiac¸ao ˜ de informac¸ao ˜ . . . . . . . . . . . . . . . . . . . . Information disclosure revelac¸ao ˜ de servic¸o . . . . . . . . . . . . . . . . . . . . . . . . . Denial of service negac¸ao ˜ de privilegio ´ elevac¸ao . . . . . . . . . . . . . . . . . . . . . . . Elevation of privilege

´ sao ˜ poss´ıveis Outras taxonomias tambem

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

3 / 37

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

4 / 37

˜ de identidade Falsificac¸ao

˜ de dados Manipulac¸ao

˜ autorizada Modificar dados ou programas de forma nao Objetivos podem ser

´ Se passar por outro usuario ou entidade Objetivo e´ burlar os mecanismos de seguranc¸a Exemplos I

I

I I

tentar realizar um acesso indevido usando o login e senha de outro ´ usuario forjar o enderec¸o de origem de um pacote IP

Exemplos I I

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

5 / 37

˜ Repudiac¸ao

I I

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

6 / 37

˜ para pessoas ou entidades nao ˜ autorizadas Divulgar informac¸oes ˆ a obte-las Exemplos

negar ter feito uma compra com o objetivo de obter o dinheiro de volta negar a autoria de um ataque negar ter enviado um email ofensivo

c 2008 Rafael Obelheiro (DCC/UDESC)

ˆ alterar notas no sistema academico ˜ de arquivos sigilosos conseguir modificar as permissoes

˜ de informac¸ao ˜ Revelac¸ao

˜ de alguma ac¸ao ˜ Negar a realizac¸ao Exemplos I

˜ de dados destruic¸ao ´ obter benef´ıcios diretos ou indiretos (e.g., mais privilegios no sistema)

Aula 3: Ameac¸as & Princ´ıpios

SEG

I I I I

7 / 37

vender os planos de um novo produto a um concorrente divulgar trocas de emails privados publicar uma lista de pacientes soropositivos em tratamento ˜ de credito ´ repassar numeros de cartoes obtidos em um site de ´ ´ ˆ comercio eletronico

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

8 / 37

˜ de servic¸o Negac¸ao

˜ de privilegios ´ Elevac¸ao

Tornar recursos do sistema indispon´ıveis ou degradar o seu desempenho Exemplos I I I I I

´ Aumentar os privilegios de forma indevida Exemplos I

´ sobrecarregar um site com trafego ´ desviar o trafego de um site para um “buraco negro” apagar a base de dados de produtos e clientes de uma loja ´ cortar cabos de fibra optica provocar quedas de energia

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

I

9 / 37

Os atacantes

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

10 / 37

Hackers casuais

˜ das ameac¸as esta´ diretamente A probabilidade de concretizac¸ao ligada aos atacantes dos quais se pretende defender

˜ script kiddies A maioria sao I

Hackers casuais Criminosos ˜ industriais Espioes

usam scripts baixados da Internet, sem compreender o seu funcionamento

˜ realmente capacitados Alguns sao ˜ e ferramentas entre hackers e´ muito A troca de informac¸oes intensa

Fogo amigo ˜ Espioes

c 2008 Rafael Obelheiro (DCC/UDESC)

´ permitir que um usuario remoto execute comandos em uma ´ maquina local ´ ´ possibilitar que um usuario comum opere com privilegio de administrador

I

Aula 3: Ameac¸as & Princ´ıpios

SEG

12 / 37

muito mais que entre o pessoal de seguranc¸a

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

13 / 37

˜ das ferramentas Conhecimento vs. sofisticac¸ao

Risco dos hackers casuais

˜ sejam sofisticados, as ferramentas sao ˜ Embora os atacantes nao

Quanto custa para reconstruir um servidor? I

pessoal, indisponibilidade (downtime), . . .

E se a empresa virar not´ıcia de capa do Terra? ´ E se os hackers estiverem a servic¸o de alguem? ˜ se tornando mais Ha´ ind´ıcios de que os alvos estao selecionados. . .

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

14 / 37

Hacking for profit

Aula 3: Ameac¸as & Princ´ıpios

SEG

15 / 37

Crime organizado (e desorganizado)

˜ se aliando a spammers e phishers Os hackers estao A maioria dos ataques atuais e´ motivada por dinheiro ´ O mercado mostra sua forc¸a, e atrai novos talentos para a area ˜ ficando mais direcionados e sofisticados Ataques estao ˆ o proposito ´ ´ Muitos v´ırus e worms tem de transformar maquinas em “zumbis” I

c 2008 Rafael Obelheiro (DCC/UDESC)

Cada vez mais, hacking esta´ virando apenas mais um ve´ıculo ˜ de crimes comuns para a realizac¸ao ˜ envolvidos em fraudes bancarias, ´ Esses hackers estao lavagem ˜ de credito, ´ de dinheiro, roubo de cartoes ... Grande numero de quadrilhas especializadas presas pela PF ´

botnets

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

16 / 37

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

17 / 37

Espionagem industrial

Fogo amigo

˜ Estat´ısticas apontam que menos de 5% dos ataques sao detectados ˜ vao ˜ usar a rede Profissionais que visam um alvo espec´ıfico nao desse alvo como origem de novos ataques I

˜ sao ˜ descobertas modo como maioria das invasoes

´ sao ˜ mais propensos a recorrer a meios nao ˜ Profissionais tambem ´ tecnicos I I I I I I

roubo suborno chantagem engenharia social grampos ataques f´ısicos

˜ efetuados ou recebem a colaborac¸ao ˜ de Muitos ataques sao pessoas de dentro I

ponto em comum com a seguranc¸a f´ısica

Pessoas de dentro I I I I

˜ os alvos interessantes sabem quais sao conhecem os pontos fracos possuem acesso a` rede interna (f´ısica e logicamente) podem ter motivos fortes F

motu proprio ou induzidos externamente

O que acontece se o administrador da rede “passar para o outro lado”?

˜ atras ´ Profissionais geralmente sabem do que estao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

18 / 37

˜ Espioes

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

19 / 37

´ Resumo da opera

ˆ tecnologia ou informac¸oes ˜ que podem Algumas empresas detem interessar a (outros) governos I

Embraer, Petrobras, Vale, . . .

Certos governos oferecem apoio substancial a empresas de seus pa´ıses ˜ podem ser extremamente perigosos Espioes I I I

˜ tecnica ´ sofisticac¸ao recursos financeiros e materiais ˜ capacidade de persuasao

´ As defesas devem ser compat´ıveis com os provaveis atacantes I

definidos de forma impl´ıcita ou expl´ıcita

˜ fundamentalmente economica ˆ Seguranc¸a e´ uma questao I I

quanto pode ser gasto com seguranc¸a? ´ quanta seguranc¸a e´ necessaria?

Seria uma “cyber-guerra” uma possibilidade?

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

20 / 37

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

21 / 37

Princ´ıpios de seguranc¸a computacional

Tru´ısmos de seguranc¸a (1/3) Tru´ısmo = obviedade I

´ dos conceitos ja´ abordados, a seguranc¸a e´ governada por Alem ´ uma serie de princ´ıpios Esses princ´ıpios foram sendo estabelecidos ao longo do tempo I

muitas vezes aprendidos da pior forma poss´ıvel

ˆ ˜ de medidas E´ importante conhece-los para avaliar a adequac¸ao de seguranc¸a, sejam elas adotadas ou propostas

I

Aula 3: Ameac¸as & Princ´ıpios

SEG

23 / 37

Tru´ısmos de seguranc¸a (2/3)

´ o que interessa e´ manter os riscos em n´ıveis aceitaveis

˜ de economia A seguranc¸a e´ uma questao I

ja´ vimos isso hoje. . .

Mantenha o n´ıvel de todas as suas defesas aproximadamente na mesma altura ˜ passa pela seguranc¸a, mas em torno dela Um invasor nao Organize suas defesas em camadas I

c 2008 Rafael Obelheiro (DCC/UDESC)

´ obvio para quem?

˜ existe seguranc¸a absoluta Nao

uma ponte levadic¸a pode ser reforc¸ada por um fosso com crocodilos

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

24 / 37

Tru´ısmos de seguranc¸a (3/3)

´ ´ “Seguranc¸a por obscuridade” e´ uma pessima ideia I

I

˜ suponha que o invasor desconhec¸a aspectos internos da sua nao rede ou sistema ˜ dependa dela a obscuridade ate´ pode ajudar, mas nao

Mantenha a coisa simples I

quanto mais complicado, mais dif´ıcil de analisar e mais chances de dar errado

˜ fornec¸a a uma pessoa ou a um programa mais privilegios ´ Nao do ´ que aqueles necssarios para fazer o trabalho Programar e´ dif´ıcil I

I

ˆ bugs, e parte deles tem ˆ a ver com a maioria dos programas tem seguranc¸a a quantidade de bugs e´ diretamente proporcional ao tamanho e a` complexidade

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

25 / 37

A seguranc¸a deve ser parte integral do projeto original ˜ executa um programa, nao ˜ interessa se ele tem Se voceˆ nao furos de seguranc¸a Um programa ou protocolo e´ considerado inseguro ate´ que se ´ prove o contrario ˜ forte quanto seu elo mais fraco Uma corrente e´ tao ˜ de compromisso com a conveniencia ˆ A seguranc¸a e´ uma relac¸ao ˜ subestime o valor dos seus ativos Nao ˜ um produto (Bruce Schneier) Seguranc¸a e´ um processo, nao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

26 / 37

´ Princ´ıpio do m´ınimo privilegio

Princ´ıpios de projeto (Saltzer & Schroeder) ´ Na decada de 70, Saltzer & Schroeder (MULTICS) definiram oito ´ princ´ıpios basicos de projeto para mecanismos de seguranc¸a I

˜ com os tru´ısmos existe alguma sobreposic¸ao

Um sujeito (pessoa ou entidade agindo em seu nome) deve ´ ´ possuir apenas os privilegios necessarios para executar determinada tarefa ´ ˜ ditados pela func¸ao, ˜ nao ˜ pela identidade Esses privilegios sao

˜ Baseados em dois conceitos chave, simplicidade e restric¸ao Simplicidade I

menos coisas para dar errado

I

ˆ menor possibilidade de inconsistencias

F

F I

˜ ˜ interac¸oes, verificac¸oes, ...

Direitos de acesso devem ser concedidos temporariamente e ´ o uso revogados apos ˜ tao ˜ Os processos devem ser confinados a dom´ınios de protec¸ao pequenos quanto poss´ıvel

pol´ıticas

˜ facilidade de compreensao

˜ Restric¸ao I I

minimizar o acesso ˜ inibir comunicac¸oes F

entidades e canais

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

27 / 37

˜ segura (fail-safe defaults) Princ´ıpio da inicializac¸ao

28 / 37

I

SEG

princ´ıpio KISS

A simplicidade significa que menos coisas podem dar errado

˜ nao ˜ consegue ser completada, o Se uma determinada ac¸ao sistema deve ser retornado a um estado seguro

Aula 3: Ameac¸as & Princ´ıpios

SEG

˜ simples quanto Os mecanismos de seguranc¸a devem ser tao poss´ıvel

˜ e´ explicitamente permitido e´ proibido tudo o que nao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

Princ´ıpio da economia de mecanismos

˜ O acesso deve ser negado por padrao I

c 2008 Rafael Obelheiro (DCC/UDESC)

I

˜ mais faceis ´ se erros ocorrerem, sao de se entender e consertar

˜ e interfaces em que elas ocorrem A quantidade de interac¸oes aumenta a complexidade

29 / 37

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

30 / 37

˜ completa Princ´ıpio da mediac¸ao

Princ´ıpio do projeto aberto

Todos os acessos devem ser verificados Geralmente, isso e´ feito apenas uma vez, no primeiro acesso I

arquivos no UNIX

˜ de permissoes ˜ podem nao ˜ se refletir nos objetos em Alterac¸oes uso I

˜ autorizados acessos nao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

31 / 37

˜ de privilegios ´ Princ´ıpio da separac¸ao

˜ funciona “Seguranc¸a por obscuridade” nao ˜ se aplica a senhas e chaves criptograficas ´ Isso nao

c 2008 Rafael Obelheiro (DCC/UDESC)

duas assinaturas para emitir um cheque

32 / 37

Canais cobertos Mecanismos de isolamento I I

Aula 3: Ameac¸as & Princ´ıpios

SEG

˜ devem ser compartilhados Mecanismos de acesso a recursos nao ˜ atraves ´ dos canais Pode haver fluxo de informac¸ao compartilhados

Defesa em profundidade

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

Princ´ıpio do m´ınimo mecanismo comum (least common mechanism)

´ ˜ devem ser concedidos com base em uma unica Privilegios nao ´ ˜ condic¸ao ˜ de deveres (separation of duty) Separac¸ao I

˜ deve depender de seu A seguranc¸a de um mecanismos nao ˜ ser mantido em segredo projeto ou implementac¸ao ˜ implica necessariamente acesso ao codigo ´ Isso nao fonte

SEG

33 / 37

´ maquinas virtuais sandboxes

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

34 / 37

´ Princ´ıpio da aceitabilidade psicologica

´ Resumo da opera

˜ presentes em todos os Os princ´ıpios de seguranc¸a estao mecanismos ˆ Ignorar princ´ıpios (ou tru´ısmos) pode ter consequ¨ encias ´ desagradaveis ˜ dos princ´ıpios exige A correta aplicac¸ao

˜ devem dificultar o acesso a Os mecanismos de seguranc¸a nao um recurso Ocultar a complexidade dos mecanismos de seguranc¸a ˜ configurac¸ao, ˜ uso Facilidade de instalac¸ao, ˆ ´ o Se a conveniencia for seriamente afetada, a seguranc¸a tambem sera´

I

I I

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

35 / 37

Bibliografia

Dieter Gollmann. Computer Security, 2nd Edition. Wiley, 2006. Cap´ıtulos 1 e 2. William Cheswick, Steven Bellovin e Aviel Rubin. Firewalls e Seguranc¸a na Internet. Bookman, 2005. Cap´ıtulo 1. Matt Bishop. Computer Security: Art and Science. Addison-Wesley, 2002. Cap´ıtulo 13.

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

37 / 37

bom entendimento do objetivo do mecanismo e do ambiente em que ele vai ser usado ´ cuidado na analise e projeto ˜ cuidado na implementac¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 3: Ameac¸as & Princ´ıpios

SEG

36 / 37