apresentação senac - flisol - to 2012

Segurança - Ataques e Defesas - [email protected]

Segurança – Ataques e Defesas

Anderson Menezes


Segurança

Considerando o que é segurança, segundo o dicionário significa:

● Condição ou estado de estar seguro ou protegido;

● Capacidade de manter seguro;

● Proteção contra a fuga ou escape;

● Profissional ou serviço responsável pela guarda e proteção de algo;

● Confiança em si mesmo.


Princípios Básicos

Seguindo os princípios básicos da Segurança da Informação

1. Confidencialidade;

O responsável pelo controle de acesso a informação apenas por aquelas pessoas ou entidades que tenham permissões a acessar tal informação;

2. Integridade;

Garantir que a informação mantenha todas as suas características originais como determinadas pelo proprietário da informação;

3. Disponibilidade;

Define que a determinada informação esteja sempre disponível para o acesso quando necessário;


Princípios Básicos

4. Autenticidade é;

Garantir que a informação venha da origem informada, permitindo a comunicação segura, é a garantia de que a informação a qual tem acesso é correta e de fonte confiável;

5. Legalidade;

É a propriedade que define se determinada informação, ou operação, está de acordo com as leis vigentes do país. As mesmas leis que regem um país, podem ser completamente diferentes em outro, o que pode ocasionar um série de problemas, caso o sistema de gestão não seja adaptável.


Distúrbios ComunsPrincípio Ataque Descrição

Browsing Procurar informações sem necessariamente saber seu tipo

Confidencialidade Shouder surfing Olhar sobre o ombro da pessoa o que é digitado

Engenharia Social Finger ser alguém com a intenção de ter acesso a informação.

Modificar a Mensagem Intercerptar a mensagem, altera-la e enviar ao seu destino original

Integridade Alteração de Logs de Auditoria Modificar os logs de auditoria, normalmente com a inteção de ocutar os fatos

Modificação de arquivos de configuração

Alterar arquivos criticos em um sistema para modificar sua funcionabilidade


Distúrbios Comuns

Princípio Ataque Descrição

Desastres Naturais ou Provocados

Vandalismo, incêndios, terremotos, terrorismo, vulcanismo

Disponibilidade Negação de Serviço (DoS) Comprometimento de serviços de importância fundamental para processos

Comprometimento de informações

Modificar dados de forma a ficarem inúteis para outras pessoas


Terminologias de Segurança

1. Vulnerabilidade – fragilidade que pode fornecer uma porta de entrada a um atacante;

2. Ameaça – agente ou ação que se aproveita de uma vulnerabilidade;

3. Risco – (Impacto X probabilidade) de ameaça ocorrer;

4. Ataque – Incidência da ameaça sobre a vulnerabilidade;

5. Exploit – Programa capaz de explorar uma vulnerabilidade.


AmeaçasDentre as ameaças físicas podemos considerar:

● Alagamentos;

● Raios;

● Acessos Indevidos;

● Desabamentos;

Dentre as ameaças lógicas, podemos contar as seguintes;

● Infecção por vírus;

● Acesso remoto à rede;

● Violação de Senhas;


Ataques

Assim como dividimos as ameaças em dois grandes grupos, os ataques também podem ser divididos da mesma maneira:

Internos e Externos.

Os ataques internos representam por volta de 70% dos ataques que ocorrem aos sistemas de rede. Mesmo que a maioria das pessoas acreditem que a maior parte dos ataques surjam de fontes externas, essa é uma maneira errônea de encarar o problema.

Entre os ataques internos, encontramos em sua maioria, aqueles realizados por funcionários de dentro da própria organização, que estão insatisfeitos ou os desavisados sobre as políticas de Segurança da Empresa.


Ataques

Analisando ataques externos, nos deparamos com a possibilidade de comprometimento cujo o objetivo estejam vinculados à espionagem.

Ex: Espionagem Industrial

Outra possibilidade da origem de comprometimento de sistemas, pode ser a curiosidade ou simplesmente o desafio que representa para o Cracker. (sendo útil ou não a informação para ele)

Bons exemplos desse tipo de ataque “A Arte de Invadir” de Kevin Mitnik.


ExemplosExemplo de AMEAÇA:

● “Uma chuva de granizo em alta velocidade”

Exemplo de VULNERABILIDADE:

● “Uma sala de equipamentos com janelas de vidro”

Exemplo de ATAQUE:

● “A chuva de granizo contra as janelas de vidro”


Mecanismos de segurança● Mecanismos físicos;

Portas, Trancas, Paredes, Blindagem, Guardas, Câmeras, Sistemas de Alarme, Sistemas de Detecção de Movimento, biometria.

Os mecanismos físicos de proteção, são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.

● Mecanismos lógicos;

- Criptografia, Firewall, Anti-Vírus, IDS (detecção de ataque), IPS (semelhante ao IDS), Proxy, anti-spam.

Os mecanismos lógicos, são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.


Fases de um ataque

Levantamento de Informações

● Essa fase é mais abrangente e baseado no que é descoberto todo planejamento é realizado e os vetores de ataques definidos.

Ex: (nomes, telefones, endereço, redes sociais)

Varredura

● Nesta fase o atacante busca informações mais detalhadas do alvo:

Ex: (Qual SO?, Quais Serviços ativos?, Quais Versões?, Há IDS/IPS?, Há honeypots? ...)


Fases de um ataqueGanhando acesso

● Aqui dependendo dos vetores de ataque ele pode buscar acessos com:

● Ataques de força bruta local;

● Ataques de força bruta remota;

● Captura de tráfego de rede

● Ataque de engenharia Social;

● Ataques à aplicações WEB;

● Exploração de serviços;

● Exploração de SO;


Fases de um ataque

● Mantendo acesso;● Limpando Rastros;


Incidentes Reportados ao CERT.br -- Janeiro a Março de 2012


Tentativas de Fraudes - Janeiro a Março de 2012


Google Hacking Database

Há um banco de dados virtual, com tags de busca de Google previamente criadas, para conseguir informações específicas.

● Google Hacking Database: http://jonnhy.ihockstuff.com/ghdb

http://jonnhy.ihockstuff.com/ghdb


Google Hacking

No levantamento de informações o Google é a principal ferramenta para o levantamento de informações de nosso alvo. É o melhor sistema público pra utilizarmos em busca de informações sobre qualquer coisa em relação ao nosso alvo:

● Sites, propagandas, parceiros, redes sociais, grupos, etc.

Certamente vários resultados retornarão com links onde podemos encontra nome completo, endereço, telefone, CPF, etc...


Google Hacking

Ex:

● site:gov.br ext:sql (busca por arquivo de base de dados em sites do governo)

● inurl:e-mail filetype:mdb (busca arquivos de e-mail em formato .mdb)

● Inurl:intranet + intext:”telefone” (busca telefones disponíveis em intranets encontradas pelo google).


Contramedidas

● Possuir uma boa política referente à publicações de informações na Internet;

● Não deixar configurações padrões em Servidores Web, para os mesmos não consigam ser indentificados facilmente;

● Sempre analisar as informações disponíveis sobre a empresa em sites de busca;

● Alertar e treinar os funcionários da empresa com relação a maneira com que um ataque de engenharia social pode acontecer, e as possíveis informações que o atacante poderá usar nesse ataque.


Dê-me seis horas para cortar uma árvore, e eu gastarei as primeiras quatro horas afiando o machado”

Abraham Lincoln


Engenharia Social

Podemos considerar a engenharia social como a arte de enganar pessoas para conseguir

informações, as quais não deviam ter acesso.

Empregados podem deixar escapar informações sigilosas através de um contato via telefone ou mesmo conversando em locais públicos: elevadores, corredores, bares.

Uma empresa pode ter os melhores produtos de segurança que o dinheiro pode proporcionar. Porém, o fator humano é, em geral, o ponto mais fraco da segurança.


Engenharia Social - TIPOS● Baseada em Pessoas

As técnicas de engenharia social baseada em pessoas possuem diversas características que são utilizadas para que o atacante consiga as informações que deseja, dentre elas podemos citar :

● Disfarces;

● Representações;

● Uso de cargo de alto nível;

● Observações;

● Ataques a sistemas de help-desk;


Engenharia Social - TIPOS● Baseada em computadores

Este ataque se baseia no desconhecimento do usuário com relação ao uso coreto da informática:

Exemplos

● Cavalos de Tróia anexados a e-mails;

● E-mails falsos;

● WebSites Falsos;


Formas de Ataque● Insider Attack

Insiders são pessoas de dentro da própria organização.

● Roubo de Identidade

Atualmente, quando alguém cria uma nova identidade baseando-se em informações de outra pessoa.

● Phishing Scam

É uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, ou instalar programas maliciosos na máquina alvo

● URL Obfuscation

Técnica utilizada para diminuir o tamanho das URL's muito grandes.


Formas de Ataques● Dumpster Diving

É o ato de vasculhar lixeiras em busca de informações. Todos os dias são jogados no lixo de empresas vários documentos sem utilidades, mas os atacantes podem utilizar essa informação para um ataque

● Persuasão

Os próprios hackers vêem a engenharia social de um ponto de vista psicológico, enfatizando como criar um ambiente psicológico perfeito para um ataque. Os métodos básicos de persuasão são: personificação, insinuação, conformidade, difusão de responsabilidade e a velha amizade.


Engenharia Social Reversa

Um método mais avançado de conseguir informações ilícitas é com a engenharia social reversa. Isto ocorre quando o atacantes cria uma personalidade que aparece numa posição de autoridade, de moto que todos os usuários lhe pedirão informações.

Os ataques de Engenharia Social Reversa se bem pesquisados, planejados e bem executados permetirá extrair dos funcionários informações muito valiosas.

Os três métodos de ataques de engenharia social reversa são, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, então divulga que possui a solução e se propõe a solucionar o problema. Na expectativa de ver a falha corrigida, os funcionários passam todas as informações necessárias da rede. Após atingir o seu objetivo, ele elimina a falha, a rede volta.


No Tech Hacking

Todo e qualquer tipo de ataque que não tenha necessidade de aparatos tecnológicos são considerados “NO TECH HACKING”.

● Dumpster Diving – (Vasculhar o lixo da empresa)

● Shoulder Surfing – (Papagaio de Pirata)

● Lock picking – (técnicas de abrir fechaduras)

● Tailgating – (Ouvir uma conversa ao telefone)


Contramedidas● Não trabalhe assuntos privados em locais públicos;

● Faça descarte seguro de documentos;

● Fechaduras e trancas de boa qualidade;

● Bolsas e documentos pessoais em segurança;

● Teste constantemente seus dispositivos de segurança, câmeras e detectores de movimento;

● Tenha cuidado com o “Papagaio de Pirata”;

● Mantenha-se atento aos engenheiros sociais.

● Treine adequadamente os funcionários, principalmente os da área de segurança;


Padrões e Normas● ISO 27001

● ISO 27002

● BASILEIA II

● PCI-DSS

● ITIL

● COBIT

● NIST 800 Series


Serviços de Segurança da Informação

● Criação de Políticas de Segurança;

● Implantação de CSIRT's;

● Hardening de Servidores;

● Análises de Vulnerabilidades;

● Testes de Invasão;

● Análise de Aplicação:

● Perícia Computacional;

● Treinamento de Colaboradores;

● Auditoria em Sistemas e em Redes


Obrigado!

“Se você conhece a sim mesmo e ao seu inimigo, não precisará temer os resultados

de mil batalhas” (Sun Tzu)

Anderson [email protected]/92631848

mailto:[email protected]

apresentação senac - flisol - to 2012

Education