William Stallings, Cryptography and Network Security 4/e - PowerPoint PPT Presentation

About This Presentation
Title:

William Stallings, Cryptography and Network Security 4/e

Description:

Title: William Stallings, Cryptography and Network Security 4/e Author: Dr Lawrie Brown Last modified by: Paulo Werdt Document presentation format – PowerPoint PPT presentation

Number of Views:136
Avg rating:3.0/5.0
Slides: 30
Provided by: DrLawri8
Category:

less

Transcript and Presenter's Notes

Title: William Stallings, Cryptography and Network Security 4/e


1
Criptografia e Segurança em Redes Capítulo 19
Quarta edição por William Stallings Slides por
Lawrie Brown Tradução por Paulo Werdt
2
Capítulo 19 Software malicioso
  • Qual o conceito de defesa?
  • Desviar-se de um golpe.
  • Qual é a sua principal característica? Esperar o
    golpe
  • Sobre a guerra, Carl Von Clausewitz

3
Vírus e outros conteúdos maliciosos
  • Os vírus de computador têm tido muita
    publicidade.
  • Mas são apenas um tipo de software malicioso.
  • Geralmente causam efeitos óbvios.
  • Aparecem em notícias, ficção, filmes (muitas
    vezes de maneira exagerada) recebendo mais
    atenção do que realmente merecem.
  • Porém devem ser temidos.

4
Software malicioso
5
Backdoor (Porta dos fundos) ou Alçapão
  • Pontos de entrada secretos dentro de um programa.
  • Permite àqueles que conhecem o acesso burlarem
    procedimento de segurança usuais.
  • Comumente usado por desenvolvedores.
  • Uma ameaça quando deixados em programas de
    produção, permitindo a exploração dos atacantes.
  • Muito difícil para o SO bloquear.
  • Requer um bom desenvolvimento e atualização de
    Software.

6
Bomba lógica
  • Um dos tipos mais antigos de software malicioso.
  • Código embutido em programas legítimos.
  • Ativada quando encontra determinada condição
  • Presença ou ausência de algum arquivo.
  • Uma data/hora em particular.
  • Um usuário em particular.
  • Quando acionado normalmente causa danos ao
    sistema
  • Modificando ou deletando arquivos ou discos,
    resetando a máquina.

7
Cavalo de Tróia
  • Programa com efeitos ocultos.
  • Em geral é superficialmente atrativo
  • Jogos, prêmios, atualizaçãos de SW.
  • Executa tarefas adicionais quando roda
  • Permite ao atacante obter acesso indireto onde
    não existe acesso direto.
  • Frequentemente utilizado para propagar um vírus /
    worm, instalar um alçapão ou simplesmente para
    destruir dados.

8
Zumbi
  • Programa que secretamente assume o lugar de outro
    computador ligado à rede e dessa forma lança
    ataques.
  • Geralmente utilizado para gerar ataques
    distribuídos de negação de serviço (DDoS).
  • Conhecido por explorar falhas em sistemas de rede.

9
Vírus
  • Um pedaço de código auto-replicante inserido em
    outro código.
  • cf Vírus biológico.
  • Propaga a sí mesmo ?
  • Carrega código para fazer cópias de sí mesmo.
  • Bem como código para realizar outras tarefas.

10
Operação de um vírus
  • Fases de um vírus
  • Dormente Esperando por um evento gatilho.
  • Propagação Replicando para outros programas e
    discos.
  • Desencadeamento Por um evento para executar a
    carga maliciosa.
  • Geralmente detalha uma Maquina ou um SO
    específico.
  • Expondo suas características e fraquezas.

11
Estruturas de vírus
  • program V
  • goto main
  • 1234567
  • subroutine infect-executable loop
  • file get-random-executable-file
  • if (first-line-of-file 1234567) then goto
    loop
  • else prepend V to file
  • subroutine do-damage whatever damage is to
    be done
  • subroutine trigger-pulled return true if
    condition holds
  • main main-program infect-executable
  • if trigger-pulled then do-damage
  • goto next
  • next

12
Tipos de vírus
  • Podem ser classificados de acordo com a forma
    como eles atacam.
  • Vírus parasitas.
  • Vírus residentes em memória.
  • Vírus de boot de setor.
  • stealth.
  • Vírus polimórficos.
  • Vírus metamórficos.

13
Macro Virus
  • Um Macro anexado a algum arquivo de dados.
  • Interpretado pelo programa que usa o arquivo
  • ex Word/Excel macros
  • Usando comandos auto-executáveis e comandos de
    macro.
  • Código fica independente de plataforma.
  • É a maior fonte das novas infecções virais.
  • Difícil distinção entre dados e arquivos de
    programas.
  • classic trade-off "ease of use" vs "security.
  • Melhorou a segurança do Word e etc
  • Não é mais a ameaça dominante.

14
Virus de Email
  • Espalha-se usando email cujos anexos contém vírus
    de macro.
  • cf Melissa
  • É acionado quando o usuário abre o anexo.
  • Ou pior, quando o email é visualizado por meio de
    algum script do gerenciador de email.
  • Então propaga-se rapidamente.
  • Geralmente orientados para o gerenciador de email
    Microsoft Outlook e documentos Word / Excel.
  • Necessita de melhores SO e aplicações de
    segurança.

15
Worms
  • Replicantes, mas não infectam programas.
  • Em geral, espalham-se em redes.
  • ex Morris Internet Worm em 1988.
  • Levaram a criação das CERTs.
  • Usando privilégios distribuídos aos usuários ou
    explorando vulnerabilidades do sistema.
  • Muito usados por hackers para criar PCs Zumbis, e
    assim, usá-los para novos ataques.
  • Maior problema é a falta de segurança dos
    sistemas permanentemente conectados.

16
Operação de um Worm
  • As fases de um worm são as mesmas de um vírus
  • Dormência.
  • Propragação
  • Procura por outros sistemas a infectar.
  • Estabelecimento de conexão com um sistema remoto
    alvo.
  • Auto replicação em um sistema remoto .
  • Acionamento.
  • Execução.

17
Morris Worm
  • Mais conhecido dos Worms clássicos.
  • Liberado por Robert Morris em 1988.
  • Visava sistemas Unix.
  • Utilizando várias técnicas de propagação
  • Simples quebra de senha de um arquivo protegido.
  • Explorando bugs no finger daemon.
  • Explorando o debug de alçapão no daemon de emails
    de saída.
  • Se qualquer ataque der certo faz auto-replicação.

18
Ataques recentes de Worm
  • Nova incidência de ataques em meados de 2001.
  • Código vermelho usou MS IIS bug.
  • Sondou IPs aleatórios em sistemas rodando IIS.
  • Possuia gatilho de tempo para ataque DoS.
  • A segunda onda de ataque infectou 360000
    servidores em 14 horas.
  • Código vermelho 2 Alçapão instalado.
  • Nimda Mecanismo de múltiplas infecções.
  • SQL Slammer atacou servidores MS SQL.
  • Sobig.f ataque abrindo servidores de proxy.
  • Mydoom inúmeros emails de worm alçapões.

19
Tecnologia do Worm
  • Multi-plataforma.
  • Exploração múltipla.
  • Propagação ultra-rápida.
  • Polimórfico.
  • Metamórfico.
  • Veículos de transporte.
  • Exploração dia-zero.

20
Contramedidas a Virus
  • Melhor contramedida é a prevenção.
  • O que em geral, não é possível.
  • Por isso, fazem-se necessários um ou mais
  • Detecção dos virus num sistemas infectado.
  • Identificação do vírus específico.
  • Remoção restauração do sistema.

21
Softwares Anti-Virus
  • Primeira geração
  • Scanners usando a assinatura do vírus para
    identificá-lo.
  • Ou uma mudança no tamanho dos programas.
  • Segunda geração
  • Utilizando regras de heurística para encontrar
    infecções virais.
  • Ou usando o hash de programas para encontrar
    mudanças.
  • Terceira geração
  • Identificando os vírus pelas suas ações.
  • Quarta geração
  • Pacotes com uma variedade de técnicas anti-vírus.
  • Ex varredura, Armadilhas e controle de acesso.
  • E a Corrida armamentista continua...

22
Técnicas avançadas de anti-vírus
  • Decriptografia genérica
  • Usa simulação de CPU para checar programas.
  • Chaca assinatura e comportamento antes de rodar.
  • Sistema imunológico Digital (IBM)?
  • Emulação de propósito generalizado e detecção de
    vírus.
  • Qualquer vírus entrando é capturado, analizado, é
    criada a detecção/proteção para ele e então é
    removido.

23
Sistema Imunológico Digital
24
Software de bloqueamento
  • Integrado com o sistema operacional do usuario.
  • Monitoramento de programas em tempo real.
  • Ex Acesso a arquivos, formatação de disco,
    executáveis, mudanças na configuração do sistema,
    acesso a rede...
  • Para possíveis ações maliciosas
  • Se detectado pode bloquear, terminar ou procurar
    desinfectado.
  • Tem vantagem sobre scanners.
  • Código malicioso roda antes da detecção.

25
Ataques distribuidos de negação de serviço (DDoS)?
  • Ataques distribuidos de negação de serviço (DDoS)
    são ameaças significativas a segurança.
  • Tornando indisponíveis sistemas baseados em rede.
  • Quebrando (derrubando) sistemas de redes.
  • Inundando a rede com tráfego inútil.
  • Usando um grande número de zumbis.
  • Sofisticação crescente dos ataques.
  • Batalha das tecnologias de defesa para fazer
    frente.

26
Ataques distribuídos de negação de serviço (DDoS)?
27
Construindo uma rede de ataque DDoS
  • Precisa infectar um grande número de zumbís.
  • Precisa
  • Um software para implementar o DDoS ataque.
  • Uma vulnerabilidade desvendada em vários
    sistemas.
  • Estratégia de escaneamento para achar sistemas
    vulneráveis.
  • Aleatório, lista de alvos, Topológico, Subrede
    local, etc...

28
Contramedidas de DDoS
  • Três grandes linhas de defesa
  • Prevenção opção do ataque (antes).
  • Detecção Filtragem do ataque (durante).
  • Investigação da fonte identificação do ataque
    (depois).
  • Enorme leque de possibilidades de ataque.
  • Por isso, evolução das contramedidas.

29
Resumo
  • Ter considerado
  • Diversos programas maliciosos.
  • Alçapões, Bombas-lógicas, Cavalos de tróia e
    Zumbis.
  • Worms.
  • Contramedidas.
  • Ataques distribuídos de negação de serviço.
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "William Stallings, Cryptography and Network Security 4/e" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!