como funcionam as ameaças da internet e o cybercrime

53
COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME Mariano Sumrell Miranda

Upload: clavis-seguranca-da-informacao

Post on 01-Jun-2015

4.200 views

Category:

Technology


4 download

TRANSCRIPT

Page 1: Como funcionam as ameaças da internet e o cybercrime

COMO FUNCIONAM AS AMEAÇASDA INTERNET E O CYBERCRIME

Mariano Sumrell Miranda

Page 2: Como funcionam as ameaças da internet e o cybercrime

APRESENTAÇÃO

Mariano Sumrell Miranda [email protected]

Winco Tec. e SistemasEmpresa com + 10 anos de desenvolvimento de tecnologia de

segurança e conectividade

Fabricante do Winconnection - Controle de Acesso à Internet, Filtro de Instant Messaging, Filtro de e-mail e servidor de e-mail

Fabricante do Winco Edge Security

- Filtro de Instant Messaging e Filtro de e-mail

Distribuidor no Brasil do AVG

- Alguns componentes do AVG feitos pela Winco

Page 3: Como funcionam as ameaças da internet e o cybercrime

AMEAÇAS NA INTERNET

Antigamente Hackers eram motivados por:fama

vencer desafios

provar conceitos

Page 4: Como funcionam as ameaças da internet e o cybercrime

HACKERS HOJE

Cybercrime atividade profissional (criminosa)Sofisticados e altamente organizados

AtividadesEspionagem industrial

Sabotagem de concorrentes

Roubo de Informações como cartões de créditos e senhas de banco

Envio de SPAM

Click Fraud

Chantagem e extorsão- Sequestro de HD- Ameaça de parar o sistemas computacional

Page 5: Como funcionam as ameaças da internet e o cybercrime

Venda de produtos e serviços.

Programa DDoS Bot: US$ 400

Envio de Spam: US$ 150 / milhão

Info sobre cartões de crédito: US$ 0,10 a US$25

Web Exploit ToolKit (WET): US$ 20 a US$400

Aluguel/Venda de Botnets

Informações Bancárias

Senhas de contas de e-mail

Aluguel de local para entrega de mercadorias

Conversão para dinheiro

CYBERCRIME

Page 6: Como funcionam as ameaças da internet e o cybercrime

Pela forma de propagaçãoVírusWormCavalo de Tróia

Pelo atividade realizadaBackdoorSpywareKeylogger e screenloggerDownloadersEtc

Por Características EspeciaisRootkit

CLASSIFICAÇÃO DE MALWARE

Page 7: Como funcionam as ameaças da internet e o cybercrime

Se anexa a programas hospedeiros Altera início de programa para executar o código

malicioso Código malicioso costuma infectar outros arquivos,

inclusive pelo compartilhamento de rede Pode criar novos executáveis e, através da Registry do

Windows forçar a sua execução na inicialização da máquina.

VÍRUS

Page 8: Como funcionam as ameaças da internet e o cybercrime
Page 9: Como funcionam as ameaças da internet e o cybercrime
Page 10: Como funcionam as ameaças da internet e o cybercrime

Não precisa de programa hospedeiro Se propaga pela rede Entra no computador explorando falhas de segurança (exploit)

Sistema OperacionalAplicativo

Exploit mais comum: buffer overflow

WORM

Page 11: Como funcionam as ameaças da internet e o cybercrime

Exige a ação da vítima para se instalar:Executar um anexo de e-mailFazer download de programa

Técnica mais utilizada pelos hackers:Engenharia Social nas suas mais diversas formas

CAVALO DE TRÓIA

Page 12: Como funcionam as ameaças da internet e o cybercrime
Page 13: Como funcionam as ameaças da internet e o cybercrime
Page 14: Como funcionam as ameaças da internet e o cybercrime
Page 15: Como funcionam as ameaças da internet e o cybercrime
Page 16: Como funcionam as ameaças da internet e o cybercrime

Programas que escondem a sua presença

tornando impossível a sua detecção pelos

mecanismos convencionais

Costumam alterar chamadas (API) do sistema operacional:Acesso a Arquivos: não mostram os arquivos maliciosos

Identificação de processos: não mostram os processos maliciosos

Podem ser instalados no kernel (módulos carregáveis,

device drivers) ou nas bibliotecas do S.O. (DLLs).

ROOTKIT

Page 17: Como funcionam as ameaças da internet e o cybercrime

1982 – Primeiro vírus disseminadoElk Cloner – Infectava disquetes (boot sector) do Apple II

A cada 50 boots apresentava um poema:

Elk Cloner: The program with a personalityIt will get on all your disks

It will infiltrate your chips

Yes it's Cloner!

It will stick to you like glue

It will modify RAM too

Send in the Cloner!

HISTÓRIA

Page 18: Como funcionam as ameaças da internet e o cybercrime

1983 – Primeiro vírus de laboratório documentado. Cunhado o termo “Vírus de computador”.

1986 – Primeiros vírus de PC: Brain, ping-pongEram vírus de boot sector.

1987 – Primeiros vírus de arquivos.

1988 – Robert Morris lançou o primeiro “worm” da

Internet derrubando 6.000 máquinas por 36 horas.

1995 – Primeiro vírus de macro.

HISTÓRIA

Page 19: Como funcionam as ameaças da internet e o cybercrime

PING-PONG

Page 20: Como funcionam as ameaças da internet e o cybercrime

1999 – Mass mailing worms (Melissa, I Love You, MyDoom)

2001 – Bots and worms (Code Red, Nimda)Code Red contaminou 350 mil servidores em 12 h

2004 – Ataques WebWindows XP SP2 – firewall ligado por default

Portas Web (80 e 443) sempre abertas

HISTÓRIA

Page 21: Como funcionam as ameaças da internet e o cybercrime

Disquetes

E-mails

Worms explorando falhas de segurança

Sites comprometidos

VETORES DE PROPAGAÇÃO

Page 22: Como funcionam as ameaças da internet e o cybercrime

Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web

Hoje se escondem em páginas de empresas idôneas

que foram atacadas sem o conhecimento dos

responsáveis.

Para se esconder, ficam pouco tempo em cada

página ou só se manifestam em 1 a cada N acessos.

AMEAÇAS NA NAVEGAÇÃO

Page 23: Como funcionam as ameaças da internet e o cybercrime

TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO

Page 24: Como funcionam as ameaças da internet e o cybercrime
Page 25: Como funcionam as ameaças da internet e o cybercrime
Page 26: Como funcionam as ameaças da internet e o cybercrime
Page 27: Como funcionam as ameaças da internet e o cybercrime
Page 28: Como funcionam as ameaças da internet e o cybercrime

Páginas Maliciosas:Download de programas maliciosos

(em geral com engenharia social)Exploit de falhas de segurança do browserAtaques em Active-X, Java ou JavaScript

Necessidade de detecção antes de chegar no browser Proteção baseada em base de dados → Proteção Limitada Necessidade de verificação em tempo real 8

ATAQUES NA NAVEGAÇÃO

Page 29: Como funcionam as ameaças da internet e o cybercrime

Explorando falhas de segurança do servidor Web

Explorando falhas de segurança da aplicação Web

Usando credenciais FTP utilizadas pelo dono do site

para fazer uploadNome de Usuários e Senhas trafegam em aberto no FTP.

COMO OS SITES SÃO ATACADOS

Page 30: Como funcionam as ameaças da internet e o cybercrime

Conjuntos de computadores “escravizados” por

cybercriminososEnvio de SPAM

Ataques (sabotagem, extorsão)

Botnet = Robot network

Máquinas comprometidas por vírus, worms ou

cavalos de tróia.

BOTNETS

Page 31: Como funcionam as ameaças da internet e o cybercrime

BOTNETS

Se comunicam através de um componente IRC

(Internet Relay Chat) que se conecta a um canal de um

ou mais servidores IRC.

Mais recentemente o Twitter foi usado para a comunicação.

Page 32: Como funcionam as ameaças da internet e o cybercrime
Page 33: Como funcionam as ameaças da internet e o cybercrime

Ataque que faz com que determinado serviço pare

de funcionar.

DDoS - Distributed DoS

Ataque feito de botnets.

DoS – DENIAL OF SERVICE

Page 34: Como funcionam as ameaças da internet e o cybercrime

Inundar um link

Inundar servidor de e-mail

SYN FloodMantém conexões TCP semi-abertas, consumindo recursos até a

exaustão dos mesmos.

PING of Death - Ping com mais de 64K bytes que derrubava

o Windows 95 e algumas versões do Linux.

Enviar pacotes mal formados que fazem o servidor

“crashar”.

DoS

Page 35: Como funcionam as ameaças da internet e o cybercrime

SniffersEm redes locais

Se houver switches: ARP Poisoning

Interceptando nos roteadores/redes no caminho

Se for criptografado: Man In the MiddlePode ser aplicado em redes locais com ARP Poisoning

CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE

Page 36: Como funcionam as ameaças da internet e o cybercrime

Na conexão, cliente envia sua chave pública.

Servidor responde com sua chave pública, criptografada

pela chave pública do cliente.

Cliente responde, pedindo uma chave de sessão (usada

para criptografar o resto da comunicação).

Servidor envia chave de sessão, criptografada pela chave

pública do cliente.

A partir desse momento toda a comunicação se dá com a

chave de sessão (chave simétrica).

SSL (SECURE SOCKET LAYER)

Page 37: Como funcionam as ameaças da internet e o cybercrime

Se o cliente não tiver como verificar a chave do

servidor, é possível interceptar a comunicação.

Cliente Server

Hacker

MAN IN THE MIDDLE

Page 38: Como funcionam as ameaças da internet e o cybercrime

Usando Login/Senha de outra pessoaSniffer

Tentativa e erro:

- força bruta

- dicionário

Engenharia Social

Fingir ser outra pessoa em mensagens de e-mail,

MSN, sites sociais.

FINGIR SER OUTRA PESSOA

Page 39: Como funcionam as ameaças da internet e o cybercrime

Vírus e Worms

Usar Engenharia Social para induzir usuário a executar

certo programa.

Explorar Falhas de Segurança de Programas:

Buffer Overflow

Code/SQL Injection

FORÇAR A EXECUÇÃODE CÓDIGO

Page 40: Como funcionam as ameaças da internet e o cybercrime

Programa lê dados de entrada assumindo que tem certo

valor máximo.

Se dados forem maiores que o esperado há um estouro de

buffer.

Estouro provoca sobreposição de dados de dados na stack

(pilha).

É inserido código malicioso na stack e endereço de retorno a

alterado para a execução dos desse código.

Ataque pode vir pela rede ou através de dados (imagens,

videos, PDF, .doc) mal formados.

BUFFER OVERFLOW

Page 41: Como funcionam as ameaças da internet e o cybercrime

Formulário com campos “usuario” e “senha”:

Teste de login:- SELECT * from usuarios where usu = usuario and password =

senha;

Se em senha eu preencher:- senha; INSERT INTO usuarios (usu, passwd,priv) VALUES

(mariano,qualquer, all)

SQL INJECTION

Page 42: Como funcionam as ameaças da internet e o cybercrime

Maior interatividade sempre é uma porta sujeita a ser

invadida

Grande disponibilidade de informações pessoais.

Terreno fértil para o uso de Engenharia Social

WEB2.0 E SEGURANÇA

Page 43: Como funcionam as ameaças da internet e o cybercrime

Smarthphones são computadores com CPU,

memória,

área de armazenamento, sistemas operacional e

aplicativos e conectados à internet.

Mesmos problemas de segurança que desktops

e servidores.

MOBILIDADE E SEGURANÇA

Page 44: Como funcionam as ameaças da internet e o cybercrime

Já existem vírus para celulares

Podemos comprar na Internet programa que dá

acesso

à camera e microfone dos celulares, bem como acesso

às conversas telefônicas.

Assim como os notebooks, carregam uma série de

informações. Precisamos proteger essas informações

em casos de roubos e furtos.

MOBILIDADE E SEGURANÇA

Page 45: Como funcionam as ameaças da internet e o cybercrime

Segurança dos sistemas e dados a cargo do

provedor de serviço

“Que bom. Deixo a segurança a cargo de especialistas e menos

uma preocupação para mim.”

“Não gosto de perder o controle sobre os meus dados.”

CLOUD COMPUTING E SEGURANÇA

Page 46: Como funcionam as ameaças da internet e o cybercrime

Os sistemas são acessados remotamente. Mais

vulneráveis que datacenters isolados.

É necessária especial atenção para autenticação e

controle de acesso.

As ferramentas de segurança podem utilizar serviços

e informações na nuvem para proteger os seus

usuários.

CLOUD COMPUTING E SEGURANÇA

Page 47: Como funcionam as ameaças da internet e o cybercrime

OS ANTIVÍRUS FUNCIONAM?

Page 48: Como funcionam as ameaças da internet e o cybercrime

Detecção por assinatura é muito eficiente mas tem

problema da janela de tempo entre a difusão da

ameaça na internet e o usuário ter a assinatura no

seu computador.

OS ANTIVÍRUS FUNCIONAM?

Page 49: Como funcionam as ameaças da internet e o cybercrime

Detecção por assinatura é muito eficiente mas tem o

problema da janela de tempo entre a difusão da

ameaça na internet e o usuário ter a assinatura no

seu computador.

Os antivírus precisam incorporar outras técnicas

como

análise comportamental (ex.: IDP do AVG) e bloqueio

de sites comprometidos

OS ANTIVÍRUS FUNCIONAM?

Page 50: Como funcionam as ameaças da internet e o cybercrime

ANTIVÍRUS SÃO SUFICIENTES?

Antivírus e outras ferramentas como firewall, antispam,

filtros de conteúdo são apenas parte da solução

Conscientização e comportamento são a outra parte.Uso de senhas fortes, não acreditar que ganhou na loteria se

sequer apostou, fazer atualizações de segurança, etc.

Page 51: Como funcionam as ameaças da internet e o cybercrime

CASO ROBERT MOORE

Preso em 2007.

Parte de uma quadrilha que roubava serviços de VoIP e

vendia a seus clientes.

Invadiu centenas de empresas, sendo 15 de

telecomunicação.

Afirma que 70% das empresas que ele scaneou e 45 a

50% dos provedores de VoIP eram inseguros.

Maior falha de segurança: senhas default.

Page 52: Como funcionam as ameaças da internet e o cybercrime

DÚVIDAS?

Page 53: Como funcionam as ameaças da internet e o cybercrime

OBRIGADO!

Mariano Sumrell Miranda

[email protected]