1 INTRODUÇÃO
Existente na maioria dos lares e redes corporativas, as tecnologia Wireless já conquistou um grande espaço e confiança, devido sua maleabilidade e facilidade de instalação, a tecnologia Wireless conseguiu conquistar uma enorme popularidade. Atualmente, com base no fato da necessidade de disponibilizar o acesso aos clientes e colaboradores, surge a necessidade de manter um ambiente hibrido de conexões, por isso, é de extrema importância validar a segurança deste ambiente. O presente artigo aborda o tema análise de vulnerabilidades em rede Wireless para obtenção de acesso privilegiado, assunto que trata sobre questões relacionadas às atividades profissionais de teste de invasão, é abordado os passos para execução de um Pentest. Para o desenvolvimento do artigo foi usado o tipo de pesquisa exploratória ou qualitativa por meio de testes práticos de captura de pacotes de dados conforme abordado no conceito de farejamento analítico de rede. Resultando na percepção da necessidade de implementar outras técnicas para um melhor resultado na obtenção de dados. O problema investigado refere-se a prática de invasão em rede corporativa, por meio de uma rede Wireless compartilhada com clientes, fornecedores e demais colaboradores da empresa. Para atestar os conceitos foram utilizadas as técnicas denominadas Sniffing, Pass-The-Hash e SMB Relay com as versões V1 e V2 do SMB, com o auxílio das ferramentas responder e metasploit.
2 REFERENCIAL TEÓRICO
2.1 SEGURANÇA DA INFORMAÇÃO
2 REFERENCIAL TEÓRICO
2.1 SEGURANÇA DA INFORMAÇÃO
Segundo a ABNT NBR ISO/IEC 17799:2005 (2005, p.9), “segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”. “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema”. (CAMPOS, 2007, p.29) Sendo assim, o princípio da Segurança da Informação, mostra que é preciso cuidar da informação, ou qualquer outro dado armazenado ou que trafegue em rede. A Segurança da Informação, visa garantir que os dados estejam cuidados e protegidos, com o propósito de evitar que informações importantes caiam em mão erradas.
2.2 REDE WIRELESS
A possibilidade de conectar tudo, desde utensílisios domésticos, sistemas veiculares, redes corporativas e domésticas, atribui-se ao conjunto de tecnologias sem fio denominada Wireless. Em 1901, Guglielmo Marconi utilizando o código Morse, fez uma demonstração de tráfego wireless de um telégrafo que transmitia informações de um navio para o litoral, onde afirma Tanenbaum (2003) que devido a esses fatos, a comunicação wireless não é uma ideia nova. Segundo Pinheiro (2003), a implantação de redes sem fio, viabiliza a demanda de comunicação onde a infraestrutura cabeada não pode ser aplicada, porém com a resalva de que é preciso avaliar a relação custo/benefício, afim de tornar viável a sua aplicação. No entanto, de acordo com Cardoso (2005), a tecnologia wireless torna-se relevante ao passo que há reduções de custos, satisfação do cliente e otimizações do trabalho. De acordo com Soares (1995), as redes wireless desempenham um papel importante, viabilizando a comunicação em locais de difícil acesso onde há a impossibilidade de instalação de cabos metálicos ou de fibra ótica.
2.3 SNIFFER OU FAREJADORES
2.3 SNIFFER OU FAREJADORES
Sniffers trabalham utilizando uma interface de rede em modo promíscuo. Desenvolvida para monitorar, filtrar e capturar pacotes em uma rede, farejador (sniffer[1], em inglês) é uma aplicação comumente utilizada com esses propósitos, conforme Basta e Brown (2015). Entretanto para Nakamura (2007), ainda que criados para verificar problemas de rede, esses mesmos softwares[2] também pode ser utilizado para fins ilícitos, visto que ao passo que informações trafeguem em texto puro, elas podem ser facilmente interpretadas por um usuário mal intencionado. Ainda para Wendt e Nogueira Jorge (2012), sniffers são utilizados por cibercriminosos afim de detectar dados sigilosos de acesso de usuários de computador, tal qual, sites acessados, e-mails e senhas. De acordo com os autores o principal objetivo do uso de um sniffer por um cibercriminoso é seu uso posterior, após monitorar o tráfego e assim analisar os dados transmitidos. Segundo afirmam os autores Basta e Brown (2015), basicamente os farejadores conseguem trabalhar com todos os protocolos da rede modelo TCP/IP[3], no entanto para observar o tráfego de rede o farejador utiliza o cartão de interface de rede (NIC) sendo esse responsável por receber o tráfego no segmento de rede em que se encontra. Deste modo o farejador somente conseguirá ler o tráfego no segmento de rede em que o computador estiver conectado, necessitando por sua vez de outras técnicas para alcançar a comunicação dos outros segmentos.
2.4 PENTEST E SUAS FASES
Derivado do Inglês Penetration Test, o Pentest ou na tradução Teste de Intrusão, é uma forma de validar e analisar vulnerabilidades em ambiente informatizado, afim de antecipar-se a ataques que possam causar algum dano ou prejuízo. Segundo Weidman (2014), por meio do Pentest busca-se evidenciar as falhas e vulnerabilidades que poderiam ser exploradas por possíveis invasores maliciosos. Definido como uma ciência multidisciplinar, é um método abrangente para testar a segurança, com base em hardware, software e pessoas, esse processo envolve uma análise profunda do sistema para possíveis vulnerabilidades que tentam acessar os recursos. Nos casos mais comuns, obter bases de dados e outras informações confidenciais, são o foco do Testador de Intrusão. O teste de intrusão ajuda a proteger a organização, evitando perdas financeiras, preservando a imagem corporativa, a segurança da informação. Este procedimento, avalia a eficácia da segurança existente e fornece os argumentos de apoio para futuros investimentos ou atualização de tecnologias de segurança. Para Engebretson 2014 existem quatro etapas fundamentais para a perfeita execução do teste de intrusão e podem ser usadas essencialmente: Reconhecimento, Escaneamento, Exploração de Falhas, Pós exploração e Preservação de Acesso. Reconhecimento – é o ato de reunir dados preliminares ou inteligência em seu alvo, coletar toda a informação interessante possível. Pode ser ativamente (o que significa que você está tocando diretamente o alvo) ou passivamente (o que significa que sua recon se está realizando através de um intermediário). Escaneamento – atividade que corresponde ao processo de identificar sistemas ativos e seus respectivos serviços. Pode-se usar alguma ferramenta de escaneamento de vulnerabilidades para coletar informações sobre o alvo. Exploração de Falhas – requer o controle de um ou mais dispositivos de rede para extrair dados do alvo ou para usar esse dispositivo para então iniciar ataques em outros destinos, esta é a fase onde o profissional prova se a vulnerabilidade pode ser explorada ou não. Pós exploração e Preservação de Acesso – nesta fase, o invasor deve permanecer oculto, uma conexão persistente deve ser mantida.
2.5 SMB RELAY
A maioria das redes possui vários sistemas automatizados que se conectam a todos os hosts da rede para executar várias tarefas de gerenciamento, normalmente esses processos usam credenciais de acesso como Administrador ou algum outro acesso com direitos privilegiados. Alguns sistemas como sistemas de inventário de software, atualizações de antivírus, sistemas de backup, atualizações de software e gerenciamento de patches, coletores de logs de eventos, requisitam esse tipo de acesso. Para Bagget (2013) os ataques de SMB Relay nos permitem capturar essas tentativas de autenticação e usá-las para acessar sistemas na rede. Ainda para Bagget (2013) o NTLM é um protocolo de desafio/resposta, onde a autenticação ocorre quando a resposta certa é retornada, ou seja, o cliente tenta fazer o login e o servidor responde com um desafio. Basicamente o processo de autenticação ocorre da seguinte maneira, o servidor diz: “Se você é quem você diz que é, então criptografe essa coisa com seu hash”. Em seguida, o cliente criptografa o desafio e envia de volta a resposta de desafio criptografada. O servidor então tenta decodificar essa resposta de desafio criptografada com o hash de senha do usuário. O processo pode ser analisado na imagem abaixo.
Ainda de acordo com Bagget (2013), em ataques SMB Relay, o atacante insere-se no meio dessa troca. O atacante escolhe o servidor de destino que deseja ganhar acesso e, em seguida, o atacante espera que aglo ou alguém na rede se autentique em sua máquina. Como normalmente os serviços de defesa ou monitoramento trabalham para identificar o novo dispositivo na rede e em seguida tentar conectar-se, o ataque conclui-se com sucesso, pois ao tentar conectar-se o serviço envia a hash para o dispositivo malicioso. O fluxo de autenticação ocorre da seguinte forma, quando o processo automatizado se conecta ao atacante, ele passa a tentativa de autenticação para o alvo. Em seguida o alvo gera um desafio e o envia de volta ao atacante. O atacante envia o desafio de volta ao sistema de digitalização de origem. O sistema de digitalização criptografa o hash com o hash de senha correto e o envia para o invasor. O atacante passa a resposta corretamente criptografada de volta ao seu alvo e autentica com êxito. O processo completo pode ser visto na imagem abaixo, em azul a comunicação original e em vermelho a comunicação modificada pelo atacante.
3 METODOLOGIA
O mesmo foi dividido em duas partes, o primeiro é a pesquisa bibliográfica para aprimorar o embasamento sobre o assunto, técnica que, segundo Gil (2008) constitui-se em ser desenvolvida com base em material já elaborado podendo ser encontrado em livros e artigos científicos. A etapa seguinte é desenvolvida com o auxílio da pesquisa qualitativa por meio de testes práticos de captura de pacotes de dados conforme abordado no conceito de sniffer analítico de rede e ataque SMB Relay.
3.1 MÉTODO (S) DE PESQUISA
Nesse estudo o método de pesquisa a ser utilizado é a pesquisa qualitativa que, dar-se-à por meio de técnicas de farejamento de rede. Para Godoy (1995) há um conjunto de características que são capazes de identificar uma pesquisa qualitativa, como:
O pesquisador como instrumento fundamental e o ambiente natural como fonte direta de dados;
O caráter descritivo; Enfoque indutivo; O significado das coisas e da vida conforme para as pessoas como preocupação do investigador.
Nesse estudo o método de pesquisa a ser utilizado é a pesquisa qualitativa que, dar-se-à por meio de técnicas de farejamento de rede. Para Godoy (1995) há um conjunto de características que são capazes de identificar uma pesquisa qualitativa, como:
O pesquisador como instrumento fundamental e o ambiente natural como fonte direta de dados;
O caráter descritivo; Enfoque indutivo; O significado das coisas e da vida conforme para as pessoas como preocupação do investigador.
Postar um comentário