como funcionam as ameaças da internet e o cybercrime
TRANSCRIPT
COMO FUNCIONAM AS AMEAÇASDA INTERNET E O CYBERCRIME
Mariano Sumrell Miranda
APRESENTAÇÃO
Mariano Sumrell Miranda [email protected]
Winco Tec. e SistemasEmpresa com + 10 anos de desenvolvimento de tecnologia de
segurança e conectividade
Fabricante do Winconnection - Controle de Acesso à Internet, Filtro de Instant Messaging, Filtro de e-mail e servidor de e-mail
Fabricante do Winco Edge Security
- Filtro de Instant Messaging e Filtro de e-mail
Distribuidor no Brasil do AVG
- Alguns componentes do AVG feitos pela Winco
AMEAÇAS NA INTERNET
Antigamente Hackers eram motivados por:fama
vencer desafios
provar conceitos
HACKERS HOJE
Cybercrime atividade profissional (criminosa)Sofisticados e altamente organizados
AtividadesEspionagem industrial
Sabotagem de concorrentes
Roubo de Informações como cartões de créditos e senhas de banco
Envio de SPAM
Click Fraud
Chantagem e extorsão- Sequestro de HD- Ameaça de parar o sistemas computacional
Venda de produtos e serviços.
Programa DDoS Bot: US$ 400
Envio de Spam: US$ 150 / milhão
Info sobre cartões de crédito: US$ 0,10 a US$25
Web Exploit ToolKit (WET): US$ 20 a US$400
Aluguel/Venda de Botnets
Informações Bancárias
Senhas de contas de e-mail
Aluguel de local para entrega de mercadorias
Conversão para dinheiro
CYBERCRIME
Pela forma de propagaçãoVírusWormCavalo de Tróia
Pelo atividade realizadaBackdoorSpywareKeylogger e screenloggerDownloadersEtc
Por Características EspeciaisRootkit
CLASSIFICAÇÃO DE MALWARE
Se anexa a programas hospedeiros Altera início de programa para executar o código
malicioso Código malicioso costuma infectar outros arquivos,
inclusive pelo compartilhamento de rede Pode criar novos executáveis e, através da Registry do
Windows forçar a sua execução na inicialização da máquina.
VÍRUS
Não precisa de programa hospedeiro Se propaga pela rede Entra no computador explorando falhas de segurança (exploit)
Sistema OperacionalAplicativo
Exploit mais comum: buffer overflow
WORM
Exige a ação da vítima para se instalar:Executar um anexo de e-mailFazer download de programa
Técnica mais utilizada pelos hackers:Engenharia Social nas suas mais diversas formas
CAVALO DE TRÓIA
Programas que escondem a sua presença
tornando impossível a sua detecção pelos
mecanismos convencionais
Costumam alterar chamadas (API) do sistema operacional:Acesso a Arquivos: não mostram os arquivos maliciosos
Identificação de processos: não mostram os processos maliciosos
Podem ser instalados no kernel (módulos carregáveis,
device drivers) ou nas bibliotecas do S.O. (DLLs).
ROOTKIT
1982 – Primeiro vírus disseminadoElk Cloner – Infectava disquetes (boot sector) do Apple II
A cada 50 boots apresentava um poema:
Elk Cloner: The program with a personalityIt will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!
HISTÓRIA
1983 – Primeiro vírus de laboratório documentado. Cunhado o termo “Vírus de computador”.
1986 – Primeiros vírus de PC: Brain, ping-pongEram vírus de boot sector.
1987 – Primeiros vírus de arquivos.
1988 – Robert Morris lançou o primeiro “worm” da
Internet derrubando 6.000 máquinas por 36 horas.
1995 – Primeiro vírus de macro.
HISTÓRIA
PING-PONG
1999 – Mass mailing worms (Melissa, I Love You, MyDoom)
2001 – Bots and worms (Code Red, Nimda)Code Red contaminou 350 mil servidores em 12 h
2004 – Ataques WebWindows XP SP2 – firewall ligado por default
Portas Web (80 e 443) sempre abertas
HISTÓRIA
Disquetes
E-mails
Worms explorando falhas de segurança
Sites comprometidos
VETORES DE PROPAGAÇÃO
Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web
Hoje se escondem em páginas de empresas idôneas
que foram atacadas sem o conhecimento dos
responsáveis.
Para se esconder, ficam pouco tempo em cada
página ou só se manifestam em 1 a cada N acessos.
AMEAÇAS NA NAVEGAÇÃO
TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO
Páginas Maliciosas:Download de programas maliciosos
(em geral com engenharia social)Exploit de falhas de segurança do browserAtaques em Active-X, Java ou JavaScript
Necessidade de detecção antes de chegar no browser Proteção baseada em base de dados → Proteção Limitada Necessidade de verificação em tempo real 8
ATAQUES NA NAVEGAÇÃO
Explorando falhas de segurança do servidor Web
Explorando falhas de segurança da aplicação Web
Usando credenciais FTP utilizadas pelo dono do site
para fazer uploadNome de Usuários e Senhas trafegam em aberto no FTP.
COMO OS SITES SÃO ATACADOS
Conjuntos de computadores “escravizados” por
cybercriminososEnvio de SPAM
Ataques (sabotagem, extorsão)
Botnet = Robot network
Máquinas comprometidas por vírus, worms ou
cavalos de tróia.
BOTNETS
BOTNETS
Se comunicam através de um componente IRC
(Internet Relay Chat) que se conecta a um canal de um
ou mais servidores IRC.
Mais recentemente o Twitter foi usado para a comunicação.
Ataque que faz com que determinado serviço pare
de funcionar.
DDoS - Distributed DoS
Ataque feito de botnets.
DoS – DENIAL OF SERVICE
Inundar um link
Inundar servidor de e-mail
SYN FloodMantém conexões TCP semi-abertas, consumindo recursos até a
exaustão dos mesmos.
PING of Death - Ping com mais de 64K bytes que derrubava
o Windows 95 e algumas versões do Linux.
Enviar pacotes mal formados que fazem o servidor
“crashar”.
DoS
SniffersEm redes locais
Se houver switches: ARP Poisoning
Interceptando nos roteadores/redes no caminho
Se for criptografado: Man In the MiddlePode ser aplicado em redes locais com ARP Poisoning
CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE
Na conexão, cliente envia sua chave pública.
Servidor responde com sua chave pública, criptografada
pela chave pública do cliente.
Cliente responde, pedindo uma chave de sessão (usada
para criptografar o resto da comunicação).
Servidor envia chave de sessão, criptografada pela chave
pública do cliente.
A partir desse momento toda a comunicação se dá com a
chave de sessão (chave simétrica).
SSL (SECURE SOCKET LAYER)
Se o cliente não tiver como verificar a chave do
servidor, é possível interceptar a comunicação.
Cliente Server
Hacker
MAN IN THE MIDDLE
Usando Login/Senha de outra pessoaSniffer
Tentativa e erro:
- força bruta
- dicionário
Engenharia Social
Fingir ser outra pessoa em mensagens de e-mail,
MSN, sites sociais.
FINGIR SER OUTRA PESSOA
Vírus e Worms
Usar Engenharia Social para induzir usuário a executar
certo programa.
Explorar Falhas de Segurança de Programas:
Buffer Overflow
Code/SQL Injection
FORÇAR A EXECUÇÃODE CÓDIGO
Programa lê dados de entrada assumindo que tem certo
valor máximo.
Se dados forem maiores que o esperado há um estouro de
buffer.
Estouro provoca sobreposição de dados de dados na stack
(pilha).
É inserido código malicioso na stack e endereço de retorno a
alterado para a execução dos desse código.
Ataque pode vir pela rede ou através de dados (imagens,
videos, PDF, .doc) mal formados.
BUFFER OVERFLOW
Formulário com campos “usuario” e “senha”:
Teste de login:- SELECT * from usuarios where usu = usuario and password =
senha;
Se em senha eu preencher:- senha; INSERT INTO usuarios (usu, passwd,priv) VALUES
(mariano,qualquer, all)
SQL INJECTION
Maior interatividade sempre é uma porta sujeita a ser
invadida
Grande disponibilidade de informações pessoais.
Terreno fértil para o uso de Engenharia Social
WEB2.0 E SEGURANÇA
Smarthphones são computadores com CPU,
memória,
área de armazenamento, sistemas operacional e
aplicativos e conectados à internet.
Mesmos problemas de segurança que desktops
e servidores.
MOBILIDADE E SEGURANÇA
Já existem vírus para celulares
Podemos comprar na Internet programa que dá
acesso
à camera e microfone dos celulares, bem como acesso
às conversas telefônicas.
Assim como os notebooks, carregam uma série de
informações. Precisamos proteger essas informações
em casos de roubos e furtos.
MOBILIDADE E SEGURANÇA
Segurança dos sistemas e dados a cargo do
provedor de serviço
“Que bom. Deixo a segurança a cargo de especialistas e menos
uma preocupação para mim.”
“Não gosto de perder o controle sobre os meus dados.”
CLOUD COMPUTING E SEGURANÇA
Os sistemas são acessados remotamente. Mais
vulneráveis que datacenters isolados.
É necessária especial atenção para autenticação e
controle de acesso.
As ferramentas de segurança podem utilizar serviços
e informações na nuvem para proteger os seus
usuários.
CLOUD COMPUTING E SEGURANÇA
OS ANTIVÍRUS FUNCIONAM?
Detecção por assinatura é muito eficiente mas tem
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
OS ANTIVÍRUS FUNCIONAM?
Detecção por assinatura é muito eficiente mas tem o
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
Os antivírus precisam incorporar outras técnicas
como
análise comportamental (ex.: IDP do AVG) e bloqueio
de sites comprometidos
OS ANTIVÍRUS FUNCIONAM?
ANTIVÍRUS SÃO SUFICIENTES?
Antivírus e outras ferramentas como firewall, antispam,
filtros de conteúdo são apenas parte da solução
Conscientização e comportamento são a outra parte.Uso de senhas fortes, não acreditar que ganhou na loteria se
sequer apostou, fazer atualizações de segurança, etc.
CASO ROBERT MOORE
Preso em 2007.
Parte de uma quadrilha que roubava serviços de VoIP e
vendia a seus clientes.
Invadiu centenas de empresas, sendo 15 de
telecomunicação.
Afirma que 70% das empresas que ele scaneou e 45 a
50% dos provedores de VoIP eram inseguros.
Maior falha de segurança: senhas default.
DÚVIDAS?