Nasci Conectado
Internet te amo! O que eu tive com a televisão foi algo passageiro!
Translate
sábado, 20 de fevereiro de 2016
segunda-feira, 25 de maio de 2015
Heartbleed - A falha de Segurança que Assustou o Mundo
Olá queridos leitores!
Quanto tempo sem postar aqui! Acharam que eu tinha caído no Triângulo das Bermudas? Nada, tempo corrido demais! Quando vejo já é sexta, já passou um mês acabou o ano. Deixando o "lero lero" de lado, hoje vim aqui para falar de um assunto que assustou o mundo da segurança da informação em 2014 a vulnerabilidade Heartbleed caso se interessem pelo assunto me acompanhem nessa.
Nos dias atuais, somos levados a acreditar que
podemos comprar soluções prontas para os nossos problemas, de preferência
feitas sob medida e que atendam nossas necessidades. Na segurança
da informação não é diferente, o mercado está abastecido de soluções para
todos os tipos problemas. Mas, a essência do que se busca nem sempre pode ser
encontrada na prateleira mais baixa de um armário, embrulhada em um pacote. É
preciso ter cautela e analisar com paciência o que melhor nos atende, pois
muitas dessas soluções prontas estão em processo de maturidade e apresentam
falhas graves.
Em
Abril de 2014, foi oficialmente divulgada uma falha na biblioteca de
criptografia OpenSSL, falha essa que seus descobridores criativamente
chamaram de Heartbleed em inglês, sangramento no coração.
Teoricamente, não deveríamos nos preocupar, já que estamos trabalhando com uma
biblioteca que utiliza protocolos de segurança SSL e TLS e até da para se
questionar como um hacker vai conseguir encontrar os nossos “dados secretos”.
Perceba que escrevi dados secretos entre aspas, exatamente porque eles não
estão tão secretos assim. No caso Heartbleed nem foi preciso ser um
agente NSA da vida para saber tudo a nosso respeito.
Certo.
Mas como isso é possível? A coisa toda não é criptografada? Acontece
que os servidores de autenticação precisam manter os dados de login sempre na
memória para que a conexão seja mantida. Logo, os dados dos usuários vêm
nesse roubo da memória e o hacker só precisa usar a senha de criptografia para
descobrir os dados verdadeiros e assim acessar Yahoo, Facebook, Google, Amazon,
Instagram e outros tantos sites operam com OpenSSL. Detalhe importante,
era possível atacar sem deixar nenhum tipo de vestígio, mesmo fazendo
acesso por fora dos servidores.
Muitas tecnologias inseguras ( o que não era o caso
do OpenSSL) ainda não foram quebradas porque estão no que podemos chamar
carinhosamente de infância de software. À medida que se tornam mais conhecidos
e utilizadas, infelizmente são alvos atraentes para criminosos. Concluindo esse
discurso pessimista e simultaneamente realista, podemos afirmar que em futuro
próximo, sobreviverão no mercado apenas as tecnologias robustas e evoluídas.
Tanto o SSL quanto o TLS são protocolos
desenvolvidos para elevar a segurança dos dados transmitidos pela internet. As
diferenças entre eles são pequenas e técnicas, O TLS tem capacidade de
trabalhar em portas diferentes e usa algoritmos mais fortes. O SSL pode
ser usado em vários serviços, sendo que o mais comum é o acesso à páginas web.
Ambos
fazem uso de criptografia para garantir o sigilo das informações transferidas
entre o navegador do usuário e o servidor web. Como consequência, mesmo que as
informações sejam interceptadas elas não podem ser lidas sem que sejam
descriptografadas.
Figura 01. Funcionamento SSL: Fonte (SITE,
tecmundo.com. br/seguranca/1896-o-que-e-ssl)
NÃO DA PARA FALAR DE HEARTBLEED SEM FALAR DE OPENSSL
O OpenSSL é uma biblioteca de software
criptográfico que opera com os protocolos SSL e TLS. Essa biblioteca é
escrita na linguagem C e implementa as funções básicas de criptografia, disponibilizando
várias outras funções utilitárias.
O OpenSSL está disponível para a maioria dos
sistemas do tipo Unix,
incluindo Linux, Mac OS X,
as quatro versões do BSD de
código aberto e também para o Microsoft Windows,
e é usado por muitos sites e outras aplicações como email, mensagens
instantâneas e VPNs.
MAS AFINAL O QUE É HEARTBLEED?
Heartbleed é o nome que os pesquisadores de
segurança deram para um erro grave encontrado em um pedaço de software comum
utilizado em vários sites. O software em questão é o OpenSSL . Nem é preciso analisar
profundamente a logo da falha para perceber que faz sentido: um coração
sangrando consegue representar a perda progressiva de algo importante, uma
metáfora que se encaixa bem no contexto do Heartbleed: na falha, os dados são
capturados aos poucos, em vários acessos sequenciais.
A vulnerabilidade Heartbleed permite que um invasor
leia os sistemas de memória utilizando certas versões do OpenSSL, com a
possibilidade de acessarem nomes de usuários, senhas ou até mesmo as chaves
criptográficas secretas do servidor usadas para o SSL. A obtenção dessas chaves
permite que usuários maliciosos observassem todas as comunicações desse sistema
e mais explorações.
Figura 2. : Gráfico servidores que suportam SSL :
Fonte (SITE, securityaffairs.com)
Os
administradores de sistemas, podem verificar e atualizar os seus
servidores caso estejam com as versões do OpenSSL de 1.0.1 até o 1.0.1f que são
são vulneráveis. Versões anteriores à 1.0.1, como a 1.0.0 e 0.9.8, não são
vulneráveis. E que a versão 1.0.1g corrige o bug, portanto não é vulnerável.
Para
verificar se os servidores estão vulneráveis, o comando abaixo pode ser
utilizado:
$ echo -e “quit\n” | openssl s_client -connect
seuhost:443 -tlsextdebug 2>&1| grep ‘TLS server extension “heartbeat”
(id=15), len=1′
O QUE PENSO SOBRE ESSA SOBRE ESSA COISA TODA
O mundo moderno, tem se caracterizado pelo avanço
da ciência e da tecnologia. Uma vez encontrada uma falha de segurança, pode-se
consertá-la. Mas encontrar falhas pode ser extremamente difícil. Segurança é
diferente de qualquer outro requisito de projeto, porque funcionalidade não é
igual à qualidade. Nenhuma quantidade de testes beta revela todas as falhas de
segurança de um sistema, e não haverá nenhum teste possível que preveja
a ausência destas falhas.
Estudiosos do mundo inteiro têm
se pronunciado sobre a forma como as questões de segurança e dados on-line
devem ser resolvidas no futuro. Alguns sugerem que não se deve mais aceitar
senhas como uma prática de segurança suficiente, mas sim substituí-las
pela identificação biométrica (Temos um post sobre sistema
biométricos aqui). Essa estratégia pode ser potencialmente benéfica, mas, por
outro lado, exige um esforço financeiro maior. Gastar dinheiro com computadores,
laptops e dispositivos móveis relativamente mais caros. Além disso, alguns
céticos presumem que biometria está longe de ser um remédio,
especialmente se o identificador, inserido em um smartphone por exemplo, não
conseguir reconhecer as impressões
digitais de seu dono.
A segurança dos dados deve ser
considerada o assunto principal para cada negócio, logo, torna-se
imprescindível tomar todas as medidas necessárias para manter
a informação segura. É difícil prever como essas
falhas de segurança são susceptíveis, mas agora, vivendo na prática o caso
Heartbleed esperamos tomar as decisões certas.
quarta-feira, 15 de outubro de 2014
Ataques DDOS - Como funcionam e suas motivações
INTRODUÇÃO
Camuflados pelo óbvio, possuímos o apavorante costume de reagir somente quando
os acontecimentos nos causam enormes prejuízos. Com a evolução
da internet e o crescente mundo do cibercrime, essa não deve ser uma
abordagem aceitável. Deve-se possuir consciência proativa, agir
estrategicamente na proteção dos dados e serviços.
Atualmente, um dos ataques mais
frequentes tem sido os de negação de serviço (Denial of
Service Attacks – DDOS). Esse
tipo de ataque danifica ou interrompe os serviços em execução.
Grandes empresas e governos
são os alvos mais atingidos pelos
cibercriminosos
que quase sempre objetivam atingir
áreas delicadas de conflitos e protestos.
Os
atasques DDOS podem ser realizados de formas diferentes. O atacante
pode enviar pacotes deformados que provocam o bloqueio de um
protocolo ou de uma aplicação, ou simplesmente enviar pacotes que
façam um número excessivo de requisições exigindo o uso demasiado
do processamento e da memoria de um servidor. Também é possível
atacar os servidores inundando-o de pacotes que consumam os recursos
da banda dificultando que usuários reais usufruam do serviço. Interromper um servidor Web ou um roteador pode ser definitivo na interferência de um ou vários serviços.
O QUE É E COMO FUNCIONA UM ATAQUE DE NEGAÇÃO DE SERVIÇO
Conhecidos
popularmente como DDOS, os ataques de negação de serviço
normalmente não tem o propósito de roubar os dados, mas sim, de
tirar os servidores do ar. Eles prejudicam a disponibilidade das
informações e recursos, consumindo o processamento e a memoria.
Esse tipo de ataque é facilitado pela ideia original da internet de
seguir o paradigma de comunicação fim-a-fim.
Os
ataques são efetuados utilizando o envio demasiado de pacotes ao
mesmo tempo para um mesmo servidor, sobrecarregando sua utilização.
Basicamente, o ataque acontece quando alguns “personagens”
cumprem seus papeis. Para entender o seu funcionamento precisamos
conhecer os itens que são fundamentais para que o ataque DDOS
aconteça:
Atacante:
É o invasor. O indivíduo que realmente planeja e coordena o ataque.
Possui sua máquina individual que pode ser um computador de mesa ou
um Notebook.
Master:
Computador que é programado
para comandar os agentes.
Agente:
Computador que realmente realiza o ataque DDOS contra um ou mais alvos
ou vítimas, conforme o desejo do atacante.
Vítima:
Máquina que recebe o ataque. É ocupada por um grande número de pacotes, sobrecarregando toda a rede e
resultando na paralisação desta e conseqüentemente dos serviços
oferecidos.
Cliente:
Aplicação que está no master e que realmente tem o controle dos
ataques e envia comandos aos daemons.
Os
ataques DDOS são realizados em três fases:
1ª
Fase: É feito um estudo das portas e das vulnerabilidades das
redes alvo, em seguida, explora-se essas vulnerabilidades, feito isso,
pega-se os endereços de IP das máquinas invadidas, com eles em
mãos, monta-se a rede de ataque.
2ª
Fase: Utiliza-se uma das contas de usuário para instalar as versões compiladas das ferramentas de
ataque, uma vez instaladas, o atacante consegue controlar essas
máquinas remotamente. Essas máquinas poderão ser Agentes ou
Masters.
3ª
Fase:
A
pessoa que está atacando pode controlar uma ou mais máquinas master,
e as máquinas Master podem controlar muitas máquinas Agentes. A
partir daqui, pode-se disparar os pacotes e consolidar o ataque. Os
ataques ficam em Stand
By
até que o Master mande instruções para atacar os endereços de
Ip de acordo com o espaço e tempo.
Figura 01 - Funcionamento ataque DDOS
QUAL E A MOTIVAÇÃO
É
característica humana
a existência de discórdia entre grupos que interagem. Diferente
de outros tipos de ataque, a maior parte dos ataques DDOS não possuem motivação financeira. Embora possa causar prejuízos as
vítimas, a realização desses ataques em maioria esmagadora tem
objetivos políticos e ideológicos.
Os
atacantes normalmente são Ativistas Online.
Motivados
politicamente,
identificam-se
por uma
corrente particular de pensamento político e
social, muitas vezes,
mesmo não tendo nenhuma ligação com a organizações.
Também
existe os que o fazem por mera curiosidade e os que estão
interessados em novas descobertas ou querem ver o quão são capazes.
DIFERENÇA ENTRE DOS E DDOS
Em
tempos não tão ultrapassado assim, os
hackers criavam ataques DOS
"escravizando"
computadores que agiam como servidores na internet. Mas,
com o progresso na velocidade
de acesso à internet, passaram
a adquirir interesse
nos computadores dos usuários comuns com acesso banda larga, já que
estes representam um número muito grande de máquinas.
Por
serem altamente similares, são muito confundidos.
A principal diferença entre um
ataque DOS e um DDOS
é
a
forma com que eles são feitos. Enquanto o ataque DDoS é distribuído
entre várias máquinas, o
ataque DOS é
feito por apenas um invasor que envia vários pacotes.
Os ataques DoS
são bem mais fáceis de evitar com algumas regras em firewalls. Além
disso, é preciso uma conexão de banda larga e um computador capaz
de enviar muitos pacotes ao mesmo tempo para que esse tipo de ataque
tenha sucesso.
CONCLUSÃO
Esse tipo de ataque é uma séria ameaça para as operações da internet, contudo, não é um hábito se preocupar tanto com ele. Subestima-se os ciberataques considerando o simples fato de “nada de tão ruim ter acontecido até hoje”. Não devemos nos enganar. Esse é exatamente o tipo de pensamento que pode nos levar a um 11 de setembro virtual. O futuro das guerras está propenso a ser mudado pelos sistemas da informação.
Assinar:
Postagens (Atom)



