ameaças na internet - Felipemartins.info
Download
Report
Transcript ameaças na internet - Felipemartins.info
COMO FUNCIONAM AS AMEAÇAS
DA INTERNET E O CYBERCRIME
Mariano Sumrell Miranda
APRESENTAÇÃO
Mariano Sumrell Miranda
[email protected]
Winco Tec. e Sistemas
Empresa com + 10 anos de desenvolvimento de tecnologia de
segurança e conectividade
Fabricante do Winconnection
- Controle de Acesso à Internet, Filtro de Instant Messaging,
Filtro de e-mail e servidor de e-mail
Fabricante do Winco Edge Security
- Filtro de Instant Messaging e Filtro de e-mail
Distribuidor no Brasil do AVG
- Alguns componentes do AVG feitos pela Winco
AMEAÇAS NA INTERNET
Antigamente Hackers eram motivados por:
fama
vencer desafios
provar conceitos
HACKERS HOJE
Cybercrime atividade profissional (criminosa)
Sofisticados e altamente organizados
Atividades
Espionagem industrial
Sabotagem de concorrentes
Roubo de Informações como cartões de créditos e senhas de banco
Envio de SPAM
Click Fraud
Chantagem e extorsão
- Sequestro de HD
- Ameaça de parar o sistemas computacional
CYBERCRIME
Venda de produtos e serviços.
Programa DDoS Bot: US$ 400
Envio de Spam: US$ 150 / milhão
Info sobre cartões de crédito: US$ 0,10 a US$25
Web Exploit ToolKit (WET): US$ 20 a US$400
Aluguel/Venda de Botnets
Informações Bancárias
Senhas de contas de e-mail
Aluguel de local para entrega de mercadorias
Conversão para dinheiro
CLASSIFICAÇÃO DE
MALWARE
Pela forma de propagação
Pelo atividade realizada
Vírus
Worm
Cavalo de Tróia
Backdoor
Spyware
Keylogger e screenlogger
Downloaders
Etc
Por Características Especiais
Rootkit
VÍRUS
Se anexa a programas hospedeiros
Altera início de programa para executar o código
malicioso
Código malicioso costuma infectar outros arquivos,
inclusive pelo compartilhamento de rede
Pode criar novos executáveis e, através da Registry do
Windows forçar a sua execução na inicialização da
máquina.
WORM
Não precisa de programa hospedeiro
Se propaga pela rede
Entra no computador explorando falhas de segurança (exploit)
Sistema Operacional
Aplicativo
Exploit mais comum: buffer overflow
CAVALO DE TRÓIA
Exige a ação da vítima para se instalar:
Executar um anexo de e-mail
Fazer download de programa
Técnica mais utilizada pelos hackers:
Engenharia Social nas suas mais diversas formas
ROOTKIT
Programas que escondem a sua presença
tornando impossível a sua detecção pelos
mecanismos convencionais
Costumam alterar chamadas (API) do sistema operacional:
Acesso a Arquivos: não mostram os arquivos maliciosos
Identificação de processos: não mostram os processos maliciosos
Podem ser instalados no kernel (módulos carregáveis,
device drivers) ou nas bibliotecas do S.O. (DLLs).
HISTÓRIA
1982 – Primeiro vírus disseminado
Elk Cloner – Infectava disquetes (boot sector) do Apple II
A cada 50 boots apresentava um poema:
Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!
HISTÓRIA
1983 – Primeiro vírus de laboratório documentado.
Cunhado o termo “Vírus de computador”.
1986 – Primeiros vírus de PC: Brain, ping-pong
Eram vírus de boot sector.
1987 – Primeiros vírus de arquivos.
1988 – Robert Morris lançou o primeiro “worm” da
Internet derrubando 6.000 máquinas por 36 horas.
1995 – Primeiro vírus de macro.
PING-PONG
HISTÓRIA
1999 – Mass mailing worms
(Melissa, I Love You, MyDoom)
2001 – Bots and worms (Code Red, Nimda)
Code Red contaminou 350 mil servidores em 12 h
2004 – Ataques Web
Windows XP SP2 – firewall ligado por default
Portas Web (80 e 443) sempre abertas
VETORES DE PROPAGAÇÃO
Disquetes
E-mails
Worms explorando falhas de segurança
Sites comprometidos
AMEAÇAS NA NAVEGAÇÃO
Antigamente, sites pornográficos e de jogatina eram
as principais formas de ataque pela Web
Hoje se escondem em páginas de empresas idôneas
que foram atacadas sem o conhecimento dos
responsáveis.
Para se esconder, ficam pouco tempo em cada página
ou só se manifestam em 1 a cada N acessos.
TEMPO DE VIDA DE DOMÍNIO
COM CÓDIGO MALICIOSO
ATAQUES NA NAVEGAÇÃO
Páginas Maliciosas:
Download de programas maliciosos
(em geral com engenharia social)
Exploit de falhas de segurança do browser
Ataques em Active-X, Java ou JavaScript
Necessidade de detecção antes de chegar no browser
Proteção baseada em base de dados → Proteção Limitada
Necessidade de verificação em tempo real 8
COMO OS SITES SÃO
ATACADOS
Explorando falhas de segurança do servidor Web
Explorando falhas de segurança da aplicação Web
Usando credenciais FTP utilizadas pelo dono do site
para fazer upload
Nome de Usuários e Senhas trafegam em aberto no FTP.
BOTNETS
Conjuntos de computadores “escravizados” por
cybercriminosos
Envio de SPAM
Ataques (sabotagem, extorsão)
Botnet = Robot network
Máquinas comprometidas por vírus, worms ou
cavalos de tróia.
BOTNETS
Se comunicam através de um componente IRC
(Internet Relay Chat) que se conecta a um canal de um
ou mais servidores IRC.
Mais recentemente o Twitter foi usado para a comunicação.
DoS – DENIAL OF SERVICE
Ataque que faz com que determinado serviço pare
de funcionar.
DDoS - Distributed DoS
Ataque feito de botnets.
DoS
Inundar um link
Inundar servidor de e-mail
SYN Flood
Mantém conexões TCP semi-abertas, consumindo recursos até a
exaustão dos mesmos.
PING of Death - Ping com mais de 64K bytes que derrubava
o Windows 95 e algumas versões do Linux.
Enviar pacotes mal formados que fazem o servidor “crashar”.
CAPTURA DE INFORMAÇÕES
TRAFEGANDO NA REDE
Sniffers
Em redes locais
Se houver switches: ARP Poisoning
Interceptando nos roteadores/redes no caminho
Se for criptografado: Man In the Middle
Pode ser aplicado em redes locais com ARP Poisoning
SSL (SECURE SOCKET LAYER)
Na conexão, cliente envia sua chave pública.
Servidor responde com sua chave pública, criptografada
pela chave pública do cliente.
Cliente responde, pedindo uma chave de sessão (usada
para criptografar o resto da comunicação).
Servidor envia chave de sessão, criptografada pela chave
pública do cliente.
A partir desse momento toda a comunicação se dá com a
chave de sessão (chave simétrica).
MAN IN THE MIDDLE
Se o cliente não tiver como verificar a chave do
servidor, é possível interceptar a comunicação.
C
liente
S
erver
H
acker
FINGIR SER OUTRA PESSOA
Usando Login/Senha de outra pessoa
Sniffer
Tentativa e erro:
- força bruta
- dicionário
Engenharia Social
Fingir ser outra pessoa em mensagens de e-mail,
MSN, sites sociais.
FORÇAR A EXECUÇÃO
DE CÓDIGO
Vírus e Worms
Usar Engenharia Social para induzir usuário a executar
certo programa.
Explorar Falhas de Segurança de Programas:
Buffer Overflow
Code/SQL Injection
BUFFER OVERFLOW
Programa lê dados de entrada assumindo que tem certo valor
máximo.
Se dados forem maiores que o esperado há um estouro de
buffer.
Estouro provoca sobreposição de dados de dados na stack
(pilha).
É inserido código malicioso na stack e endereço de retorno a
alterado para a execução dos desse código.
Ataque pode vir pela rede ou através de dados (imagens,
videos, PDF, .doc) mal formados.
SQL INJECTION
Formulário com campos “usuario” e “senha”:
Teste de login:
- SELECT * from usuarios where usu = usuario and password =
senha;
Se em senha eu preencher:
- senha; INSERT INTO usuarios (usu, passwd,priv) VALUES
(mariano,qualquer, all)
WEB2.0 E SEGURANÇA
Maior interatividade sempre é uma porta sujeita a ser
invadida
Grande disponibilidade de informações pessoais.
Terreno fértil para o uso de Engenharia Social
MOBILIDADE E SEGURANÇA
Smarthphones são computadores com CPU, memória,
área de armazenamento, sistemas operacional e
aplicativos e conectados à internet.
Mesmos problemas de segurança que desktops
e servidores.
MOBILIDADE E SEGURANÇA
Já existem vírus para celulares
Podemos comprar na Internet programa que dá
acesso
à camera e microfone dos celulares, bem como acesso
às conversas telefônicas.
Assim como os notebooks, carregam uma série de
informações. Precisamos proteger essas informações
em casos de roubos e furtos.
CLOUD COMPUTING E
SEGURANÇA
Segurança dos sistemas e dados a cargo do
provedor de serviço
“Que bom. Deixo a segurança a cargo de especialistas e menos
uma preocupação para mim.”
“Não gosto de perder o controle sobre os meus dados.”
CLOUD COMPUTING E
SEGURANÇA
Os sistemas são acessados remotamente. Mais
vulneráveis que datacenters isolados.
É necessária especial atenção para autenticação e
controle de acesso.
As ferramentas de segurança podem utilizar serviços
e informações na nuvem para proteger os seus
usuários.
OS ANTIVÍRUS FUNCIONAM?
OS ANTIVÍRUS FUNCIONAM?
Detecção por assinatura é muito eficiente mas tem
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
OS ANTIVÍRUS FUNCIONAM?
Detecção por assinatura é muito eficiente mas tem o
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
Os antivírus precisam incorporar outras técnicas como
análise comportamental (ex.: IDP do AVG) e bloqueio
de sites comprometidos
ANTIVÍRUS SÃO
SUFICIENTES?
Antivírus e outras ferramentas como firewall, antispam,
filtros de conteúdo são apenas parte da solução
Conscientização e comportamento são a outra parte.
Uso de senhas fortes, não acreditar que ganhou na loteria se
sequer apostou, fazer atualizações de segurança, etc.
CASO ROBERT MOORE
Preso em 2007.
Parte de uma quadrilha que roubava serviços de VoIP e
vendia a seus clientes.
Invadiu centenas de empresas, sendo 15 de
telecomunicação.
Afirma que 70% das empresas que ele scaneou e 45 a
50% dos provedores de VoIP eram inseguros.
Maior falha de segurança: senhas default.
DÚVIDAS?
OBRIGADO!
Mariano Sumrell Miranda
[email protected]