os riscos que rondam as organizações: classes de ataque 1
TRANSCRIPT
Os riscos que rondam as organizações:
Classes de Ataque
1
Os potenciais atacantes
O termo genérico para identificar quem realiza o ataque em um sistema computacional é Hacker,
Hacker é uma palavra inglesa que não possui uma tradução exata para a língua portuguesa. A tradução mais próxima seria "fuçador".
Os hackers, por sua definição original, são aqueles que utilizam seus conhecimento para invadir sistemas.
Seu intuito não é de causar danos às vítimas, mas sim, um desafio às suas habilidades.
2
Os potenciais atacantes
Diversos estudos sobre hackers foram realizados e o psicólogo canadense Marc Rogers chegou ao seguinte perfil do Hacker:
indivíduo obsessivo, de classe média, e cor branca, do sexo masculino, entre 12 e 28 anos, com pouca habilidade social e possível história de abuso físico e/ou social.
3
Tipos de Hackers
Lamers ou Script Kiddies:
Geralmente inexperientes e novatos, que saem pela Internet catando programinhas feitos por crackers, e depois as utilizam sem entender o que estão fazendo.
Lamer significa literalmente "idiota digital".
São a imensa maioria e um grande número de incidentes são causados por eles.
4
Tipos de Hackers
Insiders:
Maiores responsáveis pelos incidentes de segurança mais graves nas organizações.
Apesar das pesquisas mostrarem que o número de ataques partindo da Internet é maior do que os ataques internos, os maiores prejuízos ainda são causados por incidentes internos.
5
Tipos de Hackers
Hackers éticos ou White hat:
São também conhecidos como “hackers do bem”, que utilizam seus conhecimentos para descobrir vulnerabilidades nos sistemas e aplicar as correções necessárias.
Geralmente são os responsáveis pelos testes de invasão.
6
Tipos de Hackers
Crackers:
São também conhecidos como Black hat. Esse grupo utiliza seus conhecimentos para invadir sistemas e roubar informações secretas das organizações.
Geralmente tentam vender as informações roubadas de novo à sua própria vítima, ameaçando a organização a divulgação dessas caso o valor não seja pago.
O cracker é realmente um criminoso no sentido mais puro da palavra.
7
Tipos de Hackers
Crackers:
Algumas literaturas os classificam como terroristas digitais, pois ele usa o conhecimento adquirido para prejudicar pessoas ou empresas e ainda se sair bem na história.
São as ações dessas pessoas que distorceram o conceito de hacker, pois os crackers sempre se denominam como hackers.
8
Tipos de Hackers
Gray Hat:
São black hats que fazem o papel de white hats, a fim de trabalhar na área de segurança.
Utilizar um hacker para cuidar da segurança pode ser perigoso, devido a sua própria cultura.
9
Engenharia Social
O 1º passo para um ataque é a obtenção de informações.
A engenharia social é um dos meios mais utilizados para a obtenção dessas informações sigilosas e importantes.
Isso porque explora com muita sofisticação as "falhas de segurança dos humanos".
A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos.
10
• Obtendo informações...
- Boa noite, Sr.-Sou do Suporte Técnico
do seu provedor.-Sua conexão apresenta um
problema.-Me informe seu
usuário e senha, por favor, para que
possamos ajustar a situação ?
Engenharia SocialEngenharia Social
11
Engenharia Social
Nos ataques de Engenharia Social, o golpista é ousado e se faz passar por outra pessoa, explorando a confiança das pessoas.
Geralmente utilizam meios como telefone ou e-mail para persuadir o usuário a fornecer informações importantes como senhas ou realizar determinadas ações:
executar um programa, acessar uma página falsa de Internet Banking, etc...
Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
12
Evitando a Engenharia Social
Treinamento e conscientização das pessoas sobre o valor da informação.
Desconfie e ligue VOCÊ para o suporte para verificar a veracidade.
Segurança física, permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas.
Política de Segurança, estabelecer procedimentos que eliminem quaisquer trocas de senhas por telefone, etc.
13
Engenharia Social
Independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano.
14
Senhas fracas
A maneira mais fácil de entrar em um computador é normalmente pela porta da frente, ou seja, efetuando login.
Para isto, basta o invasor digitar a senha do usuário.
O problema é: A maioria das pessoas conseguem memorizar apenas
senhas com tamanho curto, o que compromete sua eficiência.
15
Senhas fracas
Hackers podem descobrir senhas através das seguintes formas:
Usando heurísticas: adivinhar literalmente as senhas, usando informações do usuário.
Uso de sniffers: permite que senhas (sem criptografia) usadas pelo sistemas sejam capturadas.
Ataque de dicionário: por meio de crack (softwares que comparam senhas com palavras usadas no dicionário ou de uma outra base)
Ataque de força bruta: descoberta de senhas através de combinações de todos caracteres.
16
Senhas fracas
Definindo senhas seguras:
Tamanho mínimo da senha e Complexidade da senha A exigência de um tamanho mínimo e a de complexidade
são a principal defesa contra ataques de força bruta ou dicionário.
Troca periódica da senha Utilizado no tempo em que o poder computacional para fazer
o ataque de força bruta contra uma senha era limitado.
Não repetição das últimas senhas Usado para impedir que o usuário "troque" a senha e
continue com a mesma.
17
Senhas fracas
Definindo senhas seguras:
Evitar senhas relacionadas ao usuário; Como nome da filho, esposa, placa de carro, data de
nascimento, etc.
Evitar seqüências 12345, 11111, abcde, etc.
18
Senhas fracas
Definindo senhas seguras:
Bloqueio de contas Este mecanismo protege as contas contra tentativas de
descoberta de senhas através de um ataque de dicionário ou tentativas iterativas.
Ex.: bloquear contas após 5 a 10 tentativas, sem sucesso.
19
Furtos de Senha
Entre janeiro de 2004 e maio de 2006, o número de programas mal-intencionados que visam a monitoração de atividades dos usuários, além de captura de senhas e outras informações, cresceu 250%.
No mesmo período, os alertas de phishing (e-mails e sites fraudulentos que induzem as pessoas a divulgarem suas informações pessoais) aumentaram 100 vezes.
Fonte: do G1, 15/01/2007 - 19h25, http://g1.globo.com/Noticias/Tecnologia/0,,MUL960-6174,00.html
20
Furtos de Senha
Segundo a Comissão Federal de Comércio dos Estados Unidos, o custo anual apenas nos EUA, referente a furto de senhas chega a US$ 50 bilhões.
No Reino Unido, a estimativa do Ministério do Interior é de um prejuízo de US$ 3,2 bilhões nos últimos três anos.
As táticas utilizadas vão desde estratégias simples, até outras mais elaboradas.
21
Phishing
Phishing é basicamente um golpe on-line de falsificação, e seus criadores não passam de falsários e ladrões de identidade especializados em tecnologia.
O nome Phishing se originou como uma ortografia alternativa para "fishing", "pescaria" em inglês, como em "pescar informações".
22
Phishing
Fatos do phishing
Mais de 5.000.000 de consumidores americanos perderam dinheiro entre 2007 e 2008 por conta de ataques de phishing.
O volume de ataques de phishing aumentou 103% entre setembro e outubro de 2008 !
85% dos ataques miraram bancos e outras instituições financeiras.
A perda média, por consumidor, foi de US$ 351 em 2008.
Fonte: Info Online: http://info.abril.com.br/aberto/infonews/102008/22102008-6.shl .
23
Phishing
Comunicado importante do Bradesco
24
Phishing
São vários casos de golpes praticados na Web.
E-mail recebido do remetente "MercadoLivre“.
25
Phishing
Recadastramento de dados do Bradesco
26
PhishingSite novo do Itaú
27
Phishing
Até Orkut !!!
28
Carding
Prática ilegal envolvendo fraudes com números de cartões de crédito, que são utilizados pelos hackers para fazerem compras para eles próprios e para seus amigos.
29
O que são vírus, worms e Trojans?
Os vírus, worms e Trojans são programas mal intencionados que podem danificar o seu computador e as informações existentes no seu computador.
Podem igualmente tornar a Internet mais lenta e poderão mesmo utilizar o seu computador para se espalhar para os seus amigos, família, colegas e o resto da Internet.
30
Vírus
Um vírus é um pequeno código que se "acoplam", isto é se inserem em um programa ou arquivo para se propagar de computador em computador.
Propaga a infecção à medida que viaja. Os vírus podem apagar arquivos, formatar discos, além de danificar o Sistema Operacional e até o Hardware.
31
Vírus
Um verdadeiro vírus não se espalha sem interação humana.
Alguém deve compartilhar um arquivo ou enviar uma mensagem de correio eletrônico para que o vírus se propague.
Resultado: ??
32
Worms
Worms (ou vermes, em Português) são um tipo especial de vírus, criados para se copiar de um computador para outro de forma automática.
Em primeiro lugar, o worm toma controle de funções do computador que permitem transportar arquivos ou informações.
33
Worms
O worm, após ter entrado no sistema, pode movimentar-se sozinho e um dos grandes perigos dos worms é o fato deles se duplicarem em grande volume.
Exemplo: um worm pode enviar cópias de si próprio para toda sua lista de endereço de e-mail, e os computadores dessas pessoas farão o mesmo.
Isto causará um efeito avalanche, resultando em congestionamentos nas redes das empresas e em toda a Internet.
34
Worms
Quando são liberados novos worms, estes espalham-se bastante depressa, entopem as redes e podem criar grande lentidão para abrir páginas na Internet.
Ranking dos 12 Vírus/worms mais ativos / 2006. Fonte Sophos
1,0%1,2%1,2%1,5%1,6%1,8%
2,9%4,2%
6,6%17,6%17,9%
19,2%
W32/NimdaWorm/Avril.AW32/Yaha.E
W32/Funlove.4099Worm/Hawawi.E
Worm/GandaWorm/Sircam.AWorm/Sobig.CWorm/Sobig.A
Worm/BugBear.BWorm/Sobig.EWorm/Klez.E
35
Trojan
O cavalo de Tróia da mitologia aparentava ser um presente, mas na realidade continha no seu interior soldados gregos que se apoderaram da cidade de Tróia.
Do mesmo modo, os Trojan Horses (ou cavalos de Tróia), são programas de computador que aparentam ser softwares úteis, mas na realidade comprometem a segurança do usuário e causam muitos danos.
36
Trojan
Os Trojans propagam-se quando as pessoas abrem inadvertidamente um programa ou mensagem, porque pensam que a mesma é proveniente de uma fonte legítima.
Para que um Trojan se espalhe, o próprio usuário deve instalar esse programa no computador, ao contrário do Worm.
Exemplo: abrindo um anexo de e-mail.
37
Exemplos de Trojans
Polícia Federal
Tribunal de Justiça
38
Exemplos de Trojans
Recadastramento de computadores na Caixa econômica
39
Exemplos de Trojans
Casas Bahia
40
Exemplos de Trojans
Itaucard Pedido Submarino
41
Exemplos de Trojans
Caixa econômica de novo...
42
Trojan
Um Trojan, pode instalar um programa de Spy em seu computador para roubar informações, além de ter a função de desativar programas antivírus e firewalls.
Os Trojans podem também estar incluídos em softwares disponíveis na internet, ou arquivos qual o usuário se interesse em baixar e executar.
43
Exemplos de TrojansProgramas “úteis”
44
Exemplos de TrojansOutros ....
45
Keylogger
Keylogger é um programa malicioso cuja finalidade é monitorar tudo o que é digitado e às vezes capturar telas.
Muitas vezes esses programas são utilizados com objetivos ilícitos, através de spywares, "trojan horses", entre outros.
Muitos casos de phishing, assim como outros tipos de fraudes virtuais, se baseiam no uso de Keylogger, instalado no computador da vítima.
46
Keylogger
Atualmente foram desenvolvidos alguns keylogger baseado em Hardware, que armazenam mais de 128.000 palavras (aproxim. 84 páginas).
Price: $54.99 47
Questões para discussão
Onde são encontrados os Trojan atualmente?
Você já recebeu algum e-mail bancário duvidoso?
Quais as técnicas utilizadas nos sites de Internet Banking para evitar o keylogger?
Existe algum keylogger físico ou ele é apenas um software?
48
Spyware
Spyware é um programa automático, que recolhe informações sobre o usuário, seus costumes na Internet e transmite essa informação a uma entidade externa na Internet.
Sào diferentes dos Trojans, pois não tem o objetivo que o sistema do usuário seja dominado por um Cracker.
Os spywares podem ser desenvolvidos por firmas comerciais, que desejam monitorar o hábito dos usuários para avaliar seus costumes e vender este dados pela internet.
49
Backdoors
Backdoor (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir em um programa ou em Sistemas Operacionais.
Um backdoor permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina.
Assim, o computador poderá ser totalmente controlado de longe pelo invasor, permitindo que ele veja arquivos, leia emails, roube senhas e realize outro ataque remotamente.
e o melhor: sem ser descoberto!
50
Backdoors
Um backdoor pode ser explorado/criado por um Trojan;
Falhas em programas comuns como Internet Explorer, MSN, IRC, E-mule e outros permitem a abertura de backdoors;
A proteção mais comum contra Backdoors é o uso de Firewall e de Sistemas de Detecção de Intrusão (IDS).
Manter o S.O. Atualizado com patches de atualização e usar versões recentes de programas também é fundamental.
51
IP Spoofing
É uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado.
O protocolo IP não verifica a origem dos pacotes;
Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP.
Um ou vários computadores podem se passar por uma única origem através de IP falso;
52
IP Spoofing
Atacante não recebe resposta sobre suas ações e explora relação de confiança entre as máquinas;
Supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa.
53
IP Spoofing
Existem diversas técnicas que são utilizadas para mascarar o endereço IP.
Demostração – Hide my ip
http://www.ip-adress.com/ 54
Port Scanning
Os port scanners são ferramentas utilizadas para a obtenção de informações referentes aos serviços que são acessíveis e definidas por meio do mapeamento das portas TCP e UDP.
Com as informações obtidas com o scaneamento de portas, evita-se o desperdício de esforço com ataques a serviços inexistentes.
Assim o hacker pode se concentrar em utilizar técnicas que exploram serviços específicos, que podem ser de fato explorados.
55
Port Scanning
Esta técnica pode ser utilizada tanto para invasão, quanto para análise de vulnerabilidades.
NMAP é um programa que faz este rastreamento;
56
DNS Spoofing
Ocorre quando um “servidor de DNS” retorna um nome falso para um determinado IP;
O usuário terá a sensação de esta acessando o site do nome falso;
57
DNS Spoofing
A maioria dos ataques se basea no DNS caching, do Windows e funciona na maioria dos Browsers;
Demonstração no Windows58
Denial of Service (DoS)
Os ataques de negação de serviços fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos fiquem impossibilitado de utilizá-los.
Atuam no princípio da disponibilidade, onde o atacante tenta colocar o serviço “fora do ar”.
Alvos típicos são servidores web e de e-mail, redes Wireless e outros computadores.
59
Analogia – Ataque de DoS
Você usa um ônibus regularmente para ir ao trabalho.
No entanto, uma quantidade enorme de pessoas lotaram o ônibus, de modo que que você e os outros passageiros regulares não conseguiram entrar.
Ou, que você tenha conseguido entrar no ônibus, mas este ficou tão cheio que não conseguiu sair do lugar por excesso de peso.
Este ônibus acabou negando o seu serviço (transportá-lo até um local), pois recebeu mais solicitações (passageiros) do que suporta.
60
Denial of Service (DoS)
Os ataques de negação de serviço são feitos geralmente de duas formas:
Forçar o sistema vítima a consumir todos os seus recursos (Ex.: memória ou processamento) de forma que ele não pode mais fornecer seu serviço.
Obstruir o meio de comunicação entre os usuários e o sistema vítima de forma a não comunicarem-se adequadamente.
É importante frisar que quando um computador/site sofre ataque DoS, ele não é invadido, mas sim sobrecarregado.
As informações do serviço não são roubadas ou modificadas;
61
Ataques de DDoS
O DDoS (Distributed Denial of Service), é um ataque DoS ampliado, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina.
Esse é um dos tipos mais eficazes de ataques e já prejudicou sites conhecidos, tais como os da CNN, Amazon, Yahoo, Microsoft, Globo e eBay.
Para que os ataques do tipo DDoS sejam bem-sucedidos, é necessário que se tenha um número grande de computadores para fazerem parte do ataque.
62
Ataques de DDoS
Analogia:
Todos resolvessem usar o telefone ao mesmo tempo;
O serviço telefônico ficaria fora do ar;
Na computação, se todo resolvessem acessar um determinado site ao mesmo tempo;
O site ficaria indisponível;
63
Ataques de DDoS
Para atingir uma enorme quantidade de máquinas conectadas à internet, Worms e Trojans são criados com a intenção de disseminar pequenos programas para ataques DoS.
Assim, quando um malware com tal poder contamina um computador, este se torna um zumbi e fica disponível para fazer parte de um ataque DoS e o usuário não fica sabendo.
Após a contaminação, os zumbis entram em contato com máquinas chamadas de mestres, que por sua vez recebem orientações de um computador chamado atacante.
64
Ataques de DDoS
Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam o servidor-alvo, tirando-o do ar.
Um computador mestre pode ter sob sua responsabilidade até milhares de computadores.
65
Ataques de DDoS
Ataques de são complicados e envolvem quebra de segurança / invasão de varias maquinas conectada a Intenet.
Como a quantidade de computadores que participam do ataque é grande, é praticamente impossível saber exatamente qual é a máquina principal do ataque.
66
SYN Flood
SYN flood ou ataque SYN é uma forma de ataque de negação de serviço.
Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:
O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente.
O cliente por sua vez responde com um ACK, e a conexão está estabelecida. 67
SYN Flood
Um cliente malicioso pode não mandar esta última mensagem ACK.
O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante.
O atacante envia diversas vezes pacotes maliciosos com SYN e recebe respostas válidas.
O servidor é sobrecarregado e novas requisições válidas não são realizadas com sucesso.
68
Smurf
O Smurf é outro tipo de ataque de negação de serviço.
O agressor envia uma rápida seqüência de solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um endereço de broadcast.
Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima.
Assim, o computador-alvo é inundado pelo Ping.
69
Mail Bomb
É a técnica de inundar um computador ou servidor com mensagens eletrônicas.
Em geral, o agressor usa um script para gerar um fluxo contínuo de mensagens e abarrotar a caixa postal de alguém.
A sobrecarga tende a provocar negação de serviço no servidor de e-mail.
70
Ataque físico
É o tipo e ataque, em que são roubados / danificados equipamentos, softwares e fitas magnéticas.
É um método pouco utilizado por Hackers, mas permite que o ataque seja realizado diretamente no sistema, o que facilita suas ações.
Não é necessário utilizar técnicas de ataques remotos
O controle de acesso físico em diferentes níveis, é uma boa maneira para prevenir este tipo de ataque.
71
Ataque físico
O bloqueio estações de trabalho deve ser feito pelos funcionários.
O controle de acesso aos servidores e roteadores deve ser o mais restritivo possível.
Uso de crachás, senhas e sistema de biometria
72
Trashing
É a atividade na qual o lixo é verificado em busca de informações sobre a organização ou de sua rede.
Busca-se, por exemplo, nome de contas e senhas, informações pessoais e confidenciais.
73
Atividade
Você é o Analista de Segurança de uma grande empresa e deverá elaborar uma cartilha ensinando os usuários a criar e cuidar de suas senhas.
Qual a diferença entre um ataque por força bruta e um ataque por dicionário?
74