Captulo 3 Ameaas e Riscos O que uma

Capítulo 3 Ameaças e Riscos

O que é uma ameaça ? n Uma ameaça é algum fato que pode ocorrer e acarretar algum perigo a um bem. n Tal fato, se ocorrer, será causador de perda. n É a tentativa de um ataque.

Agente de uma ameaça n É uma entidade que pode iniciar a ocorrência de uma ameaça. n Entidade: uma pessoa: invasor / intruso

Ameaças Não-Intencionais n Erros humanos, n Falhas em equipamentos, n Desastres naturais, n Problemas em comunicações.

Ameaças Intencionais n Utilização de recursos, violando as medidas de segurança. n Furto de informação,

Risco n É uma medida da probabilidade da ocorrência de uma ameaça. n Riscos variam em probabilidade. n Oficialmente, um risco corresponde a um grau de dano ( Impacto que a ocorrência de uma ameaça pode causar).

Tipos de Ameaças à Segurança n Acesso não-autorizado n Reconhecimento n Recusa de Serviço n Manipulação de Dados

Problemas de segurança física n Administradores tendem a cuidar muito mais da segurança lógica, dando pouca atenção a segurança física. n Segurança física é importante componente de risco em redes cabeadas e em redes sem fio esse aspecto é ainda mais relevante.

Problemas de segurança física n A área de abrangência de redes sem fio aumenta substancialmente, em relação a redes cabeadas. n Posicionamento de determinados componentes de uma rede sem fio, devem ser cuidadosamente estudados.

Problemas de segurança física n Risco em comprometer o bom funcionamento da rede, facilitar o acesso não autorizado e outros e ataques. n Itens relevantes no momento de avaliar a área de abrangência de uma rede sem fio: Alcance do padrão utilizado, n Potência de transmissão dos concentradores. n

Potência de transmissão dos concentradores n A maioria dos concentradores permite selecionar valores intermediários, caso seja conveniente, em função da área efetiva a ser coberta. n http: //192. 168. 11. 1/advance-lanwireless. htm

Potência de transmissão dos concentradores n Antenas ou interfaces mais potentes ampliam distância da recepção. n Um teste de propagação do sinal não deve ser o único fator de prevenção a ataques.

Potência de transmissão dos concentradores n Para garantir que o sinal não vai ser capturado a uma determinada distância, não é suficiente percorrer os limites da área de cobertura.

Configurações de Fábrica n A segurança de redes sem fio deve ser elaborada desde sua concepção. n Equipamentos não vêm habilitados de fábrica, por várias razões: Incompatibilidade com equipamentos de outros fabricantes. n Facilidade de instalação. n

Configurações de Fábrica n Insegurança “precoce” na rede: os equipamentos de rede são colocados a funcionar sem qualquer mudança, ou com mudanças mínimas, suficientes para que o ambiente funcione. n Equipamentos serão alvos fáceis de ataques. n Senha de administração e IP padrão.

Configurações de Fábrica n Redes com WEP, que pode ser adequada em algumas circunstâncias, são vulneráveis, caso as chaves WEP venham configuradas. n Concentradores Linksys, modelo WAP-11 802. 11 DS saem de fábrica com a seguinte configuração:

Configurações de Fábrica - Linksys

Configurações de Fábrica n Contas administrativas, SSID e chaves WEP ou WPA devem ser trocadas. n A maioria dos concentradores tem o serviço SNMP habilitado. n SNMP revela várias informações sobre a rede.

Testando se SNMP está ativo

Configurações de Fábrica - SNMP n Snmpwalk é comando, parte do pacote NET-SNMP. n Opções: n n n -Os mostra nomes de objetos. -c mostra a comunidade para acesso ao concentrador. -v indica a versão do protocolo (1, 2 c ou 3). IP do concentrador. Opcionalmente, quais elementos devem ser mostrados (“system”, neste caso).

Configurações de Fábrica - SNMP n Mesmo sem ter nenhuma credencial (usr, password) que permita acesso ao concentrador, é possível obter informações: quantidade de dispositivos, n clientes conectados e seus endereços IPs, n Respectivos endereços MAC. n

Configurações de Fábrica - SNMP

Ferramenta ap-utils n Possibilita enviar comandos de configuração aos concentradores que estejam configurados a aceitar comandos SNMP. n Ver slide seguinte.

Ferramenta ap-utils - SNMP n Um exemplo: n Usar o comando ap-config do pacote ap-utils para procurar concentradores com SNMP habilitado e com as configurações padrão.

Ferramenta ap-utils - SNMP n Versões v 1 e v 2 c, o tráfego para em texto claro. Assim a senha da comunidade (comunity) poderá ser revelada, num procedimento de escuta de tráfego.

Configurações de segurança n À medida que padrões de segurança forte se consolidem (IEEE 802. 11 i), os equipamentos deverão ser entregues com mais recursos de segurança habilitados. Net-SNMP – http: //net-snmp. sourceforge. net n Ap-utils – http: //ap-utils. polesye. net n

Envio e Recepção de Sinal n O posicionamento dos concentradores pode ser detrminate na qualidade da rede e sua segurança. n O sinal (a menos que se use antenas direcionais) é transmitido em todas as direções.

Posicionamento do concentrador

Possibilidade de um atacante n A posição física do concentrador pode ter grande importância na segurança da rede no ambiente. n Um atacante terá acesso a um sinal de muito boa qualidade se o concentrador não estiver corretamente posicionado.

Negação de Serviço - Do. S n Não necessita de acesso ou invasão à rede-alvo. n Dispositivos Bluetooth conseguem impor retardo a redes Wi-Fi, tornando por vezes, inviável o acesso de equipamentos à rede.

Negação de Serviço - Do. S n Pela característica de qualquer dos padrões, que utilizam uma faixa delimitada de frequência, ao longo do tempo de transmissão, os intervalos dessa faixa vão sendo usados e assim, toda ou grande parte da faixa pode ser preenchida com ruído.

Negação de Serviço - Do. S n Se um equipamento de um atacante consegue ter potência suficiente para enviar um sinal que ocupe toda, ou grande parte da faixa usada pela rede, não restará nenhum intervalo disponível para transmissão, visto que a faixa foi toda ocupada pelo sinal do atacante.

Preparação do Ambiente n Qual equipamento levar para uma varredura de sinal numa área extensa ? n Notebook ou PDA em funcionamento visível. n Percurso de carro (sinais podem não ser captados, dependendo da relação qualidade do sinal/velocidade ou ruas podem não estar próximas dos locais a serem analisados).

Preparação do Ambiente Andar com equipamentos ligados que tenham peças móveis (discos rígidos). Praticamente, PDAs não possuem peças móveis. n Notebook pode conter maior número de ferramentas, mas o HD é a peça mais sensível. n Usar uma distribuição que rode a partir do CD, que também tem sua sensibilidade. n Equipamentos com portas USB ou Cartões de Memória (Compact-Flash). n

Memória Flash n Flash memory é uma forma de meméria de computador não-volátil que pode ser eletricamente apagada e reprogramada.

Memória Flash n Flash memory costs far less than EEPROM and therefore has become the dominant technology wherever a significant amount of non-volatile, solid-state storage is needed. Examples of applications include digital audio players, digital cameras and mobile phones. Flash memory is also used in USB flash drives (thumb drives), which are used for general storage and transfer of data between computers.

Preparação do Ambiente n Algumas ferramentas só funcionam com determinadas placas de redes sem fio. n Se notebooks oun PDAs são usados, uma maneira de resolver esta questão é com conversores PCMCIA para Compact Flash.

Mapeamento do Ambiente n A primeira ação a ser realizada por atacantes. n Possibilita obter o maior número de informações sobre uma determinada rede. n Conhecer detalhes para a construção de ataques, com menos riscos de ser identificado.

Mapeamento do Ambiente n Dependendo dos mecanismos de proteção na rede-alvo, o mapeamento pode ter maior ou menor grau de êxito.

Mapeamento passivo n Métodos que permitem a um atacante mapear componentes da rede-alvo, posicionado na área de cobertura pelo sinal da rede-alvo, não sendo preciso estar conectado a um concentrador, nem possuir um endereço IP para o seu equipamento.

Mapeamento passivo n Como isso pode ser feito ? n Ferramentas tradicionais em redes cabeadas podem executar esse trabalho. n Exemplo: a ferramenta p 0 f (passive os fingerprint)

Uso da ferramenta p 0 f

Geração de mapas n Uma das possibilidades para localizar redes sem fio e identificar suas características é: integrar ferramentas de análise com dispositivos de localização por satélite, conhecidos como GPS. n GPS – Global Positioning System)

Geração de mapas n É possível, assim, gerar mapas de localização, com bom grau de precisão, onde se encontram redes sem fio, com características de interesse.

Geração de mapas n Características de interesse: padrão de funcionamento da rede sem fio (802. 11 g), n Não utiliza WEP, n proprietário da rede (órgão / empresa), n padrão de segurança, n geração de estatísticas de aumento ou diminuição de redes sem fio em uma determinada região. n

Combinação de Ferramentas n Ferramentas: n GPSD – GPS Daemon, disponível em plataformas abertas como Linux, Free. BSD, . . . permite a integração com a maioria dos dispositivos GPS conhecidos, para a requisição das coordenadas de cada rede sem fio ao dispositivo GPS.

Dispositivos GPS n Fundamental para análise, com o qual é possível identifica a localização de uma rede e a abrangência do sinal. n Para determinar até onde o sinal chega e assim poder-se fazer, por exemplo, ajustes de potência nos concentradores

Dispositivo GPS n Pode ser integrado a várias ferramentas (por exemplo, o GPSD em Linux), para análise e varredura. n Custo e tamanho cada vez menores. n Pode ser utilizado com um dispositivo do tipo PDA.

PDA com interface de rede sem fio e dispositivo GPS

Dispositivo GPS n Estão disponíveis com vários tipos de interface: n n Porta serial Porta USB para redes Bluetooth Facilitando seu uso direto computadores que contenham essas entradas ou por meio de conversores.

Exemplos de Conversores

Ferramenta GPSD + Dispositivo GPS n Uma máquina Linux, rodando o GPSD, pode se conectar com um dispositivo GPS, através de: n n n uma porta serial ( gpsd –p /dev/tty. SS 0 ) uma porta USB ( gpsd –p /dev/tty. USB 0 ) ou uma rede Bluetooth ( gpsd –p /dev/rfcomm 0 )

Mapeamento específico para redes sem fio n Ferramentas n n Kismet pode ser configurada para interagir com GPSD, por meio de informações no seu arquivo de configuração. Parâmetros Kismet mais importantes: gps = true n gpshost = localhost : port gpshost = servidor onde GPSD está rodando e em que porta. n # grep gps /etc/kismet. conf n

Kismet integrado com GPS n Arquivo de configuração do Kismet (kismet. conf) mostrando os parâmetros mais importantes: gps (true) e gpshost (servidor onde o GPSD está rodando).

kismet. conf

Geração de Mapas n Quando configurado para usar o GPSD, o Kismet grava as coordenadas de cada rede detectada em um arquivo com extensão. gps. n Desta maneira podem ser gerados mapas com: informações como nomes das redes, n seus protocolos, n canais ativos, . . . n

Geração de Mapas n O pacote do Kismet tem um programa para geração de mapas, chamado GPSmap. n Com uma linha de comando, como segue, pode-se gerar uma mapa com GPSmap: n n gpsmap -v -e -r -n 1 *. gps Uma vez o mapa gerado, constando os nomes das redes, esses nomes podem ser omitidos no mapa, mas podem ser incluídos usando-se a opção “ -l name ”.

Geração de mapa com Gpsmap

Geração de Rota n Mapa de rota n É possível traçar uma rota do caminho seguido numa determinada região com Gpsmap. n Passeio de carro dentro de uma região, equipado com um notebook para rede sem fio, rodando: n n n Linux + GPSD + dispositivo GPS, Kismet e GPSD GPSdrive ou Ji. GLE, para plotagem de rotas.

Rota com Gpsmap

Mapeamento ativo Identifica os equipamentos em operação. n Possibilita a busca por vulnerabilidades existentes em equipamentos ou sistemas. n O endereço MAC está associado ao fabricante do equipamento. n

Mapeamento Ativo n Então, se existe alguma vulnerabilidade conhecida para um determinado equipamento de um fabricante, a identificação do endereço MAC pode ser suficiente para a preparação de um ataque.

Um primeiro exemplo n É possível identificar endereços MAC e associá-los aos respectivos fabricantes. n Veja, por exemplo, utilizando o seguinte script rodando num shell:

Identificando endereços MAC

Um segundo exemplo n Usando o programa THC-rut, que permite identificar os endereços MAC em uso e os fabricantes das placas.

THC-rut n Para tanto, nem é necessário que o invasor faça parte da rede. n Basta que o invasor tenha uma interface de rede e uma rede sem fio operando nas proximidades de uma rede cabeada sendo investigada. n No exemplo a seguir, a interface ath 0 não possui nenhum endereço IP.

Nmap

Cheops-ng

Mapeamento específico para redes sem fio n Uma forma rápida de verificar a existência de redes sem fio nas proximidades, pode ser realizada com programas específicos. n Identificar redes sem fio próximas e suas características, em ambientes Linux, é usar o comando iwlist com a opção scan. n # iwlist ath 0 scan

Mapeamento específico para redes sem fio n Dependendo da capacidade da placa de rede sem fio, pode-se verificar a existência de um número maior ou menor de redes sem fio. n Uma placa de rede que trabalhe com os três padrões IEEE (a/b/g), pode verificar a existência de redes 802. 11 a, 802. 11 b ou 802. 11 g

Mapeamento em camadas de baixo nível Há informações que dizem respeito ao tráfego de rede. n Outras informações são relacionadas aos protocolos usados para conexão e manutenção de uma rede sem fio. n No tráfego, existem informações que podem ser úteis para avaliar o nível de segurança e levantar características da rede observada. n

Mapeamento em camadas de baixo nível n Para realizar essa análise existem meios bastante específicos, como o uso de um espectômetro. n TCPdump para captura de tráfego em um rede sem fio:

Mapeamento em camadas de baixo nível n Um exemplo: 08: 40: 41: 213128 Beacon (OMITIDO) [2. 0*Mbit] ESS CH: 1 08: 40: 41: 297159 Authentication (Open System)-1: Succesful 08: 40: 41: 297415 Acknowledgment RA: 00: 0 d: 9 d: c 6: 5 c: 34

Mapeamento em camadas de baixo nível n Pode-se deduzir algumas informações dessa captura: O nome da rede (concentrador) foi omitido. n O concentrador negociou uma baixa velocidade, o que pode indicar que ele está a uma certa distância do cliente ou que é um concentrador antigo. n A segunda linha indica que não existe criptografia na comunicação (Open System). n A última linha exibe o endereço MAC do concentrador. n

Captura de Tráfego n Se as ondas de radiofrequência se propagam pelo ar, então são passíveis de captura. n Tudo o que um atacante precisa é estar dentro de uma área de cobertura do sinal a ser capturado.

Captura de Tráfego n Munido de um notebook ou um PDA, com ferramenta para captura de tráfego, que pode ou não ser específica para redes sem fio. n Ferramentas para redes cabeadas podem, com poucas restrições, ser utilizadas, pois quase todas se utilizam de qualquer interface de rede

Acesso Não Autorizado em Configurações Básicas n Existem várias razões para um atacante acessar uma determinada rede: saída para a Internet, n promover ataques a terceiros, n Interesse em informações de uma empresa. n n Um ambiente de rede pode estar exposto a possíveis vulnerabilidades e permitir acessos não autorizados.

Configuração aberta n Basta um atacante dispor de um equipamento com interface para rede sem fio e este ser compatível com padrão usado no ambiente.

Configuração aberta n Se o concentrador está conectado numa rede cabeada, o atacante pode estar interessado em invadir um cliente/servidor dessa rede, ou somente capturar tráfego na rede cabeada, através do uso da rede sem fio.

Configuração aberta n Se o atacante deseja um cliente/servidor, ele precisa do IP dessas máquinas. n Esse IP pode ser conseguido, automaticamente, por meio de um servidor DHCP, a partir do estabelecimento de conexão do atacante com o concentrador.

Configuração aberta n Se não são fornecidas informações automaticamente, é possível o atacante fazer escuta de tráfego: n Tcpdump n Kismet

Configuração aberta n Tais informações podem ser obtidas por escuta de tráfego ou varredura de portas na rede cabeada. n > tcpdump port 53 identifica tráfego para o servidor de nomes da rede cabeada.

Configuração fechada n SSID não é configurado para ser enviado pelo concentrador. n O atacante deve fazer uma escuta de tráfego para identificar o SSID correto, para então conectar-se ao concentrador da rede.

Configuração fechada n Ferramentas específicas para redes sem fio, para escuta de tráfego: n n Airsnort Kismet BSD Air. Tools Quais redes existem e suas características ?

Configuração fechada n A descoberta do SSID se dá, pois a informação do nome da rede trafega, quando um usuário tem o nome da rede e tenta fazer conexão com o concentrador.

Configuração fechada n A partir do momento que a rede sem fio foi identificada, o concentrador aceitará conexão de qualquer dispositivo. n Basta um atacante dispor de um equipamento com interface para rede sem fio e este ser compatível com padrão usado no ambiente.

Configuração fechada n A partir do momento que a rede sem fio foi identificada, os procedimentos passam a ser idênticos ao da configuração aberta. n Considerando que estamos imaginando redes sem fio, cujo único mecanismo de segurança é o concentrador não propagar o SSID.

Vulnerabilidades em WEP e WPA n Problemas técnicos em relação ao WEP: n Compartilhamento da chave n Uso do algoritmo RC 4 n Vetor de Inicialização – IV n Forma de armazenamento das chaves nos usuários. Ferramentas que mostram a chave

WPA n Uso de senhas pequenas e de fácil advinhação. n Ferramentas Linux para quebra de senhas. wpa_attack n Password Cracking Library (PCL), para nortear características de ataque de força-bruta n cowpatty n john the ripper n

Equipamentos sem Fio em Ambientes Cabeados n Em um ambiente somente de rede cabeada, um administrador não vê razões para realizar, mesmo esporadicamente, qualquer tipo de monitoramento para redes Wi-Fi.

Equipamentos sem Fio em Ambientes Cabeados n Porém, é cada vez maior a quantidade de equipamentos (palms, notebooks, . . . ) que saem de fábrica com dispositivos sem fio já incorporados.

Equipamentos sem Fio em Ambientes Cabeados n Assim, podem existir situações em que um equipamento com essa capacidade possa ser usado como ponte para um atacante externo acessa uma rede cabeada.

Cenário 1 n Munido de um notebook, um usuário Wi-Fi pode se conectar à rede cabeada de uma empresa-alvo e permitir o acesso externo a um segundo atacante. .

Cenário 1 n . . bastando, para tal, deixar a sua placa Wi-Fi do notebook habilitada, buscando um concentrador (access point) ou um parceiro em modo Ad-Hoc.

Cenário 1 n Como o usuário está habilitado num concentrador ou configurado no modo Ad. Hoc, um atacante pode se conectar com o usuário sem fio, por meio do concentrador ou por meio da configuração ad-hoc, obtendo o acesso à rede cabeada.

Conectando atacante em ambiente distinto

n O ataque pode ser tão sofisticado quanto necessário. n Mecanismos para escuta de pacotes com um sniffer podem ser usados.

Cenário 2 n Um usuário com um notebook se conecta em um ambiente com um rede sem fio, tal como um aeroporto, um cyber coffee, . . . n O usuário termina sua tarefa e desliga sua máquina. n Mas, quando chega à empresa, o seu notebook é novamente ligado.

Cenário 2 n Mas, por construção ou configuração da interface de rede, essa tenta re-conectar-se ao concentrador anteriormente utilizado. n Construção ou configuração ?

Cenário 2 n Se houver um atacante, e esse perceber esse sinal de re-conexão, ele pode preparar um falso concentrador. . . n Como o atacante pode perceber esse sinal de re -conexão ao concentrador anterior ? n Como um falso concentrador pode ser preparado?

Cenário 2 n . . . com as características requeridas pela interface tentando re-conectar-se ao concentrador anterior, fazendo com que o equipamento do usuário se conecte ao concentrador falso.

Cenário 2 n Uma extensão perigosa desse tipo de ataque, pode ocorrer se o usuário, usando o falso concentrador, se conectar a uma rede cabeada local de uma empresa, ou até mesmo a uma outra rede remota.

Cenário 2 n Dessa maneira, o atacante pode obter acesso, não somente ao tráfego do usuário, mas também acessar uma outra rede, usando o equipamento do usuário como um gateway.