os riscos que rondam as organizações. os potenciais atacantes o termo genérico para identificar...
TRANSCRIPT
Os riscos que rondam Os riscos que rondam
as organizaçõesas organizações
Os potenciais atacantes
• O termo genérico para identificar quem realiza o ataque em um sistema computacional é Hacker, – Hacker é uma palavra inglesa que não possui uma
tradução exata para a língua portuguesa. A tradução mais próxima seria "fuçador".
• Os hackers, por sua definição original, são aqueles que utilizam seus conhecimento para invadir sistemas.
• Seu intuito não é de causar danos às vítimas, mas sim, um desafio às suas habilidades.
Os potenciais atacantes
• Diversos estudos sobre hackers foram realizados e o psicólogo canadense Marc Rogers chegou ao seguinte perfil do Hacker:
– indivíduo obsessivo, de classe média, e cor branca, do sexo masculino, entre 12 e 28 anos, com pouca habilidade social e possível história de abuso físico e/ou social.
Os potenciais atacantes
• Diversos estudos sobre hackers foram realizados e o psicólogo canadense Marc Rogers chegou ao seguinte perfil do Hacker:
– indivíduo obsessivo, de classe média, e cor branca, do sexo masculino, entre 12 e 28 anos, com pouca habilidade social e possível história de abuso físico e/ou social.
Tipos de Hackers
Lamers ou Script Kiddies:
• Geralmente inexperientes e novatos, que saem pela Internet catando programinhas feitos por crackers, e depois as utilizam sem entender o que estão fazendo.
• Lamer significa literalmente "idiota digital".
• São a imensa maioria e um grande número de incidentes são causados por eles.
Tipos de Hackers
Insiders:
• Maiores responsáveis pelos incidentes de segurança mais graves nas organizações.
• Apesar das pesquisas mostrarem que o número de ataques partindo da Internet é maior do que os ataques internos, os maiores prejuízos ainda são causados por incidentes internos.
Tipos de Hackers
Hackers éticos ou White hat:
• São também conhecidos como “hackers do bem”, que utilizam seus conhecimentos para descobrir vulnerabilidades nos sistemas e aplicar as correções necessárias.
• Geralmente são os responsáveis pelos testes de invasão.
Tipos de Hackers
Crackers:
• São também conhecidos como Black hat. Esse grupo utiliza seus conhecimentos para invadir sistemas e roubar informações secretas das organizações.
• Geralmente tentam vender as informações roubadas de novo à sua própria vítima, ameaçando a organização a divulgação dessas caso o valor não seja pago.
• O cracker é realmente um criminoso no sentido mais puro da palavra.
Tipos de Hackers
Crackers:
• Algumas literaturas os classificam como terroristas digitais, pois ele usa o conhecimento adquirido para prejudicar pessoas ou empresas e ainda se sair bem na história.
• São as ações dessas pessoas que distorceram o conceito de hacker, pois os crackers sempre se denominam como hackers.
Tipos de Hackers
Gray Hat:
• São black hats que fazem o papel de white hats, a fim de trabalhar na área de segurança.
• Utilizar um hacker para cuidar da segurança pode ser perigoso, devido a sua própria cultura.
Classes de ataque
Senhas fracas
• A maneira mais fácil de entrar em um computador é normalmente pela porta da frente, ou seja, efetuando login.– Para isto, basta o invasor digitar a senha do usuário.
• O problema é:– A maioria das pessoas conseguem memorizar apenas
senhas com tamanho curto, o que compromete sua eficiência.
Senhas fracas
• Hackers podem descobrir senhas através das seguintes formas:
– Usando heurísticas: adivinhar literalmente as senhas, usando informações do usuário.
– Uso de sniffers: permite que senhas (sem criptografia) usadas pelo sistemas sejam capturadas.
– Ataque de dicionário: por meio de crack (softwares que comparam senhas com palavras usadas no dicionário ou de uma outra base)
– Ataque de força bruta: descoberta de senhas através de combinações de todos caracteres.
Senhas fracas
Definindo senhas seguras:
• Tamanho mínimo da senha e Complexidade da senha– A exigência de um tamanho mínimo e a de complexidade
são a principal defesa contra ataques de força bruta ou dicionário.
• Troca periódica da senha– Utilizado no tempo em que o poder computacional para fazer
o ataque de força bruta contra uma senha era limitado.
• Não repetição das últimas senhas– Usado para impedir que o usuário "troque" a senha e
continue com a mesma.
Senhas fracas
Definindo senhas seguras:
• Evitar senhas relacionadas ao usuário;– Como nome da filho, esposa, placa de carro, data de
nascimento, etc.
• Evitar seqüências– 12345, 11111, abcde, etc.
Senhas fracas
Definindo senhas seguras:
• Bloqueio de contas– Este mecanismo protege as contas contra tentativas de
descoberta de senhas através de um ataque de dicionário ou tentativas iterativas.
– Ex.: bloquear contas após 5 a 10 tentativas, sem sucesso.
Furtos de Senha
• Entre janeiro de 2004 e maio de 2006, o número de programas mal-intencionados que visam a monitoração de atividades dos usuários, além de captura de senhas e outras informações, cresceu 250%.
• No mesmo período, os alertas de phishing (e-mails e sites fraudulentos que induzem as pessoas a divulgarem suas informações pessoais) aumentaram 100 vezes.
Fonte: do G1, 15/01/2007 - 19h25, http://g1.globo.com/Noticias/Tecnologia/0,,MUL960-6174,00.html
Furtos de Senha
• Segundo a Comissão Federal de Comércio dos Estados Unidos, o custo anual apenas nos EUA, referente a furto de senhas chega a US$ 50 bilhões.
• No Reino Unido, a estimativa do Ministério do Interior é de um prejuízo de US$ 3,2 bilhões nos últimos três anos.
• As táticas utilizadas vão desde estratégias simples, até outras mais elaboradas.
Phishing
• Phishing é basicamente um golpe on-line de falsificação, e seus criadores não passam de falsários e ladrões de identidade especializados em tecnologia.
• O nome Phishing se originou como uma ortografia alternativa para "fishing", "pescaria" em inglês, como em "pescar informações".
Phishing
• Fatos do phishing
– Mais de 5.000.000 de consumidores americanos perderam dinheiro entre 2007 e 2008 por conta de ataques de phishing.
– O volume de ataques de phishing aumentou 103% entre setembro e outubro de 2008 !
– 85% dos ataques miraram bancos e outras instituições financeiras.
– A perda média, por consumidor, foi de US$ 351 em 2008.
Fonte: Info Online: http://info.abril.com.br/aberto/infonews/102008/22102008-6.shl .
Phishing
• Comunicado importante do Bradesco
Phishing
São vários casos de golpes praticados na Web.
• E-mail recebido do remetente "MercadoLivre“.
Phishing
• Recadastramento de dados do Bradesco
Phishing• Site novo do Itaú
Phishing
• Até Orkut !!!
Carding
• Prática ilegal envolvendo fraudes com números de cartões de crédito, que são utilizados pelos hackers para fazerem compras para eles próprios e para seus amigos.
Engenharia Social
• O 1º passo para um ataque é a obtenção de informações.
• A engenharia social é um dos meios mais utilizados para a obtenção dessas informações sigilosas e importantes.
• Isso porque explora com muita sofisticação as "falhas de segurança dos humanos".
• A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos.
• Obtendo informações...
- Boa noite, Sr.-Sou do Suporte Técnico
do seu provedor.-Sua conexão apresenta um
problema.-Me informe seu
usuário e senha, por favor, para que
possamos ajustar a situação ?
Engenharia Social
Engenharia Social
• Nos ataques de Engenharia Social, o golpista é ousado e se faz passar por outra pessoa, explorando a confiança das pessoas.
• Geralmente utilizam meios como telefone ou e-mail para persuadir o usuário a fornecer informações importantes como senhas ou realizar determinadas ações:– executar um programa, acessar uma página falsa de Internet
Banking, etc...
• Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
Evitando a Engenharia Social
• Treinamento e conscientização das pessoas sobre o valor da informação.
• Desconfie e ligue VOCÊ para o suporte para verificar a veracidade.
• Segurança física, permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas.
• Política de Segurança, estabelecer procedimentos que eliminem quaisquer trocas de senhas por telefone, etc.
Engenharia Social
• Independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano.
O que são vírus, worms e Trojans?
• Os vírus, worms e Trojans são programas mal intencionados que podem danificar o seu computador e as informações existentes no seu computador.
• Podem igualmente tornar a Internet mais lenta e poderão mesmo utilizar o seu computador para se espalhar para os seus amigos, família, colegas e o resto da Internet.
Vírus
• Um vírus é um pequeno código que se "acoplam", isto é se inserem em um programa ou arquivo para se propagar de computador em computador.
• Propaga a infecção à medida que viaja. Os vírus podem apagar arquivos, formatar discos, além de danificar o Sistema Operacional e até o Hardware.
Vírus
• Um verdadeiro vírus não se espalha sem interação humana.
• Alguém deve compartilhar um arquivo ou enviar uma mensagem de correio eletrônico para que o vírus se propague.
• Resultado: ??
Worms
• Worms (ou vermes, em Português) são um tipo especial de vírus, criados para se copiar de um computador para outro de forma automática.
• Em primeiro lugar, o worm toma controle de funções do computador que permitem transportar arquivos ou informações.
Worms
• O worm, após ter entrado no sistema, pode movimentar-se sozinho e um dos grandes perigos dos worms é o fato deles se duplicarem em grande volume. – Exemplo: um worm pode enviar cópias de si próprio para
toda sua lista de endereço de e-mail, e os computadores dessas pessoas farão o mesmo.
• Isto causará um efeito avalanche, resultando em congestionamentos nas redes das empresas e em toda a Internet.
Worms
• Quando são liberados novos worms, estes espalham-se bastante depressa, entopem as redes e podem criar grande lentidão para abrir páginas na Internet.
Ranking dos 12 Vírus/worms mais ativos / 2006. Fonte Sophos
1,0%1,2%1,2%1,5%1,6%1,8%
2,9%4,2%
6,6%17,6%17,9%
19,2%
W32/NimdaWorm/Avril.AW32/Yaha.E
W32/Funlove.4099Worm/Hawawi.E
Worm/GandaWorm/Sircam.AWorm/Sobig.CWorm/Sobig.A
Worm/BugBear.BWorm/Sobig.EWorm/Klez.E
Trojan
• O cavalo de Tróia da mitologia aparentava ser um presente, mas na realidade continha no seu interior soldados gregos que se apoderaram da cidade de Tróia.
• Do mesmo modo, os Trojan Horses (ou cavalos de Tróia), são programas de computador que aparentam ser softwares úteis, mas na realidade comprometem a segurança do usuário e causam muitos danos.
Trojan
• Os Trojans propagam-se quando as pessoas abrem inadvertidamente um programa ou mensagem, porque pensam que a mesma é proveniente de uma fonte legítima.
• Para que um Trojan se espalhe, o próprio usuário deve instalar esse programa no computador, ao contrário do Worm.
– Exemplo: abrindo um anexo de e-mail.
Exemplos de Trojans
• Polícia Federal
Exemplos de Trojans
• Recadastramento de computadores na Caixa econômica
Exemplos de Trojans
Tribunal de Justiça Tribunal Superior Eleitoral
Exemplos de Trojans
• Itaú de novo....
Exemplos de Trojans
• Caixa econômica de novo...
Trojan
• Um Trojan, pode instalar um programa de Spy em seu computador para roubar informações, além de ter a função de desativar programas antivírus e firewalls.
• Os Trojans podem também estar incluídos em softwares disponíveis na internet, ou arquivos qual o usuário se interesse em baixar e executar.
Exemplos de Trojans• Programas “úteis”
Exemplos de Trojans• Outros ....
Keylogger
• Keylogger é um programa malicioso cuja finalidade é monitorar tudo o que é digitado e às vezes capturar telas.
• Muitas vezes esses programas são utilizados com objetivos ilícitos, através de spywares, "trojan horses", entre outros.
• Muitos casos de phishing, assim como outros tipos de fraudes virtuais, se baseiam no uso de Keylogger, instalado no computador da vítima.
Questões para discussão
• Onde são encontrados os Trojan atualmente?
• Você já recebeu algum e-mail bancário duvidoso?
• Quais as técnicas utilizadas nos sites de Internet Banking para evitar o keylogger?
• Existe algum keylogger físico ou ele é apenas um software?
Keylogger
• Atualmente foram desenvolvidos alguns keylogger baseado em Hardware, que armazenam mais de 128.000 palavras (aproxim. 84 páginas).
• Price: $54.99
Spyware
• Spyware é um programa automático, que recolhe informações sobre o usuário, seus costumes na Internet e transmite essa informação a uma entidade externa na Internet.
• São diferentes dos Trojans, pois não tem o objetivo que o sistema do usuário seja dominado por um Cracker.
• Os spywares podem ser desenvolvidos por firmas comerciais, que desejam monitorar o hábito dos usuários para avaliar seus costumes e vender este dados pela internet.
Backdoors
• Backdoor (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir em um programa ou em Sistemas Operacionais.
• Um backdoor permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina.
• Assim, o computador poderá ser totalmente controlado de longe pelo invasor, permitindo que ele veja arquivos, leia emails, roube senhas e realize outro ataque remotamente.
– e o melhor: sem ser descoberto!
Backdoors – outra definição
• Alguns autores atribuem uma definição um pouco diferente para um Backdoor:
• Programa que permite a um invasor retornar a um computador comprometido.
• Normalmente este programa é colocado de forma a não ser notado.
Backdoors
• Um backdoor pode ser explorado/criado por um Trojan;
• Falhas em versões desatualizadas de programas como Internet Explorer, MSN, IRC, E-mule, Adobe Acrobat e outros permitem a abertura de backdoors;
• A proteção mais comum contra Backdoors é o uso de Firewall e de Sistemas de Detecção de Intrusão (IDS).
• Manter o S.O. Atualizado com patches de atualização e usar versões recentes de programas também é fundamental.
Backdoors
• A forma usual de incluir um backdoor é disponibilizando um serviço / software por uma versão alterada.
• Esta versão alterada possui recursos que permite acesso remoto na máquina alvo.
• Porém, a existência de um backdoor não depende necessariamente de uma invasão.
• Pode ser instalado através de um cavalo de Tróia.
• Inclusão como consequência da instalação e má configuração de um programa para administração remota.
IP Spoofing
• É uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado.
• O protocolo IP não verifica a origem dos pacotes;
• Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP.
• Um ou vários computadores podem se passar por uma única origem através de IP falso;
IP Spoofing
• Atacante não recebe resposta sobre suas ações e explora relação de confiança entre as máquinas;
• Supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa.
IP Spoofing
• Existem diversas técnicas que são utilizadas para mascarar o endereço IP.
• Demostração – Hide my ip
O que pode ser feito:
Navegação anônima na Web / Proteção da identidade: Você pode navegar por diferentes sites sem que seja possível identificar a sua origem ou identidade, mudando o IP com um simples click.
Previne o roubo da sua identidade (IP) Criptografia da conexão: cria um tunel criptografado entre o seu micro e o Hide IP.
Envio de Emails Anônimos: Oculta o seu IP real no cabeçalho dos emails. Anônimo mesmo !
Acesso a locais onde você havia sido banido ou bloqueado. Ex:Foruns, enquetes, etc
IP Spoofing
Port Scanning
• Os port scanners são ferramentas utilizadas para a obtenção de informações referentes aos serviços que são acessíveis e definidas por meio do mapeamento das portas TCP e UDP.
• Com as informações obtidas com o scaneamento de portas, evita-se o desperdício de esforço com ataques a serviços inexistentes.
– Assim o hacker pode se concentrar em utilizar técnicas que exploram serviços específicos, que podem ser de fato explorados.
Port Scanning
• Esta técnica pode ser utilizada tanto para invasão, quanto para análise de vulnerabilidades.
• NMAP é um programa que faz este rastreamento;
DNS Spoofing
• Ocorre quando um “servidor de DNS” retorna um nome falso para um determinado IP;
• O usuário terá a sensação de esta acessando o site do nome falso;
DNS Spoofing
• A maioria dos ataques se basea no DNS caching, do Windows e funciona na maioria dos Browsers;
• **
Denial of Service (DoS)
• Os ataques de negação de serviços fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos fiquem impossibilitado de utilizá-los.
• Atuam no princípio da disponibilidade, onde o atacante tenta colocar o serviço “fora do ar”.
• Alvos típicos são servidores web e de e-mail, redes Wireless e outros computadores.
Analogia – Ataque de DoS
• Você usa um ônibus regularmente para ir ao trabalho.
• No entanto, uma quantidade enorme de pessoas lotaram o ônibus, de modo que que você e os outros passageiros regulares não conseguiram entrar.
• Ou, que você tenha conseguido entrar no ônibus, mas este ficou tão cheio que não conseguiu sair do lugar por excesso de peso.
• Este ônibus acabou negando o seu serviço (transportá-lo até um local), pois recebeu mais solicitações (passageiros) do que suporta.
Denial of Service (DoS)
• Os ataques de negação de serviço são feitos geralmente de duas formas:
– Forçar o sistema vítima a consumir todos os seus recursos (Ex.: memória ou processamento) de forma que ele não pode mais fornecer seu serviço.
– Obstruir o meio de comunicação entre os usuários e o sistema vítima de forma a não comunicarem-se adequadamente.
• É importante frisar que quando um computador/site sofre ataque DoS, ele não é invadido, mas sim sobrecarregado.
– As informações do serviço não são roubadas ou modificadas;
Ataques de DDoS
• O DDoS (Distributed Denial of Service), é um ataque DoS ampliado, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina.
• Esse é um dos tipos mais eficazes de ataques e já prejudicou sites conhecidos, tais como os da CNN, Amazon, Yahoo, Microsoft, Globo e eBay.
• Para que os ataques do tipo DDoS sejam bem-sucedidos, é necessário que se tenha um número grande de computadores para fazerem parte do ataque.
Ataques de DDoS
Analogia:
• Todos resolvessem usar o telefone ao mesmo tempo;
– O serviço telefônico ficaria fora do ar;
• Na computação, se todo resolvessem acessar um determinado site ao mesmo tempo;
– O site ficaria indisponível;
Ataques de DDoS
• Para atingir uma enorme quantidade de máquinas conectadas à internet, Worms e Trojans são criados com a intenção de disseminar pequenos programas para ataques DoS.
• Assim, quando um malware com tal poder contamina um computador, este se torna um zumbi e fica disponível para fazer parte de um ataque DoS e o usuário não fica sabendo.
• Após a contaminação, os zumbis entram em contato com máquinas chamadas de mestres, que por sua vez recebem orientações de um computador chamado atacante.
Ataques de DDoS
• Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam o servidor-alvo, tirando-o do ar.
• Um computador mestre pode ter sob sua responsabilidade até milhares de computadores.
Ataques de DDoS
• Ataques de são complicados e envolvem quebra de segurança / invasão de varias maquinas conectada a Intenet.
• Como a quantidade de computadores que participam do ataque é grande, é praticamente impossível saber exatamente qual é a máquina principal do ataque.
SYN Flood
• SYN flood ou ataque SYN é uma forma de ataque de negação de serviço.
• Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:
– O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
– O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente.
– O cliente por sua vez responde com um ACK, e a conexão está estabelecida.
SYN Flood
• Um cliente malicioso pode não mandar esta última mensagem ACK.
• O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante.
• O atacante envia diversas vezes pacotes maliciosos com SYN e recebe respostas válidas.
• O servidor é sobrecarregado e novas requisições válidas não são realizadas com sucesso.
Smurf
• O Smurf é outro tipo de ataque de negação de serviço.
• O agressor envia uma rápida seqüência de solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um endereço de broadcast.
• Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima.
• Assim, o computador-alvo é inundado pelo Ping.
Mail Bomb
• É a técnica de inundar um computador ou servidor com mensagens eletrônicas.
• Em geral, o agressor usa um script para gerar um fluxo contínuo de mensagens e abarrotar a caixa postal de alguém.
• A sobrecarga tende a provocar negação de serviço no servidor de e-mail.
Ataque físico
• É o tipo e ataque, em que são roubados / danificados equipamentos, softwares e fitas magnéticas.
• É um método pouco utilizado por Hackers, mas permite que o ataque seja realizado diretamente no sistema, o que facilita suas ações.
– Não é necessário utilizar técnicas de ataques remotos
• O controle de acesso físico em diferentes níveis, é uma boa maneira para prevenir este tipo de ataque.
Ataque físico
• O bloqueio estações de trabalho deve ser feito pelos funcionários.
• O controle de acesso aos servidores e roteadores deve ser o mais restritivo possível.
– Uso de crachás, senhas e sistema de biometria
Trashing
• É a atividade na qual o lixo é verificado em busca de informações sobre a organização ou de sua rede.
• Busca-se, por exemplo, nome de contas e senhas, informações pessoais e confidenciais.
Atividade
• Você é o Analista de Segurança de uma grande empresa e deverá elaborar uma cartilha ensinando os usuários a criar e cuidar de suas senhas.
• Qual a diferença entre um ataque por força bruta e um ataque por dicionário?