4Nix Treinamentos in Company

4Nix | Workshops Especializados

Título: Kernel Security – A última fronteira

Tema: Segurança
Idioma: Português
Tempo:  8 horas para Workshop

Público alvo: Profissionais de Redes, Profissionais de Segurança de Redes, Profissionais que atuam em Resposta a Incidente de Segurança, Usuários  de Software Livre , Projetista de Infra-estrutura de Internet.

Sinopse: Uma vez existiu em uma época remota todavia não muito distante  a ameaça possível a  um servidor configurado, mesmo configurando corretamente, motivando o risco do mesmo ser invadido,  mas esse risco era fisicamente dimensionado aos limites da rede corporativa.

Como já citado inúmeras vezes, tudo mudou com o surgimento da Internet. A realidade atual onde um grande crescimento de computadores interconectados e  o crescimento de serviços disponíveis, criar um cenário onde também uma quantidade de softwares com finalidades ilícitas, tecnicamente denominados Malware possibilita a qualquer um com poucos conhecimentos ser um invasor e por conseqüência qualquer servidor ligado a Internet poderá ser vítima de um Incidente de Segurança.

Embora possamos hoje pensar em segurança de redes de forma mais ampla e planejada, criando camadas de defesa contra os invasores, usando os mais variados recursos combinados como aplicativos voltados a detectar a invasão de um sistema, Firewall, ACL's de roteadores,uma vez que esses dispositivos sejam transpostos e o invasor encontre uma vulnerabilidade em um serviço ou configuração de um respectivo servidor  o mesmo poderá  torná-la uma ameaça e explorar o sistema.

É fato que bons administradores  configuram dispositivos para detectar a violação da  integridade das informações de um servidor como HIDS (Host IDS), mas por melhores que sejam essas ferramentas, elas trabalham na Userspace (nível de usuário) .

Podemos dizer que os IDS do tipo tripware que trabalham na camada de usuário podem ser mais vulneráveis, sendo assim burlados com mais facilidade, porque a maioria desses  Host IDS são mecanismos simples de verificação de Hash criptográficos
Caso um cracker com conhecimento mais refinado ao efetuar a invasão não irá precisar fazer nenhuma alteração em arquivos, que estão relacionados no arquivo de configuração do Host IDS em questão, somente fizer alterações em arquivos não configurados no IDS ou  atuar direto na camada do Kernel ele possivelmente não será facilmente detectado podendo até mesmo forjar falsas informações para um Host IDS sabotando sua base, tudo depende do contexto de como o acesso arbitrário ocorreu.

Entretanto com um sistema configurado com um mecanismo de controle que esteja na camada do Kernel, a dificuldade aumenta porque tudo o que invasor estiver tentando executar, gerará uma chamada no Kernel (system call), dessa forma um mecanismo inteligente poderá em alguns momentos atuar como um  IDS  na camada de Kernel, o que acarretará que todas as chamadas de sistemas feitas poderão ser interceptadas e a partir daí ações poderão ser tomadas entre elas gerar mensagens de logs registrando o respectivo evento.
Os registros dos eventos  dos sistemas (logs) é  de tamanha importância , que na norma NBR ISO/IEC 17799:2005, dedica vários apontamentos inerentes a logs e auditora vinculadas no capítulo 10, para ser mais exato no tópico 10.10 e seus respectivos sub-itens. Ratificando a importância supra citada que registros de eventos são também prioridade em uma política de segurança e auditorias futuras.

Outro ponto relevante é que ser fizermos um analogia com o conceito de segurança em camadas e uma cebola, à medida que uma camada de um mecanismo de segurança é transposta, o invasor se depara com outra camada, mas uma vez que ele consiga ganhar acesso ao sistema não temos mais o que fazer, exceto estabelecermos ainda uma última trincheira, deixando claro que enquanto existir um soldado vivo ainda não terminou a batalha. Esse soldado será a ultima fronteira, ou seja, a proposta de segurança no Kernel.
Os principais tópicos abordados:

1. Conceitos de Intrusão de Sistema;

2.  Conceituando Segurança na Camada de Kernel
2.1 Falando do Posix 1.e
2.2 Soluções disponíveis

3. Implementando Segurança na camada de Kernel;
3.1 Pré requisitos;
3.2 Aplicando Patch
3.3 Compilando o Kernel
3.4 Compilando a ferramenta administrativa para userland

4. Refinando a Segurança
4.1 Ajustes finos na configuração

5. Teste Intrusivo.