análise de vulnerabilidades em ativos de ti
DESCRIPTION
TRANSCRIPT
Como detectar fraquezas intencionais e backdoors inclusive criptográficos que facilitam interceptação “legal” de agências estrangeiras e hackers
Análise de Vulnerabilidades em Ativos de TI
Paulo PagliusiPaulo Pagliusi, Ph.D., CISM, Ph.D., CISM
CEO Procela Inteligência em Segurança CEO Procela Inteligência em Segurança Diretor ISACA-RJ | Presidente CSABR Diretor ISACA-RJ | Presidente CSABR Twitter: Twitter: @ppagliusi [email protected]
EventoCiberdefesa25Mar2014
Previsão do Tempo...
Nuvens cinzentas e carregadas de ciberespionagem se aproximam do território cibernético brasileiro. Está chegando uma procela, ou seja, uma tempestade no mar da Internet, que pode comprometer a segurança de quem navega no ciberespaço nacional. ADVERTÊNCIA: seguir nossas recomendações de boas práticas em Cibersegurança.
Bem vindo a bordo.
Sua Cibersegurança no rumo certo.
Cenário Atual: Guerra Fria Cibernética Ameaça Globalizada à Segurança e Privacidade
5 55
In God we trust
All others we monitor
GUERRA FRIA CIBERNÉTICA
6
QUEM É A NSA ?
“Crypto City” – Fort Meade, MD NSA - Vista Aérea
7
QUEM É A NSA ?
NSA's Utah Data CenterNSA headquartersFort Meade, Maryland
8
Tipos de InterceptaçãoSatélites, Cabos Submarinos
“Five Eyes” Interceptation Vesselshttp://www.theatlantic.com/international/archive/2013/07/the-creepy-long-standing-practice-of-undersea-cable-tapping/277855/
9
Alvos da Espionagem – Quebra de Paradigma
Agências de inteligência conhecidas como “Five Eyes” (EUA, Reino Unido, Canadá, Austrália, N.
Zelândia) agem fora do padrão esperado.
10
Espionagem Globalizada – Alvo: Brasil
Snowden: Brasil é alvo prioritário da NSA e agências FYES. Acesso via backdoors (porta dos fundos) em equipamentos montados
no exterior (EUA, China, outros). Criptografia de operadoras da Internet com vulnerabilidade.
11
QUEBRA DE CRIPTOGRAFIA - HARDWARE MALICIOSO Caso CRYPTO AG (Suíça) com NSA
12
HARDWARE MALICIOSO - CASO SNOWDEN
Carregador malicioso Mactans, apresentado por pesquisadores na conferência Black Hat 2013 inocula malware em dispositivos Apple iOS.
Equipamentos de computação montados nos EUA já saem de
fábrica com dispositivos de espionagem instalados.
“New York Times”
13
Empresas com dados investigados pelo PRISM: Microsoft, em 2007. Em 2008, o Yahoo. Em 2009, Google, Facebook e PalTalk. Em 2010, YouTube. Em 2011, o Skype e a AOL. Em 2012, a Apple entrou no programa de vigilância do governo americano – que continua em expansão.http://www.theguardian.com/world/2013/aug/21/edward-snowden-nsa-files-revelations
Grandes empresas da Internet
14
Contrato secreto ligava NSA à empresa RSA NSA firmou contrato secreto de 10 milhões de dólares com a RSA.
Snowden mostrou que agência difundiu fórmula com falhas para geração aleatória de números que criam backdoors em produtos criptografados.
RSA virou mais importante distribuidora da fórmula após incorporá-la na ferramenta Bsafe, usada para aumentar segurança de computadores pessoais e outros produtos.
http://br.reuters.com/article/worldNews/idBRSPE9BJ08Q20131220
15
Sua organização usa Skype?
Desde a compra do Skype pela Microsoft, NSA obteve nova capacidade que lhe permitiu triplicar a captura de vídeos através do sistema.
As estimativas mostram Skype com 663 milhões de utilizadores.
http://outraspalavras.net/outrasmidias/destaque-outras-midias/como-a-microsoft-abriu-o-skype-a-espionagem/
16
TIPOS DE INTERCEPTAÇÃOGAMES?
http://www.theguardian.com/world/2013/dec/09/nsa-spies-online-games-world-warcraft-second-life
17
Avião da Malásia– Possível Ciber sequestro?
http://www.itproportal.com/2014/03/12/was-malaysia-airlines-flight-mh370-brought-down-by-a-cyber-attack/
18
“The Mask”– Brasil entre Maiores Alvos Kaspersky Lab, Moscou, sobre A Máscara:
“campanha de espionagem cibernética, iniciada em país de língua espanhola”.
Alvos: agências governamentais, empresas de energia e ativistas em 31 países (Marrocos, Brasil, UK, FR, ES).
Opera sem detecção desde 2007, infectou 380 alvos. Descoberta indica mais países adeptos em espionagem na Internet.
Motivo da descoberta: infectou o próprio software da Kaspersky.
Malware projetado para roubar documentos, chaves de criptografia e assumir o controle total de computadores infectados.
Explora falha no Adobe Flash corrigida em Abr2012.
http://www.reuters.com/article/2014/02/10/us-cybersecurity-espionage-mask-idUSBREA191KU20140210
19
Risco de Espionagem Global ao Navegar nas “Águas” da Internet Brasileira... Como se Proteger dos backdoors?
Como detectar fraquezas e backdoors?
Mudança de foco: ao invés de apenas olhar para a segurança da informação tradicional, focar em defesa, ou seja, inteligência e contrainteligência cibernética estratégica.
Foco na consciência situacional em apoio à tomada de decisões.
Análise de vulnerabilidades (backdoors) em ativos de tecnologia da informação - detecção de fraquezas intencionais e backdoors em software, firmware e hardware, inclusive criptográficos, que facilitem interceptação “legal” de agências estatais estrangeiras (ex. legislação americana CALEA para a NSA).
Como detectar fraquezas e backdoors?
Auditoria (equipe multidisciplinar):o Mapeamento dos Ativos de TI - do
ambiente escopo da auditoria.
o Análise da configuração dos ativos. Identificação de meios de acesso ilícitos.
o Análise da consistência de dados - análise e interpretação do tráfego de rede do ambiente e dos ativos de TI.
o Análise em software, firmware e hardware – compatibilidade entre os instalados nos ativos de TI e os disponibilizados pelo fabricante, identificação e descobrimento de elementos espúrios.
Como detectar fraquezas e backdoors?
Anomalias facilitam interceptação:o O ativo de TI armazena informação
não documentada em algum lugar?o Há algum componente interno não
documentado para esta finalidade?o Os ativos de TI aceitam conexão
externa para extração de informação por componente não documentado?
o Há no firmware do ativo de TI senha master abrindo funcionalidade não detectada pelo usuário comum?
o Há fraqueza no gerador de aleatórios ou em outros aspectos dos
algoritmos criptográficos?
Identificando Fraquezas nos Ativos de TI
Anomalias facilitam interceptação:o Há indício de malware (ataque
direcionado, "cavalos de Tróia" ou ataque embarcado) no firmware?
o Há no tráfego de redes do ambiente escopo diferença calculada de timming entre pacotes ou diferença calculada no tamanho dos pacotes de rede, capaz de ativar malwares embarcados no ativo de TI?
o Há indício de haver backdoors nos algoritmos criptográficos? Má implementação intencional
ou envio ilegal das chaves.
Identificando Backdoors nos Ativos de TI
Em duas etapas:o Em laboratório - características físicas
e de configuração básicas;o No ambiente de operação - busca por
ativação remota, verifica consistência de dados.
Resultados a entregar:o Relatório executivo da auditoria –
visão gerencial da auditoria nos ativos de TI.
o Relatório operacional de riscos –detalhamento dos achados durante auditoria nos ativos de TI.
Análise dos Ativos de TI
Capacitação exigida:o Análise em software – equipe com
experiência multidisciplinar (engenheiros de sistema, criptólogos, desenvolvedores), capaz de realizar engenharia reversa e análise aprofundada de algoritmos.
o Análise em firmware e em hardware - engenheiros e especialistas em eletrônica e sistemas embarcados, equipe especializada em soluções de hardware e firmware, com foco em arquiteturas de segurança.
Equipe Necessária: Análise de Backdoors
Como detectar fraquezas intencionais e backdoors inclusive criptográficos que facilitam interceptação “legal” de agências estrangeiras e hackers
Análise de Vulnerabilidades em Ativos de TI
Paulo PagliusiPaulo Pagliusi, Ph.D., CISM, Ph.D., CISM
CEO Procela Inteligência em Segurança CEO Procela Inteligência em Segurança Diretor ISACA-RJ | Presidente CSABR Diretor ISACA-RJ | Presidente CSABR Twitter: @ppagliusi Twitter: @ppagliusi [email protected]@procela.com.brwww.procela.com.brwww.procela.com.br
Muito Obrigado eBons ventos!
EventoCiberdefesa25Mar2014