Por que os ataques tem sucesso?

Abaixo tento resumir os 10 fatores mais críticos na segurança da informação, bem como as técnicas para prover mais segurança a rede e as máquinas. Complemento citando as ferramentas utilizadas em ataques.


1) Servidores conectados a internet antes de aprimorar a segurança
-Remover os serviços desnecessários, aplicar os patches, etc.
2) Default accounts/passwords
3) Falta de atualização dos sistemas operacionais e produtos
4) Uso de serviços não cifrados ( telnet, ftp, etc )
5) Envio de senhas via telefone ou email
6) Falha nos backups ( Teste os backups! )
7) Execução de serviços desnecessários
8) Erro de configuração de sistemas operacionais, produtos e Firewalls
9) Falha na implementação de Antivirus
10) Falha na educação dos usuários sobre o que fazer e quem procurar no caso de incidentes

Componentes da Segurança Física

- Backups
- Plano de contingência
- Cadeados ( xlock )

Hardening
- Atualizar SO e SW
- Aplicar todos os patches
- Remover os serviços desnecessários
- Configurar SW de segurança
- Instalar e atualizar antivirus
- Monitorar os logs diariamente **
- Segurança das senhas ( senhas default )

**Uma das maneiras mais fáceis de um intruso acessar um sistema é descobrindo a senha de algum usuário. Isto ocorre facilmente, visto que muitas instituições não verificam a segurança das senhas.

- Remova os suids desnecessários dos filesystems ( locais e remotos )
- umask ( 027 ou 077 )
- Montar filesystems read-only
- Network File System (NFS)
- /etc/exports ( -access )
- Restrição de acesso para o root
- nosuid/nodev

O comando showmount pode ser usado em um servidor NFS para exibir o nome de todas as máquinas que estão montando alguns de seus diretórios. Se executado sem opções o programa simplesmente exibe uma lista de todos os computadores. A opção -a faz com que o comando showmount liste todos as combinações de computadores e diretórios:
% showmount -a
apoio.unicamp.br:/pub/pub6/linux/slackware/slakware
aracati.unicamp.br:/home
atlanta.unicamp.br:/usr/local


Normalmente o diretório /tmp possui acesso universal para gravação, permitindo que qualquer usuário remova arquivos pertencentes a qualquer outro usuário. Ativando o sticky bit no diretório /tmp, os usuários podem remover apenas seus próprios arquivos. Para ativar o sticky bit em um diretório, use o comando:
chmod o+t diretório

- Checklists diários
- /etc/passwd ( formato/conteúdo)
- arquivos suid/sgid
- arquivos sem dono
- .rhosts
- Ativar o account

* Os arquivos /dev/kmem, /dev/mem e /dev/drum não devem ter permissão de leitura universal.



O comando FIND na auditoria de documentos:
1) # find / -type f -a \( -perm 04000 -o -perm 02000 \) -print
localiza todos os arquivos do sistema com os bits setuid ou setgid ligados. A saída deste comando deve ser analisada para determinar se não existe algum arquivo suspeito na lista.

2) # find / -perm -2 -print
identifica todos os arquivos com permissão de escrita universal.

3) # find / -nouser -o nogroup -print
identifica arquivos que não pertencem a nenhum usuário ou a nenhum grupo. Imediatamente após a instalação de um sistema, deve-se gerar um arquivo que liste a configuração inicial dos arquivos do sistema:
# ls -aslgR /bin /etc /usr >> MasterChecklist
Este arquivo contém uma lista completa de todos os arquivos nestes diretórios. As linhas referentes a arquivos que mudem freqüentemente devem ser removidas do arquivo. O masterchecklist deve ser guardado em um local seguro para evitar adulterações. Para pesquisar alterações no sistema de arquivos, execute o comando acima novamente e compare-o com o arquivo mestre:
# diff MasterChecklist Currentlist
Outro aspecto muito importante é a realização de backups freqüentes do sistema de arquivos. Backups não apenas protegem contra falhas de hardware como contra deleções acidentais.

- Serviços(substituir)
- "r" commands -> SSH
- lpd -> LPRng
- NIS -> NIS+
- NFS -> DFS
- POP/IMAP -> POP/IMAP com SSL
- Webmail -> Webmail com SSL

Ferramentas
TITAN - www.fish.com/~brad/titan/
YASSP - www.yassp.org/
Amoring - www.enteract.com/~lspitz/linux.html
TrustedBSD - www.trustedbsd.org/
LIDS - www.lids.org
Openwall - www.openwall.com
SElinux - www.nsa.gov/selinux/

Sincronização de horários via NTP: www.eecis.udel.edu/~ntp/
Network Time Protocol (NTP) é usado para sincronizar relógios de computadores e outros equipamento de rede a partir do padrão UTC (Universal Time Coordinated).O UTC é baseado na rotação da Terra sobre seu eixo e no Calendário Gregoriano que é baseado na rotação da Terra em torno do Sol e possui um mecanismo de ajuste com o TAI ("International Atomic Time") pela inserção de segundos em intervalos de aproximadamente 18 meses.


Vulnerability Scanners Host-Based:

- Tripwire
- COPS/Tiger
COPS (Computer Oracle and Password System): Identifica riscos de segurança em sistema Unix. Verifica se o arquivo de senhas (/etc/passwd) está vazio, se existem arquivos com permissão de escrita para world, se o servidor de FTP anônimo está mal configurado, dentre outros. Disponível em: ftp://ftp.cert.org
Tiger: Verifica vulnerabilidades de segurança em sistemas Unix. É muito parecido com o COPS porém possui mais recursos.


Vulnerability Scanners Network-Based:

- SATAN ( Security Administrator Tool for Analyzing Networks )

- ISS ( Internet Security Scanner )
ISS (Internet Security Scanner)- Disponível em: http://www.iss.net

- Strobe
Lista todas as portas ativas de um computador remoto.
Disponível em: ftp://minnie.cs.adfa.oz.au

- Nmap
Nmap: Ferramenta de varredura de portas de alta performance que além de mostrar os serviço disponíveis possui muitas outras características, tais como detecção remota do sistema operacional via impressão digital TCP ( TCP fingerprint ) e vários tipos e velocidades de varreduras. Disponível em : http://www.insecure.org/nmap/
Man : http://www.insecure.org/nmap/nmap_manpage-pt.html

- Nessus
Nessus: Audita remotamente uma rede, obtendo informações ( tipo de máquinas, serviços oferecidos, etc ), verificando suas vulnerabilidades e determinando se ela pode ser invadida. Disponível em: http://www.nessus.org
SATAN (Security Administrator Toll for Analyzing Networks)
Disponível em: ftp://ftp.win.tue.nl

Postar um comentário

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos