ataques em redes Flashcards

1
Q

spoofing

A

O termo Spoofing está diretamente relacionado ao assunto de falsificação ou adulteração de alguma informação com vistas a alteração de algum tipo de identidade ou identificador. Duas são as principais intenções com isso:

  1. Se passar por alguma pessoa, instituição ou dispositivo que possua certo grau de confiabilidade e legitimidade para dar confiança à informação enviada. Por exemplo, posso enviar e-mails em nome da Receita Federal para obter informações dos usuários.
  2. Esconder informações da origem de tal forma que não seja possível a identificação ou o rastreamento do atacante.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Falsificação de e-mail (E-mail spoofing)

A

É um recurso básico para realização de SCAM! E aqui, muita atenção pessoal! Não é SCAN (varredura) e sim SCAM (foco na enganação do usuário) com M!!!

Para se manipular as informações dos e-mails, basta-se adulterar os dados do cabeçalho do SMTP, mais especificamente, do campo FROM, além dos campos REPLY-TO e RETURN-PATH.

Atacantes se passando por alguém conhecido, solicitando que você clique em
um link ou execute um arquivo anexo;

  • Atacantes se passando por seu banco, solicitando que você siga um link fornecido na
    própria mensagem e informe dados da sua conta bancária;
  • Atacantes se passando por administrador do serviço de e-mail que você utiliza,
    solicitando informações pessoais e ameaçando bloquear a sua conta caso você não as envie.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Man in the Middle

A

A sua principal característica é a capacidade de se inserir no meio de uma comunicação entre dois nós. Assim, ao invés de se ter uma comunicação direta entre as vítimas, tem-se o estabelecimento de duas novas conexões, conforme podemos perceber na imagem a seguir:

Pode simplesmente acessar e extrair os dados violando a confidencialidade. Para mitigar esse tipo de ataque, pode-se utilizar a criptografia para tornar os dados ilegíveis;

  • Pode modificar os dados, ainda que não consiga ter acesso ao conteúdo de forma direta, violando assim a Integridade. Para mitigar esse tipo de ataque, pode-se utilizar recursos que visam controlar a integridade dos dados como cálculos de verificação ou funções HASH;
  • Pode simplesmente escolher quais mensagens devem ou não chegar até o destino, eliminando as demais, violando assim o princípio da DISPONIBILIDADE. Para mitigar esse tipo de ataque, pode-se utilizar técnicas de controle semelhantes às que são implementadas pelo protocolo TCP para confirmação de recebimento;
  • Pode usar a identidade do usuário para realizar a autenticação em serviços diversos, violando o princípio da AUTENTICIDADE. Esse tipo de ataque, também é conhecido como ataque REPLAY. Para mitigar esse tipo de ataque, pode-se utilizar de chaves dinâmicas de sessão com prazo curto e temporário de validade.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

ARP (Address Resolution Protocol)

A

Como já vimos, o ARP tem a característica de traduzir endereços IP para endereços MAC. O procedimento padrão do ARP é o envio de um ARP request para todos da rede de tal modo que somente o “dono” de determinado endereço IP deveria responder com a informação de seu endereço MAC através da mensagem ARP REPLY.

RARP -> Reverse ARP –> MAC para o IP

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

ARP Spoofing ou ARP Poisoning (Envenenamento das tabelas MAC:IP do switch)

A

O atacante envia a informação para BOB com o intuito de se passar por ALICE dizendo que o IP 10.0.0.7 tem como MAC correspondente o cc:cc:cc:cc:cc:cc, quando o correto seria aa:aa:aa:aa:aa:aa, que é o endereço da ALICE.
Faz o mesmo procedimento ao enviar a informação para ALICE se passando por BOB, ao informar que o endereço 10.0.0.1 possui como MAC correspondente o endereço MAC cc:cc:cc:cc:cc:cc, quando o correto deveria ser bb:bb:bb:bb:bb:bb.
Assim, o atacante envenenou as tabelas ARP de ALICE e BOB. Agora, sempre que a ALICE encaminhar uma mensagem para BOB, ela será redirecionada para o ATACANTE e vice- versa.
Esse é um ataque extremamente fácil de ser realizado, tanto a nível do próprio Sistema Operacional como através de ferramentas, como CAIN&ABEL.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

IP Spoofing

A

Temos aqui um ataque bastante simples com o objetivo de mascarar ataques de rede com o intuito de não deixar rastros que possam incriminar um atacante.
Ou seja, digamos que determinado atacante queira fazer uma varredura em um firewall de uma instituição. Nesse caso, adultera-se os pacotes IP de tal modo a mascarar o IP real do atacante. O mesmo princípio se aplica quando se objetiva a derrubada de um servidor, através de DoS, por exemplo, que veremos mais à frente.
Se um volume muito grande de requisições parte de um mesmo host, gera-se uma suspeita de que está sendo realizado um ataque. Assim, pode-se adulterar os pacotes dando a impressão que são vários hosts realizando requisições distintas.
Outros tipos de ataques também são gerados a partir do IP Spoofing. Vamos analisar a imagem abaixo:

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Ataque SMURF

A

A partir do SPOOFING de IP, pode-se gerar ataques mais elaborados e potentes. Um exemplo deles é o ataque SMURF. Esse tipo de ataque consiste em enviar ataques de resposta à vítima a partir de mensagens do tipo echo request para um endereço de broadcast com o “IP SPOOFADO” da vítima. A figura a seguir nos ajuda a entender este conceito:

Assim, o atacante sabendo que o IP da vítima é o 9.9.9.9, ele adultera o campo FROM do pacote IP de uma mensagem do tipo echo request. Essa mensagem possui como destino um IP de Broadcast de alguma rede que responde a PINGS.
Em seguida, o roteador distribuirá essas mensagens para todos os nós que fazem parte daquela rede. Assim, cada nó responderá às requisições com uma mensagem do tipo ECHO REPLY.

Entretanto, como o IP de origem corresponde ao endereço IP da vítima, todo esse tráfego será redirecionado à vítima, gerando indisponibilidade do serviço.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Interceptação de tráfego (Sniffing)

A

Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados
trafegados em redes de computadores, por meio do uso de programas específicos chamados
de sniffers (Ex. Wireshark e TCPDump). Esta técnica pode ser utilizada de forma:
Legítima: por administradores de redes, para detectar problemas, analisar desempenho e
monitorar atividades maliciosas relativas aos computadores ou redes por eles
administrados.

Maliciosa: por atacantes, para capturar informações sensíveis, como senhas, números de cartão de crédito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja, sem criptografia.
Note que as informações capturadas por esta técnica são armazenadas na forma como trafegam,
ou seja, informações que trafegam criptografadas apenas serão úteis ao atacante se ele
conseguir decodificá-las.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Ataques de força bruta

A

descobrir uma senha ou alguma outra informação através do método de tentativa e erro de forma exaustiva

importância de se ter senhas grandes de complexas com o objetivo de tornar esse tipo de ataque inviável

relacionado à capacidade de processamento computacional de um atacante.

aplicam também à quebra de chaves criptográficas para que seja possível a interpretação de dados criptografados

tentar dicionários de senhas mais óbvias para reduzir combinação

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

PAM Privileged Access Management

A

Privileged Access Management (PAM) comprises security controls and policy management to govern and control access to privileged accounts, workstations, and servers. Privileged accounts are accounts that have elevated permissions, such as administrator accounts. PAM controls who can use these accounts to perform critical tasks, such as installing software, making changes to system settings, or accessing sensitive data. 

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Desfiguração de página (Defacement)

A

Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da páginaWebde um site

Explorar erros da aplicação Web;

Explorar vulnerabilidades do servidor de aplicação Web;

Explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação Web;

Invadir o servidor onde a aplicação Web está hospedada e alterar diretamente os arquivos que compõem o site;

Furtar senhas de acesso à interface Web usada para administração remota.

Muita atenção, pois, o conceito que acabamos de ver é diferente do PHISHING, que veremos a seguir.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

PHISHING

A

A ideia aqui não é invadir algum sistema para adulterá-lo, mas sim, copiar uma página legítima e divulgar às vítimas para obtenção de informações privadas. O principal meio de divulgação das páginas falsas é por e-mail através de SPAM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Spear Phishing

A

Esse tipo de ataque é similar ao Phishing com a diferença de ter um destino específico, como uma empresa ou órgão governamental, produzindo assim um ataque customizado através da falsificação de e-mails.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

pharming

A

Este tipo de ataque ocorre quando um tráfego que originalmente deveria ir para um site legítimo é redirecionado para outro.

Percebam a diferença do Phishing padrão. No Phishing o usuário já dispara o acesso à uma página falsa na origem, enquanto no Pharming, há um desvio ao longo da rede, sendo quase que transparente para o usuário.

Essa forma de ataque pode ocorrer de diversas formas, como por meio da alteração do servidor DNS (DNS Poisoning), em que se faz um apontamento para um IP de destino que armazena conteúdo similar, porém, é um site malicioso para se obter dados.

Esse tipo de ataque pode acontecer tanto nos arquivos de configuração de DNS local (Cache Poisoning) quando em um servidor de consulta.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Negação de Serviço (Denial of Service – DoS)

A

ataque para “tirar” um serviço do ar.

Envio de um grande volume de requisições para um serviço específico (como acesso à uma página WEB), consumindo seus recursos de processamento, quantidade de sessões suportadas, banda de internet, memória, disco, entre outros;

Exploração de vulnerabilidade em programas causando sua indisponibilidade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Negação de Serviço Distribuído (Distributed Denial of Service)

A

Tem os mesmos princípios do ataque DoS, porém, é tratado de forma coordenada e distribuída, sejam por computadores envolvidos de forma voluntária ou de forma involuntária (zumbis).

rede de computadores zumbis, muitas vezes chamadas de botnets

Este tipo de ataque tem um alto grau de sucesso devido à grande dificuldade de se detectar e reagir a tempo a esse tipo de ataque. Na maioria das vezes a ação é reativa com vistas a mitigar o prejuízo.

17
Q

DRDoS ou DDoS Refletor

A

A ideia é utilizar zumbis para enviar requisições com endereços forjados para usuários legítimos e não infectados. Entretanto, devido ao IP forjado gerado pelos zumbis, os hosts legítimos encaminham o tráfego (resposta às requisições) à vítima, algo semelhante ao que vimos no SMURF ATTACK.

Entretanto, com o volume, tem-se um poder de fogo muito maior. Percebam que o ataque, diferentemente do DDoS padrão, não ocorre de forma direta dos zumbis para a vítima, e sim, por intermediários que funcionam como refletores. A figura abaixo nos apresenta uma comparação entre os três tipos:

18
Q

defesa DDOS - Superestimar recursos de rede (largura de banda) e recursos computacionais:

A

A ideia é ter cada vez mais largura de banda e recursos computacionais de tal modo que exigirá ainda mais potência nos ataques de DDoS para esgotar os recursos. Entretanto, é uma solução um tanto cara manter recursos dessa forma, principalmente, considerando que estes ficarão ociosos em condições normais. Por esse motivo, acaba se tornando inviável muitas vezes.

Com nuvem fica mais palpável financeiramente

19
Q

defesa DDOS - Estabelecimento de padrões de tráfego:

A

Monitorar o fluxo e traçar perfil de acesso e utilização permite aos gerentes de rede bloquearem acessos que fogem ao padrão.

Além disso, pode-se determinar marcos específicos como uma Baseline de comportamento que permite uma reação de forma mais rápida em caso de comportamento estranho.

Entretanto, esse tipo de operação pode gerar falsos positivos, ou seja, tráfego legítimos que possuem um caráter de exceção e serão tratados como possíveis ataques.

20
Q

defesa DDOS - Encaminhar o tráfego inválido para “buracos negros”:

A

Como o perfil desses ataques geralmente utilizam requisições falsas ou incompletas ao servidor, busca-se descartar ou desconsiderar esse tipo de tráfego.

Para tanto, pode-se redirecioná-los por rotas nulas, chamadas de “buracos negros”.

Como não há a resposta de informação de que os pacotes estão sendo descartados, dificulta-se a ação alternativa por parte dos atacantes.

Há de se mencionar que atacantes mais experientes já possuem pleno conhecimento dessas técnicas e não esperam uma resposta nos casos de rotas inválidas. Essa técnica visa simplesmente à mitigação dos danos provenientes desse tipo de ataque.

21
Q

Utilização de serviços de distribuição de conteúdo:

A

Focado em reduzir a carga de um eventual ataque, pode-se utilizar serviços específicos de fornecimento de conteúdo (CDN’s). Assim, pode-se manter informações específicas nas CDN’s de modo a desonerar o consumo de recursos nos servidores principais da aplicação. Entretanto, devido ao volume a ser utilizado, também pode se tornar inviável em termos financeiros.

22
Q

defesa DDOS - Hardening de Sistemas

A

A configuração segura com vistas a eliminar possíveis vulnerabilidades de sistemas operacionais e serviços. Assim, pode-se tornar o ambiente mais robusto e menos suscetível a esse tipo de ataque

23
Q

SPIM (Spam over Instant Message)

A

O tão conhecido SPAM possui uma variação para serviços de mensagem instantânea. Chama-se SPAM via IM. Nesse caso, os indivíduos mal-intencionados utilizam dois métodos de transferência de código malicioso. Eles podem enviar um arquivo com vírus, trojan ou spyware, ou podem fazer uso de engenharia social. Uma vez que o código é executado, o usuário poderá ter sua lista de contados violada e roubada, propagando o ataque para outros usuários.

24
Q

Ataques de Engenharia Social

A

A partir da enganação da vítima por meio social, pode-se obter informações privilegiadas para se gerar ataques. Existem várias técnicas que usam a engenharia social, quais sejam:

  • Vishing – Trata-se de uma prática em que o sujeito que inicia um ataque vai fazer uso de um sistema telefônico (VoiP, por exemplo) para ter acesso a informações pessoais da vítima;
  • Phishing ou Spear Phishing – Conforme já vimos;
  • Hoax – Trata-se de uma mentira que, quando divulgada por veículos de disseminação em
    massa, pode parecer verdade. Essa disseminação pode utilizar os diversos meios de
    comunicação.
  • Whaling – São ataques altamente direcionados com vistas a ludibriar executivos do alto
    escalão de uma organização.
25
Q

ATAQUES A REDES SEM FIO

A

Um ponto que tem começado a surgir em provas são os ataques a redes sem fio. Apesar de já serem amplamente difundidos no cenário atual, para efeito de prova, podemos considerar como um assunto novo.
Os ataques de redes sem fio buscam explorar as diversas brechas existentes na própria estrutura ou arquitetura de implementação da tecnologia. Há de se lembrar que, nos ambientes de redes sem fio, os dados enviados pelos dispositivos possuem um caráter de Broadcast, ou seja, todos os dispositivos dentro daquele range específico de alcance do sinal poderão interceptar o tráfego. Desse modo, vamos conhecer alguns dos principais ataques utilizados nesses ambientes.
Mas antes, gostaria apenas de lembrar que as redes sem fio são, nos casos do 802.11, extensões da rede cabeada. Dessa feita, a maioria dos ataques possíveis de serem realizados nos ambientes com fio também poderão ser utilizados nas redes sem fio.

26
Q

EavesDropping - rede sem fio

A

Trata-se de técnica associada à violação do princípio da confidencialidades. Basicamente, alguém não autorizado, se utiliza de algum método ou técnica específica que possibilite a escuta ou o monitoramento do tráfego da vítima, com vistas a obter informações que estão trafegando de forma aberta e sem criptografia.

Um dos principais vetores está associado a redes sem fio abertas ou com vulnerabilidades associadas às suas fragilidades de segurança, como é o caso dos algoritmos de segurança com vulnerabilidades conhecidas: WEP e WPA.

Um ponto importante se dá pelo fato de que esse ataque não se restringe a redes sem fio, ainda que seja utilizado nesse contexto em maior escala.

27
Q

Wardriving - rede sem fio

A

Essa terminologia define um método que busca procurar redes sem fio através de uma antena de alto alcance conectada a um dispositivo móvel qualquer, preferencialmente, um laptop.
Esta procura geralmente é feita a partir de um automóvel e possui como principal objetivo a enumeração das redes em busca de redes abertas, desprotegidas ou com sistemas de proteção suscetíveis a quebra.

De forma complementar, utiliza-se recursos de GPS com vistas a mapear em softwares que disponibilizam mapas, como o GOOGLE MAPS. Desse modo, apresenta-se no mapa as diversas redes com os seus respectivos nomes (SSID), bem como suas tecnologias de acesso e autenticação (WEP, WPA, WPA2).

Atualmente já existem software específicos que realizam essas tarefas, como é o caso do Kismet, para ambientes UNIX.

28
Q

Ataque de Engenharia Elétrica - rede sem fio

A

Essa técnica tem como objetivo gerar indisponibilidade da rede sem fio ou, pelo menos, prejudicar a qualidade da transmissão de dados. Como a rede sem fio atua em frequência específicas, que podem ser facilmente obtidas pelos atacantes, acabam por ficar vulneráveis a um alto grau de interferência.

A ideia é simplesmente ter um equipamento ou uma antena que gere sinal de alta intensidade na mesma frequência de operação da referida rede, gerando assim uma relação Sinal-Ruído baixa que impede o funcionamento adequado da rede, impedindo, inclusive, que novos usuários se associem à rede sem fio.

29
Q

Bluejacking - rede sem fio

A

Esse tipo de ataque, como o próprio nome já nos ajuda a lembrar, busca explorar o modelo de comunicação por bluetooth. O seu funcionamento é similar ao SPAM, lá do contexto de correio eletrônico. Entretanto, para o bluetooth, utiliza-se o protocolo OBEX para tal finalidade.

Geralmente esse tipo de ataque não gera danos às vítimas. Estas acabam por receber mensagens de texto com propagandas ou informações indesejadas de outros dispositivos que estejam próximos. Caso o dispositivo suporte mensagens multimídia – MMS – estas também podem ser utilizadas.

A principal proteção contra esse tipo de ataque é não habilitar o modo “visível” de seu aparelho quando estiver com o bluetooth ativado, invocando assim o método de segurança por obscuridade ou desconhecimento.

30
Q

Bluesnarfing - rede sem fio

A

Outro tipo de ataque que também habita em redes bluetooth é o bluesnarfing. Esse tipo de ataque possui um caráter invasivo que fere a privacidade, podendo atingir ainda a confidencialidade de determinados dados nos aparelhos das vítimas.

Essa técnica permite que o atacante tenha acesso à agenda, lista de contatos, correios eletrônicos, mensagens de textos, entre outros recursos do aparelho da vítima.

Com o surgimento de técnicas de autenticação para a sincronização ou o emparelhamento de dispositivos via bluetooth, essa técnica perdeu força.