Document 7423726

Download Report

Transcript Document 7423726

Os riscos que rondam
as organizações
Os potenciais atacantes
• O termo genérico para identificar quem realiza o ataque
em um sistema computacional é Hacker,
– Hacker é uma palavra inglesa que não possui uma
tradução exata para a língua portuguesa. A tradução
mais próxima seria "fuçador".
• Os hackers, por sua definição original, são aqueles que
utilizam seus conhecimento para invadir sistemas.
• Seu intuito não é de causar danos às vítimas, mas sim,
um desafio às suas habilidades.
Os potenciais atacantes
• Diversos estudos sobre hackers foram realizados e o
psicólogo canadense Marc Rogers chegou ao seguinte
perfil do Hacker:
– indivíduo obsessivo, de classe média, e cor branca, do sexo
masculino, entre 12 e 28 anos, com pouca habilidade social e
possível história de abuso físico e/ou social.
Os potenciais atacantes
• Diversos estudos sobre hackers foram realizados e o
psicólogo canadense Marc Rogers chegou ao seguinte
perfil do Hacker:
– indivíduo obsessivo, de classe média, e cor branca, do sexo
masculino, entre 12 e 28 anos, com pouca habilidade social e
possível história de abuso físico e/ou social.
Tipos de Hackers
Lamers ou Script Kiddies:
• Geralmente inexperientes e novatos, que saem pela
Internet catando programinhas feitos por crackers, e depois
as utilizam sem entender o que estão fazendo.
• Lamer significa literalmente "idiota digital".
• São a imensa maioria e um grande número de incidentes
são causados por eles.
Tipos de Hackers
Insiders:
• Maiores responsáveis pelos incidentes de segurança mais
graves nas organizações.
• Apesar das pesquisas mostrarem que o número de ataques
partindo da Internet é maior do que os ataques internos, os
maiores prejuízos ainda são causados por incidentes
internos.
Tipos de Hackers
Hackers éticos ou White hat:
• São também conhecidos como “hackers do bem”, que
utilizam seus conhecimentos para descobrir
vulnerabilidades nos sistemas e aplicar as correções
necessárias.
• Geralmente são os responsáveis pelos testes de invasão.
Tipos de Hackers
Crackers:
• São também conhecidos como Black hat. Esse grupo utiliza
seus conhecimentos para invadir sistemas e roubar
informações secretas das organizações.
• Geralmente tentam vender as informações roubadas de
novo à sua própria vítima, ameaçando a organização a
divulgação dessas caso o valor não seja pago.
• O cracker é realmente um criminoso no sentido mais puro
da palavra.
Tipos de Hackers
Crackers:
• Algumas literaturas os classificam como terroristas
digitais, pois ele usa o conhecimento adquirido para
prejudicar pessoas ou empresas e ainda se sair bem na
história.
• São as ações dessas pessoas que distorceram o conceito
de hacker, pois os crackers sempre se denominam como
hackers.
Tipos de Hackers
Gray Hat:
• São black hats que fazem o papel de white hats, a fim de
trabalhar na área de segurança.
• Utilizar um hacker para cuidar da segurança pode ser
perigoso, devido a sua própria cultura.
Classes de ataque
Senhas fracas
• A maneira mais fácil de entrar em um computador é
normalmente pela porta da frente, ou seja, efetuando
login.
– Para isto, basta o invasor digitar a senha do usuário.
• O problema é:
– A maioria das pessoas conseguem memorizar apenas
senhas com tamanho curto, o que compromete sua
eficiência.
Senhas fracas
• Hackers podem descobrir senhas através das seguintes
formas:
– Usando heurísticas: adivinhar literalmente as senhas,
usando informações do usuário.
– Uso de sniffers: permite que senhas (sem criptografia)
usadas pelo sistemas sejam capturadas.
– Ataque de dicionário: por meio de crack (softwares que
comparam senhas com palavras usadas no dicionário ou de
uma outra base)
– Ataque de força bruta: descoberta de senhas através de
combinações de todos caracteres.
Senhas fracas
Definindo senhas seguras:
• Tamanho mínimo da senha e Complexidade da senha
– A exigência de um tamanho mínimo e a de complexidade
são a principal defesa contra ataques de força bruta ou
dicionário.
• Troca periódica da senha
– Utilizado no tempo em que o poder computacional para fazer
o ataque de força bruta contra uma senha era limitado.
• Não repetição das últimas senhas
– Usado para impedir que o usuário "troque" a senha e
continue com a mesma.
Senhas fracas
Definindo senhas seguras:
• Evitar senhas relacionadas ao usuário;
– Como nome da filho, esposa, placa de carro, data de
nascimento, etc.
• Evitar seqüências
– 12345, 11111, abcde, etc.
Senhas fracas
Definindo senhas seguras:
• Bloqueio de contas
– Este mecanismo protege as contas contra tentativas de
descoberta de senhas através de um ataque de dicionário ou
tentativas iterativas.
– Ex.: bloquear contas após 5 a 10 tentativas, sem sucesso.
Furtos de Senha
• Entre janeiro de 2004 e maio de 2006, o número de
programas mal-intencionados que visam a monitoração
de atividades dos usuários, além de captura de senhas e
outras informações, cresceu 250%.
• No mesmo período, os alertas de phishing (e-mails e sites
fraudulentos que induzem as pessoas a divulgarem suas
informações pessoais) aumentaram 100 vezes.
Fonte: do G1, 15/01/2007 - 19h25, http://g1.globo.com/Noticias/Tecnologia/0,,MUL960-6174,00.html
Furtos de Senha
• Segundo a Comissão Federal de Comércio dos Estados
Unidos, o custo anual apenas nos EUA, referente a furto
de senhas chega a US$ 50 bilhões.
• No Reino Unido, a estimativa do Ministério do Interior é de
um prejuízo de US$ 3,2 bilhões nos últimos três anos.
• As táticas utilizadas vão desde estratégias simples, até
outras mais elaboradas.
Phishing
• Phishing é basicamente um golpe on-line de falsificação,
e seus criadores não passam de falsários e ladrões de
identidade especializados em tecnologia.
• O nome Phishing se originou como uma ortografia
alternativa para "fishing", "pescaria" em inglês, como em
"pescar informações".
Phishing
• Fatos do phishing
– Mais de 5.000.000 de consumidores americanos perderam
dinheiro entre 2007 e 2008 por conta de ataques de phishing.
– O volume de ataques de phishing aumentou 103% entre
setembro e outubro de 2008 !
– 85% dos ataques miraram bancos e outras instituições
financeiras.
– A perda média, por consumidor, foi de US$ 351 em 2008.
Fonte: Info Online: http://info.abril.com.br/aberto/infonews/102008/22102008-6.shl .
Phishing
• Comunicado importante do Bradesco
Phishing
São vários casos de golpes praticados na Web.
• E-mail recebido do remetente "MercadoLivre“.
Phishing
• Recadastramento de dados do Bradesco
Phishing
• Site novo do Itaú
Phishing
• Até Orkut !!!
Carding
• Prática ilegal envolvendo fraudes com números de
cartões de crédito, que são utilizados pelos hackers para
fazerem compras para eles próprios e para seus amigos.
Engenharia Social
• O 1º passo para um ataque é a obtenção de informações.
• A engenharia social é um dos meios mais utilizados para a
obtenção dessas informações sigilosas e importantes.
• Isso porque explora com muita sofisticação as "falhas de
segurança dos humanos".
• A questão se torna mais séria quando usuários domésticos
e que não trabalham com informática são envolvidos.
Engenharia Social
• Obtendo informações...
- Boa noite, Sr.
-Sou do Suporte Técnico
-Sua conexão
do seu provedor.
apresenta
uminforme seu
-Me
problema.
usuário e senha, por
favor, para que
possamos ajustar a
situação ?
Engenharia Social
• Nos ataques de Engenharia Social, o golpista é ousado e
se faz passar por outra pessoa, explorando a confiança
das pessoas.
• Geralmente utilizam meios como telefone ou e-mail para
persuadir o usuário a fornecer informações importantes
como senhas ou realizar determinadas ações:
– executar um programa, acessar uma página falsa de Internet
Banking, etc...
• Os ataques de engenharia social são muito freqüentes,
não só na Internet, mas no dia-a-dia das pessoas.
Evitando a Engenharia Social
• Treinamento e conscientização das pessoas sobre o valor
da informação.
• Desconfie e ligue VOCÊ para o suporte para verificar a
veracidade.
• Segurança física, permitir o acesso a dependências de
uma organização apenas às pessoas devidamente
autorizadas.
• Política de Segurança, estabelecer procedimentos que
eliminem quaisquer trocas de senhas por telefone, etc.
Engenharia Social
• Independente do hardware, software e plataforma
utilizada, o elemento mais vulnerável de qualquer sistema
é o ser humano.
O que são vírus, worms e Trojans?
• Os vírus, worms e Trojans são programas mal
intencionados que podem danificar o seu computador e
as informações existentes no seu computador.
• Podem igualmente tornar a Internet mais lenta e poderão
mesmo utilizar o seu computador para se espalhar para
os seus amigos, família, colegas e o resto da Internet.
Vírus
• Um vírus é um pequeno código que se "acoplam", isto
é se inserem em um programa ou arquivo para se
propagar de computador em computador.
• Propaga a infecção à medida que viaja. Os vírus podem
apagar arquivos, formatar discos, além de danificar o
Sistema Operacional e até o Hardware.
Vírus
• Um verdadeiro vírus não se espalha sem interação
humana.
• Alguém deve compartilhar um arquivo ou enviar uma
mensagem de correio eletrônico para que o vírus se
propague.
• Resultado: ??
Worms
• Worms (ou vermes, em Português) são um tipo especial
de vírus, criados para se copiar de um computador para
outro de forma automática.
• Em primeiro lugar, o worm toma controle de funções do
computador que permitem transportar arquivos ou
informações.
Worms
• O worm, após ter entrado no sistema, pode movimentarse sozinho e um dos grandes perigos dos worms é o fato
deles se duplicarem em grande volume.
– Exemplo: um worm pode enviar cópias de si próprio para
toda sua lista de endereço de e-mail, e os computadores
dessas pessoas farão o mesmo.
• Isto causará um efeito avalanche, resultando em
congestionamentos nas redes das empresas e em toda a
Internet.
Worms
• Quando são liberados novos worms, estes espalham-se
bastante depressa, entopem as redes e podem criar
grande lentidão para abrir páginas na Internet.
Ranking dos 12 Vírus/worms mais ativos / 2006.
Fonte Sophos
Worm/Klez.E
Worm/Sobig.E
Worm/BugBear.B
Worm/Sobig.A
Worm/Sobig.C
Worm/Sircam.A
Worm/Ganda
Worm/Hawawi.E
W32/Funlove.4099
W32/Yaha.E
Worm/Avril.A
W32/Nimda
19,2%
17,9%
17,6%
6,6%
4,2%
2,9%
1,8%
1,6%
1,5%
1,2%
1,2%
1,0%
Trojan
• O cavalo de Tróia da mitologia aparentava ser um
presente, mas na realidade continha no seu interior
soldados gregos que se apoderaram da cidade de Tróia.
• Do mesmo modo, os Trojan Horses (ou cavalos de Tróia),
são programas de computador que aparentam ser
softwares úteis, mas na realidade comprometem a
segurança do usuário e causam muitos danos.
Trojan
• Os Trojans propagam-se quando as pessoas abrem
inadvertidamente um programa ou mensagem, porque
pensam que a mesma é proveniente de uma fonte
legítima.
• Para que um Trojan se espalhe, o próprio usuário deve
instalar esse programa no computador, ao contrário do
Worm.
– Exemplo: abrindo um anexo de e-mail.
Exemplos de Trojans
• Polícia Federal
Exemplos de Trojans
• Recadastramento de computadores na Caixa econômica
Exemplos de Trojans
Tribunal de Justiça
Tribunal Superior Eleitoral
Exemplos de Trojans
• Itaú de novo....
Exemplos de Trojans
• Caixa econômica de novo...
Trojan
• Um Trojan, pode instalar um programa de Spy em seu
computador para roubar informações, além de ter a
função de desativar programas antivírus e firewalls.
• Os Trojans podem também estar incluídos em softwares
disponíveis na internet, ou arquivos qual o usuário se
interesse em baixar e executar.
Exemplos de Trojans
• Programas “úteis”
Exemplos de Trojans
• Outros ....
Keylogger
• Keylogger é um programa malicioso cuja finalidade é
monitorar tudo o que é digitado e às vezes capturar telas.
• Muitas vezes esses programas são utilizados com
objetivos ilícitos, através de spywares, "trojan horses",
entre outros.
• Muitos casos de phishing, assim como outros tipos de
fraudes virtuais, se baseiam no uso de Keylogger,
instalado no computador da vítima.
Questões para discussão
• Onde são encontrados os Trojan atualmente?
• Você já recebeu algum e-mail bancário duvidoso?
• Quais as técnicas utilizadas nos sites de Internet Banking
para evitar o keylogger?
• Existe algum keylogger físico ou ele é apenas um
software?
Keylogger
• Atualmente foram desenvolvidos alguns keylogger
baseado em Hardware, que armazenam mais de 128.000
palavras (aproxim. 84 páginas).
• Price: $54.99
Spyware
• Spyware é um programa automático, que recolhe informações
sobre o usuário, seus costumes na Internet e transmite essa
informação a uma entidade externa na Internet.
• São diferentes dos Trojans, pois não tem o objetivo que o
sistema do usuário seja dominado por um Cracker.
• Os spywares podem ser desenvolvidos por firmas comerciais,
que desejam monitorar o hábito dos usuários para avaliar
seus costumes e vender este dados pela internet.
Backdoors
• Backdoor (também conhecido por Porta dos fundos) é
uma falha de segurança que pode existir em um programa
ou em Sistemas Operacionais.
• Um backdoor permitir a invasão do sistema por um
cracker para que ele possa obter um total controle da
máquina.
• Assim, o computador poderá ser totalmente controlado de
longe pelo invasor, permitindo que ele veja arquivos, leia
emails, roube senhas e realize outro ataque remotamente.
– e o melhor: sem ser descoberto!
Backdoors – outra definição
• Alguns autores atribuem uma definição um pouco
diferente para um Backdoor:
• Programa que permite a um invasor retornar a um computador
comprometido.
• Normalmente este programa é
colocado de forma a não ser notado.
Backdoors
• Um backdoor pode ser explorado/criado por um Trojan;
• Falhas em versões desatualizadas de programas como
Internet Explorer, MSN, IRC, E-mule, Adobe Acrobat e
outros permitem a abertura de backdoors;
• A proteção mais comum contra Backdoors é o uso de
Firewall e de Sistemas de Detecção de Intrusão (IDS).
• Manter o S.O. Atualizado com patches de atualização e
usar versões recentes de programas também é
fundamental.
Backdoors
• A forma usual de incluir um backdoor é disponibilizando
um serviço / software por uma versão alterada.
• Esta versão alterada possui recursos que permite acesso
remoto na máquina alvo.
• Porém, a existência de um backdoor não depende
necessariamente de uma invasão.
• Pode ser instalado através de um cavalo de Tróia.
• Inclusão como consequência da instalação e má
configuração de um programa para administração remota.
IP Spoofing
• É uma técnica na qual o endereço real do atacante é
mascarado, de forma a evitar que ele seja encontrado.
• O protocolo IP não verifica a origem dos pacotes;
• Assim, torna-se trivial falsificar o endereço de origem
através de uma manipulação simples do cabeçalho IP.
• Um ou vários computadores podem se passar por uma
única origem através de IP falso;
IP Spoofing
• Atacante não recebe resposta sobre suas ações e explora
relação de confiança entre as máquinas;
• Supostamente não se deveria temer uma máquina de
dentro da empresa, se ela é da empresa.
IP Spoofing
• Existem diversas técnicas que são utilizadas para
mascarar o endereço IP.
• Demostração – Hide my ip
O que pode ser feito:
Navegação anônima na Web / Proteção da identidade: Você pode navegar por
diferentes sites sem que seja possível identificar a sua origem ou identidade, mudando o IP
com um simples click.
Previne o roubo da sua identidade (IP)
Criptografia da conexão: cria um tunel criptografado entre o seu micro e o Hide IP.
Envio de Emails Anônimos: Oculta o seu IP real no cabeçalho dos emails.
Anônimo mesmo !
Acesso a locais onde você havia sido banido ou bloqueado. Ex:Foruns, enquetes, etc
IP Spoofing
Port Scanning
• Os port scanners são ferramentas utilizadas para a
obtenção de informações referentes aos serviços que são
acessíveis e definidas por meio do mapeamento das
portas TCP e UDP.
• Com as informações obtidas com o scaneamento de
portas, evita-se o desperdício de esforço com ataques a
serviços inexistentes.
– Assim o hacker pode se concentrar em utilizar técnicas que
exploram serviços específicos, que podem ser de fato
explorados.
Port Scanning
• Esta técnica pode ser utilizada tanto para invasão, quanto
para análise de vulnerabilidades.
• NMAP é um programa que faz este rastreamento;
DNS Spoofing
• Ocorre quando um “servidor de DNS” retorna um nome
falso para um determinado IP;
• O usuário terá a sensação de esta acessando o site do
nome falso;
DNS Spoofing
• A maioria dos ataques se basea no DNS caching, do
Windows e funciona na maioria dos Browsers;
• **
Denial of Service (DoS)
• Os ataques de negação de serviços fazem com que
recursos sejam explorados de maneira agressiva, de modo
que usuários legítimos fiquem impossibilitado de utilizálos.
• Atuam no princípio da disponibilidade, onde o atacante
tenta colocar o serviço “fora do ar”.
• Alvos típicos são servidores web e de e-mail, redes
Wireless e outros computadores.
Analogia – Ataque de DoS
• Você usa um ônibus regularmente para ir ao trabalho.
• No entanto, uma quantidade enorme de pessoas lotaram o
ônibus, de modo que que você e os outros passageiros
regulares não conseguiram entrar.
• Ou, que você tenha conseguido entrar no ônibus, mas este ficou
tão cheio que não conseguiu sair do lugar por excesso de peso.
• Este ônibus acabou negando o seu
serviço (transportá-lo até um local),
pois recebeu mais solicitações
(passageiros) do que suporta.
Denial of Service (DoS)
• Os ataques de negação de serviço são feitos geralmente de
duas formas:
– Forçar o sistema vítima a consumir todos os seus recursos
(Ex.: memória ou processamento) de forma que ele não pode
mais fornecer seu serviço.
– Obstruir o meio de comunicação entre os usuários e o sistema
vítima de forma a não comunicarem-se adequadamente.
• É importante frisar que quando um computador/site sofre
ataque DoS, ele não é invadido, mas sim sobrecarregado.
– As informações do serviço não são roubadas ou modificadas;
Ataques de DDoS
• O DDoS (Distributed Denial of Service), é um ataque DoS
ampliado, ou seja, que utiliza até milhares de
computadores para atacar uma determinada máquina.
• Esse é um dos tipos mais eficazes de ataques e já
prejudicou sites conhecidos, tais como os da CNN,
Amazon, Yahoo, Microsoft, Globo e eBay.
• Para que os ataques do tipo DDoS sejam bem-sucedidos,
é necessário que se tenha um número grande de
computadores para fazerem parte do ataque.
Ataques de DDoS
Analogia:
• Todos resolvessem usar o telefone ao mesmo tempo;
– O serviço telefônico ficaria fora do ar;
• Na computação, se todo resolvessem acessar um
determinado site ao mesmo tempo;
– O site ficaria indisponível;
Ataques de DDoS
• Para atingir uma enorme quantidade de máquinas
conectadas à internet, Worms e Trojans são criados com a
intenção de disseminar pequenos programas para ataques
DoS.
• Assim, quando um malware com tal poder contamina um
computador, este se torna um zumbi e fica disponível para
fazer parte de um ataque DoS e o usuário não fica sabendo.
• Após a contaminação, os zumbis entram em contato com
máquinas chamadas de mestres, que por sua vez
recebem orientações de um computador chamado
atacante.
Ataques de DDoS
• Quando recebem a ordem para iniciar o ataque, os zumbis
bombardeiam o servidor-alvo, tirando-o do ar.
• Um computador mestre pode ter sob sua
responsabilidade até milhares de computadores.
Ataques de DDoS
• Ataques de são complicados e envolvem quebra de
segurança / invasão de varias maquinas conectada a
Intenet.
• Como a quantidade de computadores que participam do
ataque é grande, é praticamente impossível saber
exatamente qual é a máquina principal do ataque.
SYN Flood
• SYN flood ou ataque SYN é uma forma de ataque de
negação de serviço.
• Quando um cliente tenta começar uma conexão TCP com
um servidor, o cliente e o servidor trocam um série de
mensagens, que normalmente são assim:
– O cliente requisita uma conexão enviando
um SYN (synchronize) ao servidor.
– O servidor confirma esta requisição
mandando um SYN-ACK(acknowledge)
de volta ao cliente.
– O cliente por sua vez responde com um
ACK, e a conexão está estabelecida.
SYN Flood
• Um cliente malicioso pode não mandar esta última mensagem ACK.
• O servidor irá esperar por isso por um tempo, já que um simples
congestionamento de rede pode ser a
causa do ACK faltante.
• O atacante envia diversas vezes pacotes
maliciosos com SYN e recebe respostas
válidas.
• O servidor é sobrecarregado e novas
requisições válidas não são realizadas
com sucesso.
Smurf
• O Smurf é outro tipo de ataque de negação de serviço.
• O agressor envia uma rápida seqüência de solicitações de
Ping (um teste para verificar se um servidor da Internet
está acessível) para um endereço de broadcast.
• Usando spoofing, o cracker faz com que o servidor de
broadcast encaminhe as respostas não para o
seu endereço, mas para
o da vítima.
• Assim, o computador-alvo
é inundado pelo Ping.
Mail Bomb
• É a técnica de inundar um computador ou servidor com
mensagens eletrônicas.
• Em geral, o agressor usa um script para gerar um fluxo
contínuo de mensagens e abarrotar a caixa postal de
alguém.
• A sobrecarga tende a provocar negação de serviço no
servidor de e-mail.
Ataque físico
• É o tipo e ataque, em que são roubados / danificados
equipamentos, softwares e fitas magnéticas.
• É um método pouco utilizado por Hackers, mas permite
que o ataque seja realizado diretamente no sistema, o que
facilita suas ações.
– Não é necessário utilizar técnicas de ataques remotos
• O controle de acesso físico em diferentes níveis, é uma
boa maneira para prevenir este tipo de ataque.
Ataque físico
• O bloqueio estações de trabalho deve ser feito pelos
funcionários.
• O controle de acesso aos servidores e roteadores deve
ser o mais restritivo possível.
– Uso de crachás, senhas e sistema de biometria
Trashing
• É a atividade na qual o lixo é verificado em busca de
informações sobre a organização ou de sua rede.
• Busca-se, por exemplo, nome de contas e senhas,
informações pessoais e confidenciais.
Atividade
• Você é o Analista de Segurança de uma grande empresa e
deverá elaborar uma cartilha ensinando os usuários a
criar e cuidar de suas senhas.
• Qual a diferença entre um ataque por força bruta e um
ataque por dicionário?