Honeyhashes e honeytickets : detecção de ataques pass-the-hash e pass-the-ticket em redes de domínio active directory do Windows / Honyehashes & honeytickets : detecting pass-the-hash and pass-theticket attacks in Windows active directory domain networks

Moraes, Fabio Luiz da Rocha

16 December 2016

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-02-13T18:28:53Z No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-06T21:09:28Z (GMT) No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) / Made available in DSpace on 2017-03-06T21:09:28Z (GMT). No. of bitstreams: 1 2016_FábioLuizdaRochaMoraes.pdf: 24179168 bytes, checksum: 2ae20c3e7673e0d2e0b18006c464c371 (MD5) / O furto de credenciais é considerado ser uma peça em uma cadeia de eventos que englobam ataques a redes de computadores e sistemas operacionais, sendo a evasão de dados ou incidentes parte de um escopo maior no processo de verificação e resposta a incidentes. Apesar de ataques do tipo Passthe- Hash serem conhecidos no ambiente de Redes Windows há algum tempo, a detecção desses tipos de técnicas ainda constitui um desafio em ambientes onde o processo de autenticação conta com sistemas distribuídos em redes heterogêneas e amplas. De forma a auxiliar no combate e detalhamento deste tipo de problema de segurança em redes, este trabalho estudou as medidas protetivas contra esses ataques e três linhas de detecção. As linhas de detecção foram classificadas em detecção de eventos, detecção de anomalias e detecção de honeytokens. São propostos três elementos que podem auxiliar no confronto ao problema. O primeiro elemento é uma Kill Chain para ataques Pass-the-Hash e Pass-the-Ticket que visa mostrar e explicar a anatomia desses ataques. O segundo é uma classificação para as abordagens de tratamento desses ataques como medida para organizar as diferentes formas como o problema é encarado. O último trata-se de uma arquitetura para servir de base para a implementação de uma ferramenta de detecção. Esse terceiro componente possui fim de ajudar no processo de detecção de intrusão em redes com as características mencionadas. / Credential theft is considered to be a piece in a chain of events that cover attacks to computer networks and operating systems, being data leaks or incidents part of a bigger scope in the process of verification and response to incidents. In spite of Pass-the-Hash and Pass-the-Ticket attacks are long known in the Windows Network environment, the detection of such techniques still constitutes a challenge in environments where the authentication process counts with distributed systems in wide and heterogeneous networks. In order to aid the combating and detailing with this kind of network security problem, this work studied the protective measures against these attacks and three lines of detection. The lines of detection were classified in event detection, anomaly detection and honeytoken detection. Three elements that can help in the confrontation to this matter were proposed. The first element is a Kill Chain for Pass-the-Hash and Pass-the-Ticket attacks, that aims to show and explain the anatomy of these attacks. The second is a classification to the approaches in dealing with the issue as a mean to organize the different ways the problem is treated. The last is about an architecture to serve as a base for the implementation of a detection tool. This third component has an end to help the process of intrusion detection in networks with the mentioned characteristics.

Redes de computadores

Autenticidade

Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede / A distributed architecture for network security data analysis

Holtz, Marcelo Dias

09 March 2012

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T19:59:26Z (GMT) No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Made available in DSpace on 2012-09-18T19:59:26Z (GMT). No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT / The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs. Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore, taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities.

Segurança de dados

Segurança da informação

Protocolo de comunicação segura para plataforma de distribuição de vídeo em redes sobrepostas. / Protocol of secure communication for video distribution platform on overlay networks.

Pimentel, Hélcio Machado

07 July 2011

As redes de distribuição de vídeo têm sido amplamente utilizadas na atualidade pela Internet. O sucesso de Portais de Vídeo evidencia tal uso. Por poderem ser redes de grande porte, há uma grande preocupação com as vulnerabilidades existentes nessas redes. A comunicação de seus elementos deve ser segura o bastante para garantir a disponibilidade, o sigilo e integridade de suas mensagens e a autenticidade dos seus elementos. Este trabalho apresenta um protocolo de comunicação segura que busca atender a tais necessidades de uma maneira eficiente - pois consegue atender aos requisitos de desempenho na entrega do conteúdo aos usuários - e genérica - pois pode ser utilizado em outras plataformas de distribuição. A validação do trabalho é feita de maneira a mostrar que a proposta consegue atender aos requisitos de um sistema de distribuição de vídeo seguro. / Video delivery network has been widely used across the Internet nowadays. The success of Video Portals is an evidence of this use. Due to its potential to turn into large infrastructures, there is a concern about its vulnerabilities. The communication among its elements must be secure enough to guarantee the availability, the secrecy and integrity of messages and the authenticity of its elements. We present in this work a secure communication protocol to meet such requisites in an efficient - since it meets the performance requisites for delivering the content to the users - and generic way - because it can be used by other distribution systems. The validity of this work is done in order to show that this proposal can meet the requisites of a secure video delivery system.

Communication Protocol

Distributed Systems

Network Security

Protocolos de Comunicação

Segurança em Redes

Sistemas Distribuídos

Vídeo (Distribuição)

Video (Distribution)

Protocolo de comunicação segura para plataforma de distribuição de vídeo em redes sobrepostas. / Protocol of secure communication for video distribution platform on overlay networks.

Hélcio Machado Pimentel

07 July 2011

As redes de distribuição de vídeo têm sido amplamente utilizadas na atualidade pela Internet. O sucesso de Portais de Vídeo evidencia tal uso. Por poderem ser redes de grande porte, há uma grande preocupação com as vulnerabilidades existentes nessas redes. A comunicação de seus elementos deve ser segura o bastante para garantir a disponibilidade, o sigilo e integridade de suas mensagens e a autenticidade dos seus elementos. Este trabalho apresenta um protocolo de comunicação segura que busca atender a tais necessidades de uma maneira eficiente - pois consegue atender aos requisitos de desempenho na entrega do conteúdo aos usuários - e genérica - pois pode ser utilizado em outras plataformas de distribuição. A validação do trabalho é feita de maneira a mostrar que a proposta consegue atender aos requisitos de um sistema de distribuição de vídeo seguro. / Video delivery network has been widely used across the Internet nowadays. The success of Video Portals is an evidence of this use. Due to its potential to turn into large infrastructures, there is a concern about its vulnerabilities. The communication among its elements must be secure enough to guarantee the availability, the secrecy and integrity of messages and the authenticity of its elements. We present in this work a secure communication protocol to meet such requisites in an efficient - since it meets the performance requisites for delivering the content to the users - and generic way - because it can be used by other distribution systems. The validity of this work is done in order to show that this proposal can meet the requisites of a secure video delivery system.

Protocolos de Comunicação

Segurança em Redes

Sistemas Distribuídos

Vídeo (Distribuição)

Communication Protocol

Distributed Systems

Network Security

Video (Distribution)

Classificação de conteúdo malicioso baseado em Floresta de Caminhos Ótimos / Malicious content classification based on Optimum-path Forest

Fernandes, Dheny [UNESP]

19 May 2016

Submitted by DHENY FERNANDES null (dfernandes@fc.unesp.br) on 2016-06-15T17:19:42Z No. of bitstreams: 1 Dissertação.pdf: 1456402 bytes, checksum: 56f028f949d37b33c377e1c247b0fd43 (MD5) / Approved for entry into archive by Ana Paula Grisoto (grisotoana@reitoria.unesp.br) on 2016-06-21T17:18:53Z (GMT) No. of bitstreams: 1 fernandes_d_me_bauru.pdf: 1456402 bytes, checksum: 56f028f949d37b33c377e1c247b0fd43 (MD5) / Made available in DSpace on 2016-06-21T17:18:53Z (GMT). No. of bitstreams: 1 fernandes_d_me_bauru.pdf: 1456402 bytes, checksum: 56f028f949d37b33c377e1c247b0fd43 (MD5) Previous issue date: 2016-05-19 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) / O advento da Internet trouxe amplos benefícios nas áreas de comunicação, entretenimento, compras, relações sociais, entre outras. Entretanto, várias ameaças começaram a surgir nesse cenário, levando pesquisadores a criar ferramentas para lidar com elas. Spam, malwares, con- teúdos maliciosos, pishing, fraudes e falsas URLs são exemplos de ameaças. Em contrapartida, sistemas antivírus, firewalls e sistemas de detecção e prevenção de intrusão são exemplos de ferramentas de combate às tais ameaças. Principalmente a partir de 2010, encabeçado pelo malware Stuxnet, as ameaças tornaram-se muito mais complexas e persistentes, fazendo com que as ferramentas até então utilizadas se tornassem obsoletas. O motivo é que tais ferra- mentas, baseadas em assinaturas e anomalias, não conseguem acompanhar tanto a velocidade de desenvolvimento das ameaças quanto sua complexidade. Desde então, pesquisadores têm voltado suas atenções a métodos mais eficazes para se combater ciberameaças. Nesse contexto, algoritmos de aprendizagem de máquina estão sendo explorados na busca por soluções que analisem em tempo real ameaças provenientes da internet. Assim sendo, este trabalho tem como objetivo analisar o desempenho dos classificadores baseados em Floresta de Caminhos Ótimos, do inglês Optimum-path Forest (OPF), comparando-os com os demais classificadores do estado-da-arte. Para tanto, serão analisados dois métodos de extração de características: um baseado em tokens e o outro baseado em Ngrams, sendo N igual a 3. De maneira geral, o OPF mais se destacou no não bloqueio de mensagens legítimas e no tempo de treinamento. Em algumas bases a quantidade de spam corretamente classificada também foi alta. A versão do OPF que utiliza grafo completo foi melhor, apesar de que em alguns casos a versão com grafo knn se sobressaiu. Devido às exigências atuais em questões de segurança, o OPF, pelo seu rápido tempo de treinamento, pode ser melhorado em sua eficácia visando uma aplicação real. Em relação aos métodos de extração de características, 3gram foi superior, melhorando os resultados obtidos pelo OPF. / The advent of Internet has brought widespread benefits in the areas of communication, entertainment, shopping, social relations, among others. However, several threats began to emerge in this scenario, leading researchers to create tools to deal with them. Spam, malware, malicious content, phishing, fraud and false URLs are some examples of these threats. In contrast, anti-virus systems, firewalls and intrusion detection and prevention systems are examples of tools to combat such threats. Especially since 2010, headed by the Stuxnet malware, threats have become more complex and persistent, making the tools previously used became obsolete. The reason is that such tools based on signatures and anomalies can not follow both the speed of development of the threats and their complexity. Since then, researchers have turned their attention to more effective methods to combat cyber threats. In this context, machine learning algorithms are being exploited in the search for solutions to analyze real-time threats from the internet. Therefore, this study aims to analyze the performance of classifiers based on Optimum-path Forest, OPF, comparing them with the other state-of-the-art classifiers. To do so, two features extraction methods will be analyzed: one based on tokens and other based on Ngrams, considering N equal 3. Overall, OPF stood out in not blocking legitimate messages and training time. In some bases the amount of spam classified correctly was high as well. The version that uses complete graph was better, although in some cases the version that makes use of knn graph outperformed it. Due to the current demands on security issues, OPF, considering its fast training time, can be improved in its effectiveness aiming at a real application. In relation to feature extraction methods, 3gram was better, improving OPF’s results.

Segurança em redes de computadores

Floresta de Caminhos Ótimos

Spam

Classificação

Aprendizado de máquina

Computer network security

Optimum-path Forest

Classification

Machine learning

Private virtual network / Redes virtuais privadas

Pedro Celestino

03 December 2005

Along with the computers networks emerges the possibility of managing remotely the intelligent organizations although the safe change of information has become a problem to the institutions which transport structured data through nets of computers. One of the largest challenges is the search for safe and economically viable solutions. Protocols of safety, cryptographic algorithms, safe means of communication are essential items so that the information can travel in environmentals free of external interferences. One of the alternatives is the Virtual Private Networks. In this work, the main prominences of this technology will be presented using the protocol IPSec with the purpose of presenting a more atractive tool to the organizations due to its safety and economical viability. / Com as redes de computadores, surge também a possibilidade de administrar remotamente as organizações inteligentes, no entanto a troca de informações segura tornou-se um problema para as instituições que trafegam dados estruturados através das redes de computadores. Um dos maiores desafios é a busca de soluções economicamente viáveis e ao mesmo tempo seguras. Protocolos de segurança, algoritmos criptográficos meios de comunicação seguros, são itens essenciais para que a informação possa trafegar em ambientes livres de interferências externas. Uma das soluções é a Rede Virtual Privada. Neste trabalho, serão apresentados os principais destaques desta tecnologia, utilizando o protocolo IPSec, com o propósito de apresentar mais uma solução atrativa para as organizações, pois trata-se de uma solução economicamente viável e segura.

Windows

IPSec

criptografia

segurança em redes

redes de computadores

computers networks

security in networks

Cryptography

Windows

ARQUITETURA DE SISTEMAS DE COMPUTACAO

Framework de comunicação seguro e confiável para Internet das Coisas usando o protocolo XMPP / Secure and Reliable Internet Communications Framework for Things using the XMPP protocol

Moraes, Luan Carlos de Oliveira

26 August 2016

Submitted by Rosivalda Pereira (mrs.pereira@ufma.br) on 2017-06-23T20:47:23Z No. of bitstreams: 1 LuanCarlosOliveira.pdf: 3830694 bytes, checksum: c832e643ca1fc89969e8abd443a7b6a2 (MD5) / Made available in DSpace on 2017-06-23T20:47:23Z (GMT). No. of bitstreams: 1 LuanCarlosOliveira.pdf: 3830694 bytes, checksum: c832e643ca1fc89969e8abd443a7b6a2 (MD5) Previous issue date: 2016-08-26 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) / The Internet of Things (IoT) is a paradigm in which smart objects collaborate actively with other physical and virtual objects available in the Internet. IoT environments are characterized by a high degree of heterogeneity of devices and network protocols. However, many challenging social and technological issues still need to be addressed, including the interoperability of devices, autonomous systems, privacy and security issues, which could have a significant impact on many aspects of everyday life of potential end user. To deal with these issues some type of middleware layer or frameworks to show fundamental enforce the seamless integration of devices and functionality within the same network information, providing security and reliability. Therefore, the objective of this work is to design and implement a secure and reliable framework in this scenario using the XMPP protocol (eXtensible Messaging and Presence Protocol). Based on the model publish / subscribe, the proposed framework has reliability mechanism for real-time communication, security features provided by the XMPP based on TLS and SASL authentication. Based on case studies demonstrate the framework’s ability reliability and the results demonstrate the feasibility of the model. / A Internet das Coisas (IoT) é um paradigma no qual objetos inteligentes colaboram de forma ativa com outros objetos físicos e virtuais disponíveis na Internet. Ambientes de IoT são caracterizados por um alto grau de heterogeneidade de dispositivos e protocolos de rede. Entretanto, muitas questões tecnológicas desafiadoras e sociais ainda precisam ser abordadas, incluindo a interoperabilidade de dispositivos, autonomia de sistemas, privacidade e questões de segurança, o quê poderia ter um impacto significativo em vários aspectos da vida cotidiana do usuário potencial final. Para lidar com essas questões algum tipo de camada de middleware ou frameworks se mostram fundamentais para fazer cumprir a integração de dispositivos e funcionalidades dentro da mesma rede de informação, provendo segurança e confiabilidade. Desta forma, o objetivo deste trabalho é projetar e implementar um Framework seguro e confiável neste cenário usando o protocolo XMPP (eXtensible Messaging and Presence Protocol). Baseado no modelo publish/subscribe, o framework proposto possui mecanismo de confiabilidade na comunicação em tempo real, recursos de segurança fornecidos pelo XMPP baseado no protocolo Transport Layer Security (TLS) e autenticação Simple Authentication and Security Layer (SASL). Com base nos estudos de caso, demonstramos a capacidade do framework na confiabilidade e os resultados obtidos demonstram a viabilidade do mesmo.

Internet das Coisas

Confiabilidade em Redes

Segurança em Redes

XMPP

Framework

Internet of Things

Network Security

Reliability Networks

Arquitetura de Sistemas de Computação

Mecanismo de Segurança Ciente do Contexto para Computação em Nuvem Móvel. / Security mechanism for context-aware computing mobile cloud.

AROUCHA, Cláudio Manoel Pereira

27 May 2015

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-31T13:25:42Z No. of bitstreams: 1 Claudio Manoel.pdf: 2235875 bytes, checksum: 09f2ae854210974f87252bad3c5b1df9 (MD5) / Made available in DSpace on 2017-08-31T13:27:28Z (GMT). No. of bitstreams: 1 Claudio Manoel.pdf: 2235875 bytes, checksum: 09f2ae854210974f87252bad3c5b1df9 (MD5) Previous issue date: 2015-05-27 / The use and popularity of mobile devices has been growing vertiginously, as well an the cloud computing as instrument to store data and services, making feasible the combination of these two technologies. One of the biggest obstacles is the mobile device’s security and ergonomics to provide security for transporting its data without performance degradation. This work proposes a context-aware security mechanism for mobile devices in cloud computing. In addition, it is used the TLS technology to create a secure channel of data sent between mobile device’s client and the cloud server, authenticating them via public key cryptography. At the same time, it provides an appropriate level of security, and analyses the context of the mobile device from the Fuzzy logic. The impact of the mechanism on the mobile device’s performance were measured through experiments. / O uso e a popularidade dos dispositivos móveis vem crescendo vertiginosamente, bem como a computação em nuvem como instrumento para armazenar dados e serviços, tornando-se viável a união dessas duas tecnologias. Um dos maiores obstáculos é a questão da segurança e ergonomia do dispositivo móvel que necessita provê-lo ao trafegar dados sem haver degradação de seu desempenho. Este trabalho propõe então um mecanismo de segurança ciente do contexto para Computação em Nuvem Móvel. Em adição, utiliza-se a tecnologia Transport Layer Security (TLS) para criar um canal seguro de envio de dados entre o cliente do dispositivo móvel e o servidor da Nuvem, autenticando-o por meio de criptografia de chave pública. Paralelamente, para prover um nível de segurança apropriado, analisase o contexto do dispositivo móvel a partir da lógica Fuzzy. O impacto do mecanismo no desempenho do dispositivo móvel foi medido por meio de experimentos.

Sistemas de Informação