Sistema de Ensino Presencial Conectado

MBA em gestão de tecnologia da informação

petter anderson lopes

teste de invasão em rede wireless:

Obtendo acesso Administrador

Caxias do Sul

2017

petter anderson lopes

teste de invasão em rede wireless:

Obtendo acesso Administrador

Trabalho de Conclusão de Curso apresentado à Universidade Norte do Paraná – UNOPAR, como requisito parcial para a obtenção do título de Especialista em MBA em Gestão de Tecnologia da Informação.

Polo Caxias do Sul

2017

LOPES, Petter Anderson. Teste de invasão em redes wireless: OBTENDO ACESSO ADMINISTRADOR. 2017. 15 páginas. Trabalho de Conclusão de Curso MBA em Gestão de Tecnologia da Informação – Centro de Ciências Empresariais e Sociais Aplicadas, Universidade Norte do Paraná, Cidade, Ano.

RESUMO

O presente artigo tem como objetivo demonstrar os passos principais para execução de um teste de invasão. Servindo como solução para a crescente demanda do aumento da necessidade de manter as pessoas conectadas, as redes Wireless passaram a desempenhar um papel fundamental e indispensável nas redes corporativas. Essas redes por sua vez, necessitam de um acompanhamento efetivo e os profissionais que as gerenciam devem compreender os riscos e mapear as vulnerabilidades existentes. Os procedimentos de detectar falhas de segurança, podem ser automatizados via ferramentas ou feitos por um profissional qualificado que validará manualmente cada ponto crítico, sendo este o Pentester. Este trabalho tem como objetivo demonstrar as etapas de execução de um teste de intrusão, afim de obter dados críticos como acesso Administrador da rede. Com o uso da prática de testes de intrusão, os administradores de redes conseguem identificar os pontos de vulnerabilidade e assim propôr melhorias e correções afim de evitar ser o alvo de alguma invasão por parte de criminosos digitais.

Palavras-chave: Pentest. Invasão. Acesso. Segurança. Redes.

 

LISTA DE ABREVIATURAS E SIGLAS

ABNT Associação Brasileira de Normas Técnicas
UNOPAR

ISO

MAC

NTLM

SIEM

SMB

TCP/IP

Universidade Norte do Paraná

International Standards Organization

Medium Access Control

NT LAN Manager

Security Information and Event Management

Server Message Block

Transfer Control Protocol/Internet Protocol

SUMÁRIO

1 INTRODUÇÃO 6

2 REFERENCIAL TEÓRICO 6

2.1 Segurança da Informação 6

2.2 Rede Wireless 7

2.3 Sniffer ou Farejadores 7

2.4 Pentest e suas fases 8

2.5 SMB Relay 9

3 METODOLOGIA 11

3.1 Método (s) de pesquisa 11

3.2 Delimitação da população ou do objeto de estudo e/ou amostragem 12

3.3 Técnicas de coletas dos dados 12

3.4 Técnicas de análise dos dados 12

4 ANÁLISE E DISCUSSÃO DOS RESULTADOS 12

5 CONSIDERAÇÕES FINAIS 15

6 REFERÊNCIAS 17

1 INTRODUÇÃO

Existente na maioria dos lares e redes corporativas, as tecnologia Wireless já conquistou um grande espaço e confiança, devido sua maleabilidade e facilidade de instalação, a tecnologia Wireless conseguiu conquistar uma enorme popularidade.

Atualmente, com base no fato da necessidade de disponibilizar o acesso aos clientes e colaboradores, surge a necessidade de manter um ambiente hibrido de conexões, por isso, é de extrema importância validar a segurança deste ambiente.

O presente artigo aborda o tema análise de vulnerabilidades em rede Wireless para obtenção de acesso privilegiado, assunto que trata sobre questões relacionadas às atividades profissionais de teste de invasão, é abordado os passos para execução de um Pentest.

Para o desenvolvimento do artigo foi usado o tipo de pesquisa exploratória ou qualitativa por meio de testes práticos de captura de pacotes de dados conforme abordado no conceito de farejamento analítico de rede. Resultando na percepção da necessidade de implementar outras técnicas para um melhor resultado na obtenção de dados.

O problema investigado refere-se a prática de invasão em rede corporativa, por meio de uma rede Wireless compartilhada com clientes, fornecedores e demais colaboradores da empresa.

Para atestar os conceitos foram utilizadas as técnicas denominadas Sniffing, Pass-The-Hash e SMB Relay com as versões V1 e V2 do SMB, com o auxílio das ferramentas responder e metasploit.

2 REFERENCIAL TEÓRICO

2.1 Segurança da Informação

Segundo a ABNT NBR ISO/IEC 17799:2005 (2005, p.9), “segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

“Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema”. (CAMPOS, 2007, p.29)

Sendo assim, o princípio da Segurança da Informação, mostra que é preciso cuidar da informação, ou qualquer outro dado armazenado ou que trafegue em rede. A Segurança da Informação, visa garantir que os dados estejam cuidados e protegidos, com o propósito de evitar que informações importantes caiam em mão erradas.

2.2 Rede Wireless

A possibilidade de conectar tudo, desde utensílisios domésticos, sistemas veiculares, redes corporativas e domésticas, atribui-se ao conjunto de tecnologias sem fio denominada Wireless. Em 1901, Guglielmo Marconi utilizando o código Morse, fez uma demonstração de tráfego wireless de um telégrafo que transmitia informações de um navio para o litoral, onde afirma Tanenbaum (2003) que devido a esses fatos, a comunicação wireless não é uma ideia nova.

Segundo Pinheiro (2003), a implantação de redes sem fio, viabiliza a demanda de comunicação onde a infraestrutura cabeada não pode ser aplicada, porém com a resalva de que é preciso avaliar a relação custo/benefício, afim de tornar viável a sua aplicação. No entanto, de acordo com Cardoso (2005), a tecnologia wireless torna-se relevante ao passo que há reduções de custos, satisfação do cliente e otimizações do trabalho.

De acordo com Soares (1995), as redes wireless desempenham um papel importante, viabilizando a comunicação em locais de difícil acesso onde há a impossibilidade de instalação de cabos metálicos ou de fibra ótica.

2.3 Sniffer ou Farejadores

Sniffers trabalham utilizando uma interface de rede em modo promíscuo. Desenvolvida para monitorar, filtrar e capturar pacotes em uma rede, farejador (sniffer[1], em inglês) é uma aplicação comumente utilizada com esses propósitos, conforme Basta e Brown (2015). Entretanto para Nakamura (2007), ainda que criados para verificar problemas de rede, esses mesmos softwares[2] também pode ser utilizado para fins ilícitos, visto que ao passo que informações trafeguem em texto puro, elas podem ser facilmente interpretadas por um usuário mal intencionado.

Ainda para Wendt e Nogueira Jorge (2012), sniffers são utilizados por cibercriminosos afim de detectar dados sigilosos de acesso de usuários de computador, tal qual, sites acessados, e-mails e senhas. De acordo com os autores o principal objetivo do uso de um sniffer por um cibercriminoso é seu uso posterior, após monitorar o tráfego e assim analisar os dados transmitidos.

Segundo afirmam os autores Basta e Brown (2015), basicamente os farejadores conseguem trabalhar com todos os protocolos da rede modelo TCP/IP[3], no entanto para observar o tráfego de rede o farejador utiliza o cartão de interface de rede (NIC) sendo esse responsável por receber o tráfego no segmento de rede em que se encontra. Deste modo o farejador somente conseguirá ler o tráfego no segmento de rede em que o computador estiver conectado, necessitando por sua vez de outras técnicas para alcançar a comunicação dos outros segmentos.

2.4 Pentest e suas fases

 

Derivado do Inglês Penetration Test, o Pentest ou na tradução Teste de Intrusão, é uma forma de validar e analisar vulnerabilidades em ambiente informatizado, afim de antecipar-se a ataques que possam causar algum dano ou prejuízo. Segundo Weidman (2014), por meio do Pentest busca-se evidenciar as falhas e vulnerabilidades que poderiam ser exploradas por possíveis invasores maliciosos.

Definido como uma ciência multidisciplinar, é um método abrangente para testar a segurança, com base em hardware, software e pessoas, esse processo envolve uma análise profunda do sistema para possíveis vulnerabilidades que tentam acessar os recursos. Nos casos mais comuns, obter bases de dados e outras informações confidenciais, são o foco do Testador de Intrusão.

O teste de intrusão ajuda a proteger a organização, evitando perdas financeiras, preservando a imagem corporativa, a segurança da informação. Este procedimento, avalia a eficácia da segurança existente e fornece os argumentos de apoio para futuros investimentos ou atualização de tecnologias de segurança.

Para Engebretson 2014 existem quatro etapas fundamentais para a perfeita execução do teste de intrusão e podem ser usadas essencialmente: Reconhecimento, Escaneamento, Exploração de Falhas, Pós exploração e Preservação de Acesso.

Reconhecimento – é o ato de reunir dados preliminares ou inteligência em seu alvo, coletar toda a informação interessante possível. Pode ser ativamente (o que significa que você está tocando diretamente o alvo) ou passivamente (o que significa que sua recon se está realizando através de um intermediário).

Escaneamento – atividade que corresponde ao processo de identificar sistemas ativos e seus respectivos serviços. Pode-se usar alguma ferramenta de escaneamento de vulnerabilidades para coletar informações sobre o alvo.

Exploração de Falhas – requer o controle de um ou mais dispositivos de rede para extrair dados do alvo ou para usar esse dispositivo para então iniciar ataques em outros destinos, esta é a fase onde o profissional prova se a vulnerabilidade pode ser explorada ou não.

Pós exploração e Preservação de Acesso – nesta fase, o invasor deve permanecer oculto, uma conexão persistente deve ser mantida.

2.5 SMB Relay

A maioria das redes possui vários sistemas automatizados que se conectam a todos os hosts da rede para executar várias tarefas de gerenciamento, normalmente esses processos usam credenciais de acesso como Administrador ou algum outro acesso com direitos privilegiados. Alguns sistemas como sistemas de inventário de software, atualizações de antivírus, sistemas de backup, atualizações de software e gerenciamento de patches, coletores de logs de eventos, requisitam esse tipo de acesso.

Para Bagget (2013) os ataques de SMB Relay nos permitem capturar essas tentativas de autenticação e usá-las para acessar sistemas na rede. Ainda para Bagget (2013) o NTLM é um protocolo de desafio/resposta, onde a autenticação ocorre quando a resposta certa é retornada, ou seja, o cliente tenta fazer o login e o servidor responde com um desafio.

Basicamente o processo de autenticação ocorre da seguinte maneira, o servidor diz: “Se você é quem você diz que é, então criptografe essa coisa com seu hash”. Em seguida, o cliente criptografa o desafio e envia de volta a resposta de desafio criptografada. O servidor então tenta decodificar essa resposta de desafio criptografada com o hash de senha do usuário. O processo pode ser analisado na imagem abaixo.

C:\Users\Petter\AppData\Local\Microsoft\Windows\INetCache\Content.Word\smbrelay-desafio.png

Figura 1: Esquemática do processo de autenticação do SMB.

Fonte: Bagget (2013)

Ainda de acordo com Bagget (2013), em ataques SMB Relay, o atacante insere-se no meio dessa troca. O atacante escolhe o servidor de destino que deseja ganhar acesso e, em seguida, o atacante espera que aglo ou alguém na rede se autentique em sua máquina. Como normalmente os serviços de defesa ou monitoramento trabalham para identificar o novo dispositivo na rede e em seguida tentar conectar-se, o ataque conclui-se com sucesso, pois ao tentar conectar-se o serviço envia a hash para o dispositivo malicioso.

O fluxo de autenticação ocorre da seguinte forma, quando o processo automatizado se conecta ao atacante, ele passa a tentativa de autenticação para o alvo. Em seguida o alvo gera um desafio e o envia de volta ao atacante. O atacante envia o desafio de volta ao sistema de digitalização de origem. O sistema de digitalização criptografa o hash com o hash de senha correto e o envia para o invasor. O atacante passa a resposta corretamente criptografada de volta ao seu alvo e autentica com êxito.

O processo completo pode ser visto na imagem abaixo, em azul a comunicação original e em vermelho a comunicação modificada pelo atacante.

 

C:\Users\Petter\AppData\Local\Microsoft\Windows\INetCache\Content.Word\smbrelaypic2-relaydiagram.png

Figura 2: Esquemática do processo de autenticação do SMB Relay

Fonte: Bagget (2013)

 

3 METODOLOGIA

O mesmo foi dividido em duas partes, o primeiro é a pesquisa bibliográfica para aprimorar o embasamento sobre o assunto, técnica que, segundo Gil (2008) constitui-se em ser desenvolvida com base em material já elaborado podendo ser encontrado em livros e artigos científicos. A etapa seguinte é desenvolvida com o auxílio da pesquisa qualitativa por meio de testes práticos de captura de pacotes de dados conforme abordado no conceito de sniffer analítico de rede e ataque SMB Relay.

3.1 Método (s) de pesquisa

Nesse estudo o método de pesquisa a ser utilizado é a pesquisa qualitativa que, dar-se-à por meio de técnicas de farejamento de rede. Para Godoy (1995) há um conjunto de características que são capazes de identificar uma pesquisa qualitativa, como:

  1. O pesquisador como instrumento fundamental e o ambiente natural como fonte direta de dados;

O caráter descritivo;

Enfoque indutivo;

O significado das coisas e da vida conforme para as pessoas como preocupação do investigador.

3.2 Delimitação da população ou do objeto de estudo e/ou amostragem

A análise deu-se na empresa Metadados Assessoria e Sistemas, onde foi utilizada a estrutura de rede wireless para coleta de dados. A rede wireless utilizada foi a identificada pelo nome de Metadados.

3.3 Técnicas de coletas dos dados

A coleta de dados foi feita exclusivamente na rede wireless com o auxílio do programa chamado responder instalado em um notebook[4] da marca DELL[5] (modelo Studio 14) com o sistema operacional Kali Linux[6]. O responder foi executado no dia 04/09/2017 às 09:00 durante 2 minutos para obtenção de dados para a análise, em seguida foi utilizado o metasploit para explorar a vulnerabilidade com a hash do usuário Administrator.

3.4 Técnicas de análise dos dados

Para a análise de dados foi necessário abordar a análise exploratória e sistemática dos dados, onde foi feito uma pesquisa de termos mais usados para identificar informações de usuários, conforme a própria ferramenta responder fornece de forma automática. Após coletar as informações necessárias foi executado o mestasploit para explorar a vulnerabilidade.

4 ANÁLISE E DISCUSSÃO DOS RESULTADOS

Neste capítulo, discutiremos a amostragem dos dados com base nos conceitos das técnicas apresentadas, como foram detectados dados extremamente sensíveis, como Hash de senha de usuário administrador, IP, MAC Address, estes por sua vez foram ocultados.

Com base nos resultados obtidos por meio da varredura automática com o auxílio, foi possível atestar por meios manuais a veracidade das falhas encontradas, atendo-se somente a identificação do HASH do usuário Administrator para tentativa de acesso a servidores restritos, bem como o SRV-XXXXXX.

Matriz de Riscos

Devido ao alto teor de confidencialidade, nenhuma das técnicas e vulnerabilidades foram nem serão sob qualquer circunstância expostas neste documento, visto que o vazamento destas informações pode acarretar danos morais, legais e financeiros irreparáveis, entretanto abaixo segue as telas para visualização da prova de conceito.

Conforme pentest realizado na rede wireless e em seguida disparado o teste contra um servidor de alta importância, informado pela empresa, afim de atestar a hash obtida, foi possível concluir que havia a falha proveniente do Kerberos, onde podemos coletar e explorar a vulnerabilidade como pode ser observado no log e imagem abaixo.

Dados do Usuário Administrator

[1m_[34mCME_[0m 192.168.XXX.XXX:445 SRV-XXXXXX _[1m_[32m[+]_[0m Dumping local SAM hashes (uid:rid:lmhash:nthash)

_[1m_[34mCME_[0m 192.168.XXX.XXX:445 SRV-XXXXXX _[1m_[33m

Administrator:500:aadXXXXXXXXXXXeeaad3b435bXXXXXXX:c890cXXXXXXXXXXXX65bXXXXXX9a9944::: _[0m

_[1m_[34mCME_[0m 192.168.XXX.XXX:445 SRV-XXXXXX _[1m_[33m

Guest:501:aadXXXXXXXXXXXeeaad3b435XXXXXXee:31d6cfe0d16aeXXXXXXXXXXXX0cXXXc0::: _[0m

Ao executar o metasploit contra um servidor usando a hash do usuário Administrator.

C:\Users\Petter\AppData\Local\Microsoft\Windows\INetCache\Content.Word\servidor-explorado.png

5 CONSIDERAÇÕES FINAIS

Conforme pode ser observado no decorrer da análise, um sniffer pode sim ser utilizado para coletar informações em uma rede Wireless, no entanto somente executá-lo sem a utilização de outras técnicas de invasão não garante uma total satisfação na obtenção de dados mais sensíveis.

Assim como a tecnologia avança, os profissionais de segurança cibernética precisam seguir as técnicas e conhecer bem as vulnerabilidades da sua organização. O conselho de um Pentester bom é essencial para ajudar a identificar lacunas na segurança da informação e oferecer alternativas viáveis para evitar determinados ataques.

É muito comum que as organizações trabalhem na reação, no entanto, é importante trabalhar preventivamente. Como pode ser observado na análise, o uso de uma ferramenta para testar invasão, ainda que não esteja autenticado na rede, pode facilitar a vida de um atacante mal intencionado.

Alguns limites técnicos de profissionais, bem como a falta de monitoramento, proporcionaram o sucesso do ataque e dificulta a rastreabilidade no caso de uma invasão com sucesso. Para monitorar esse tipo de ameaça é necessário implementar sistemas de segurança, como o SIEM (Security Information and Event Management) ou Gestão de Eventos e Informações de Segurança, portanto, mesmo que não seja possível inibir completamente, ainda assim é possível rastrear e bloquear o maior número de ameaças potenciais.

6 REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISSO/IEC 27002:2005 tecnologia da informação – técnicas de segurança – código de prática para gestão da informação. Rio de janeiro: 2005. Disponível em: http://search.4shared.com/postDownload/M0vePGU6/ISO-IEC_27002-2005.html>. Acesso em 20 de setembro de 2017.

BAGGET, Mark – Protocolos Auxiliares: Protocolos ARP e RARP. 2000. Disponível em: < https://pen-testing.sans.org/blog/2013/04/25/smb-relay-demystified-and-ntlmv2-pwnage-with-python>. Acesso em 20 de setembro de 2017.

BASTA, Alfred, BASTA, Nadine, BROWN, Mary. Segurança de Computadores e Testes de Invasão. Tradução: Lizandra Magnon de Almeida. Cengage Learning Edições LTDA, 2015.

CARDOSO, L. M. Implantação da Tecnologia sem fio integrada à Filosofia de Trabalho JIT: um estudo de caso. In: CONGRESSO DE INICIAÇÃO E PRODUÇÃO CIENTÍFICA, 8., 2005. Anais eletrônicos… São Paulo, São Bernardo do Campo: METODISTA, 2005.

CAMPOS, A. SISTEMAS DE SEGURANÇA DA INFORMAÇÃO. 2 ed. Florianopolis: Visual Books, 2007.

ENGEBRETSON, Patrick. Introdução ao hacking e aos testes de invasão. São Paulo: Novatec Editora Ltda, 2014.

GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, 2008.

GODOY, Arilda Schmidt. Introdução à pesquisa qualitativa e suas possibilidades. RAE – Revista de Administração de Empresas, São Paulo, v. 35, n. 2, p. 57-63, mar./abr. 1995. Pesquisa qualitativa: tipos fundamentais. RAE – Revista de Administração de Empresas, São Paulo, v. 35, n. 3, p. 30-6, jan./fev. 1995.

NAKAMURA, E. T., & GEUS, P. L. Segurança de Redes em Ambientes Cooperativos. SÃO PAULO: NOVATEC, 2007.

PINHEIRO, J. M. S. Guia Completo de Cabeamento de Redes. Rio de Janeiro: Campus, 2003.

SOARES, F. G.; LEMOS, G.; COLCHER, S. Redes de Computadores: das LANs, MANs e WANs às redes ATM. 2. ed. Rio de Janeiro: Elsevier, 1995.

TANENBAUM, A. S. Redes de Computadores. 4. ed. Rio de Janeiro: Campus, 2003.

WEIDMAN, Georgia, Testes de Invasão: Uma introdução prática ao hacking. Tradução: Lúcia A. Kinoshita, São Paulo: Novatec Editora Ltda, 2014.

WENDT, Emerson; NOGUEIRA JORGE, Higor Vinicius; Crimes cibernéticos: ameaças e procedimentos de investigação. –Rio de Janeiro: Brasport, 2012.

  1. Sniffer é uma ferramenta que intercepta e analisa o tráfego de uma rede.
  2. Software é a parte lógica de um computador, aquilo que não pode ser tocado fisicamente.
  3. TCP/IP é um conjunto de protocolos de comunicação para computadores em rede.
  4. Notebook computador portátil.
  5. DELL é uma grande fabricante de equipamentos computacionais.
  6. Kali Linux distribuição do sistema operacional Linux, voltada para realização de testes de invasão.