Análise Forense com Tripwire - Parte I

Started by Anonymous, 05 de June , 2006, 02:14:03 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

Anonymous

05 de June , 2006, 02:14:03 AM
Boa noite cérebros

Este é o primeiro artigo completo sobre segurança de redes que escreverei como contribuição para o portal Darkers.

Dividi este artigo em 5 partes; seguindo, portanto, o modelo de artigo modular.

Segue a primeira parte do artigo:


O MITO DA REDE SEGURA – uma palavra breve

        Diante das constantes ameaças de ataques e invasões que sofrem as redes corporativas e/ou de empresas de médio porte que possuem informações valiosas - sejam dados cadastrais de clientes, números de cartões de crédito, projetos industriais, planos comérciais estratégicos, etc, surgiu a necessidade de desenvolvermos ou comprar-mos soluções de segurança capazes de proteger os servidores de web, banco de dados, e-mail, etc, de derrubadas provenientes de ataques DOS/DDOS, invasão por emprego de exploits ou brute-force, entre outros.
Daí surgiram as firewalls: ferramentas capazes de inspecionar pacotes que trafegam dentro da intranet ou que são enviados para fora da "fortaleza", limitando o acesso externo aos servidores de missão crítica da empresa. Estava resolvido então o problema do controle de acesso, que é apenas uma das várias camadas de segurança que devem ser implementadas em uma rede de computadores.
         A principal brecha de segurança aberta pelas firewalls é sua interessante incapacidade de inspecionar o "conteúdo danoso" ou "malicioso" de um pacote, seja ele qual for: TCP, UDP, ICMP, POP, etc. Tornando a firewall inútil para defender um servidor de banco de dados, por exemplo, contra uma sql injection tão estupidamente simples quanto for possível.
         Então, diante desta limitação da "parede de fogo" tão aclamada nos fóruns por quem está iniciando no estudo de segurança de redes, surgiu a idéia de SDI (Sistemas de Detecção de Intrusos).
         Essas ferramentas são capazes de analisar o conteúdo de um pacote qualquer e compará-lo a um conjunto de regras (rules) que permitem identificar o modus operanti de vários tipos de ataques e de disparar alertas e ações de defesa coordenadas com outros mecanismos de segurança, como as firewalls por exemplo.
Dessa forma, resolvemos o problema da análise do conteúdo. Mas não resolvemos o problema da insegurança gerada pela seguinte dúvida:
   Ok! Tenho um conjunto de regras de firewall bem abrangente; configurei meu Snort (oinc..oinc) bem na ponta da "tomada", conversando com a firewall; atualizei meu antivírus MegaZordUltraGaruramon; mantive abertas e filtradas apenas as portas estritamente necessárias, e etc etc. Mas, será que posso mesmo confiar que a integridade dos dados armazenados nos arquivos e pastas de meus servidores, inclusive os arquivos de log e de sistema foi mantida, depois dos últimos 45 segundos? (estou sendo bem paranóico aqui heim?! Hahauahau)


TRIPWIRE - INTRODUÇÃO (PARTE I)

         O Tripwire é um programa utilizado para monitorar a integridade (confiabilidade) de todos os diretórios e arquivos de sistema de acesso restrito, contra possíveis alterações não autorizadas.
Ele é largamente utilizado em auditoria de sistemas que sofreram ataques bem sucedidos ou quando existe a suspeita de que algum bisbilhoteiro andou visitando certos diretórios e arquivos importantes. E, também, é usado para recuperar rapidamente, com um número mínimo de arquivos, um servidor que tenha sido gravemente comprometido em uma invasão.
         Dentre os recursos do Tripwire, 3 são interessantes citar:
1.   Sua capacidade de identificar operações de inclusão, alteração e/ou exclusão em arquivos e diretórios, bem como de movimentação de tais arquivos, baseado nas datas de criação, modificação e/ou remoção dos mesmos.
2.   Armazenamento em um banco de dados incluído na ferramenta Tripwire de uma "snapshot" ou fotografia do esquema de localização de arquivos e diretórios criados antes de um incidente.
3.   Capacidade de enviar alertas via e-mail para o administrador da rede, informando detalhes da "corrupção" de um determinado arquivo.

         Quando me refiro a "corrupção" não quero dizer que o arquivo foi destruído parcialmente, ou inutilizado. O que quero dizer é que, caso um arquivo que não deveria ter sido, nem ao menos, aberto por um usuário não autorizado, tenha sofrido tal ação, o mesmo deve ser considerado "suspeito", pois, a menos que o invasor saiba exatamente onde está escondido o arquivo "alvo", bem como o tipo de informações que ele contém, e seja suficientemente preciso para ir direto nele, ele passará a mão por muita coisa até chegar aonde deseja. Deixando, felizmente, um grande rastro de pistas para identificação posterior. O cuidado, no entanto, é que devemos ser bastante prudentes e astutos na atribuição do grau de importância que uma determinada leitura de arquivo tem na determinação do modus operandi que o atacante utilizou durante a invasão. O invasor pode abrir vários diretórios, mexer em arquivos aleatoriamente, deletar alguma coisa, criar outra, etc somente para confundir o perito quando este for submeter a máquina à auditoria.
         Somos tentados, então, a pensar na saída mais usada em um ataque, que seria apagar todos os rastros, como um limpador de logs qualquer. E confiar na camuflagem via proxy anônimo. Mas, de uma forma ou de outra a integridade do sistema já foi comprometida. O que existia antes não existe mais. Embora o número de arquivos e diretórios seja exatamente o mesmo e não pareça ter "entrado ninguém" no computador cérebro dos mutantes.
          E é justamente neste ponto que entra o Tripwire. Permitindo que seja recuperado o "estado" original do sistema, antes da invasão, a partir de um snapshot armazenado no banco de dados do Tripwire, e uma comparação minuciosa do seu estado posterior, com este snapshot. Dando inicio ao processo de análise forense que discutiremos logo mais.

      E por enquanto é só isso, cérebros.

      No próximo artigo, ensinarei a instalar o Tripwire no Red Hat e/ou Fedora.

   Espero que tenham gostado dessa parte de introdução a segurança de redes.
   
Vlw

Até o próximo artigo.

HadeS

#1
05 de June , 2006, 02:19:54 PM
Achei ótimo seu artigo. Muito bom mesmo. Espero as próximas partes.

Dica: Ensine a instalar no Slackware, ou melhor, direto pelo código fonte, pois caso fosse RPM's, pode dificultar para alguns users, pois nem todos usam RedHat/Derivados.

Dúvidas:
Quote1.   Sua capacidade de identificar operações de inclusão, alteração e/ou exclusão em arquivos e diretórios, bem como de movimentação de tais arquivos, baseado nas datas de criação, modificação e/ou remoção dos mesmos.

Isso em tempo real? O programa trabalha em tempo real, rodando em Background, dando alertas? Ou ele gera os seus próprios LOGs e o Admin tem que vê-los maunalmente?

HadeS

branco

#2
05 de June , 2006, 04:04:21 PM
excelente amigo, espero a proxima parte, obrigado
Olha o trem... Quem vai ficar, quem vai partir? Quem vai chorar, quem vai sorrir?

insanity

#3
05 de June , 2006, 05:06:53 PM
Forensics e minha area =;)


ate mais
Print
Go Up Pages1
User actions