os riscos que rondam as organizações – aula...

Os Riscos que Rondam as Organizações – Aula 03

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

2

Os riscos que rondam as organizações

● A segurança é essencial para a continuidade do negócio● Atacantes● Possíveis ataques● Técnicas e ferramentas utilizadas

3


● Atacante (hacker)● Apresentam objetivos diferentes e seu sucesso depende do grau de

segurança dos alvos e da capacidade do hacker.● Se intitulam como pessoas com conhecimento para invadir sistemas

sem intuito de causar danos, mas sim com desafio às suas habilidades.

4


● O impacto do Raqueamento antiético● Craqueamento é o termo utilizado para o raqueamento ilegal de

um sistema de computador sem a permissão de seu proprietário. Raqueamento é o termo frequentemente utilizado no lugar de “craqueamento”, mas alguns hackers o consideram ofensivo.

● Os hackers legais que queriam manter o termo “hackers” responderam a essa tendência divulgando o termo cracker para caracterizar quem está do “lado obscuro” da computação.● Os hackers são normalmente classificados em dois grupos: Chapéu Branco, ou

hackers “bons” e éticos; e Chapéu Preto, ou hackers “ruins” e maliciosos.

5


A variedade de motivações dos hackers/crackers de chapéu branco/chapéu preto

Modelos dos chapéus branco e preto. Fonte: Segurança de computadores e teste de invasão © Cengage Learning 2014

6

Perfil do hacker

● Novatos (Script Kiddies, newbies):● Confiam em kits de ferramentas para fazer seus ataques● Habilidades limitadas de computação e programação● Podem causar muitos danos a sistemas porque geralmente não

entendem como os ataques funcionam● Buscam atenção da mídia

7

Perfil do hacker

● Punks cibernéticos (Cyberpunks)● Capazes de escrever o próprio software● Possuem uma compreensão dos sistemas que estão atacando● Muitos estão envolvidos em roubos de números de cartão de crédito e

fraudes nas telecomunicações● Têm a tendência a se gabar de seus feitos

8

Perfil do hacker

● Internos (insiders):● Funcionários e ex-funcionários descontentes

● Podem estar envolvidos em cargos relacionados a tecnologia● São auxiliados pelos privilégios que têm ou dos quais são encarregados como parte

de seu trabalho● Esses hackers oferecem maior ameaça de segurança

● Ladrões menores● Incluem funcionários, terceirizados, consultores● São motivados por ganância ou necessidade de sustentar hábitos como drogas e

jogo● Oportunistas; tiram vantagem da segurança interna fraca● São conhecedores de computação

9

Perfil do hacker

● Hackers de velha guarda:● Parecem não ter intenção criminosa● Desrespeito alarmante pela propriedade particular● Parecem estar interessados no desafio intelectual

10

Perfil do hacker

● Codificadores (coders)● Agem como mentores dos novatos● Escrevem scripts e ferramentas que outros usam● Motivados por um senso de poder e prestígio● Perigosos, têm motivações ocultas, usam cavalos de troia

11

Perfil do hacker

● Criminosos profissionais● Especialistas em espionagem corporativa● Bandidos de aluguel● Altamente motivados, treinados, têm acesso a equipamentos de

ponta

12

Perfil do hacker

● Guerreiros da informação/terroristas-cibernéticos (cyberterroristas):● Aumento do número de atividades desde a queda de muitas agências

de inteligência do bloco oriental● Possuem muitos recursos● Misturam retórica política com atividade criminosa

13

Perfil do hacker

● Hack-ativistas● Trabalham para erradicar ou prejudicar entidades ou causas que

consideram malignas● Misturam retórica política com atividade criminosa● Ativistas políticos● Envolvidos em hack-ativismo

14

Certificações de segurança de fornecedores neutros

● Para obter mais informações sobre certificações de fornecedores neutros, visite os seguintes sites:● Associação de Controle e Auditoria de Sistemas de Informação

(ISACA): www.isaca.org● EC-Council: www.eccouncil.org/certification.aspx● ISC2: www.isc2.org● CompTIA:

http://certification.comptia.org/getCertified/certifications/security.aspx● Certificação de Garantia da Informação Global (GIAC):

www.giac.org/certifications/security

http://www.isaca.org/

http://www.eccouncil.org/certification.aspx

http://www.isc2.org/

http://certification.comptia.org/getCertified/certifications/security.aspx

http://www.giac.org/certifications/security

15

ISACA

16

EC-Council

17

Certificações de segurança específico de fornecedores

● Algumas certificações podem se úteis para quem está começando na área de segurança de redes, ajudando-os a conseguir seu primeiro emprego.● CCNA da Cisco● MCITP da Microsoft● Outros..

18

Terminologias

● Algumas terminologias do mundo dos hackers● Carding: fraudes com número de cartão de crédito● Easter eggs: uma mensagem, imagem ou som que um programador

esconde em seu software, como brincadeira (apt-get moo)● Media whore: hacker que quer ganhar atenção da mídia● Worm: similar a vírus, mas tem a capacidade de autorreplicação

espalhando-se de uma rede para outra rapidamente sem precisar ser ativado elo usuário.

19

O planejamento de um ataque

● Depende da motivação● Passos:

1) Obtenção de informação sobre o sistema a ser atacado

2) Ataque● Monitorando a rede → vazamento de informações confidenciais● Penetrando no sistema → fraude ou perdas financeiras● Inserindo códigos ou informações falsas no sistema → perda de confiança e reputação● Enviando uma enxurrada de pacotes desnecessários ao sistema → negação ou corrupção de

serviços

3) Encobrir a ação● Substituição ou remoção de arquivos de logs● Troca de arquivos importantes do sistema para mascarar atividades● Formatação completa

20

Reconhecimento e suas técnicas

● Reconhecimento é o ato de localizar alvos e desenvolver métodos necessários para atacá-los com sucesso● As informações que os hackers usam são as mesmas, independente de empregá-la como parte

de um teste de invasão autorizado ou de um ato de vigilância de um invasor. Fontes de informação:● Localização física do alvo● Dados sobre o usuário em seu local de trabalho● Atalhos administrativos (atribuir mesma senha a novas contas e esperar que o usuário troque depois)● Sistemas operacionais● Configuração de hardware● Serviços disponíveis● Estratégia de negócios● Lista de telefones dos funcionários● Estrutura organizacional de pessoal● Memorando internos● Todas as informações publicadas disponíveis sobre a empresa

21


Esses tipos de informação permitem ao hacker descobrir os pontos fracos de segurança da organização-alvo e identificar as melhores técnicas e ferramentas possíveis para perpetrar os ataques.

22


● Reconhecimento legal● É completamente legal procurar todas as informações disponíveis

sobre uma empresa na internet, incluindo seus números de telefone, horários de funcionamento e endereços● Ligar, ir nas instalações físicas (tours), ficar amigo de alguém que trabalha na

empresa

● Reconhecimento ilegal● Há uma grande quantidade de técnicas de reconhecimento

totalmente ilegais● Desenvolver empresa de fachada para finalidade específica de roubar ou fraudar a

empresa-alvo, roubar lixo é ilegal em alguns locais, entrar em casa ou escritório sem permissão, instalar keyloggers, farejador.

23


● Reconhecimento Questionável● As leis locais variam, mas, em boa parte do mundo:

● Provavelmente é legal fazer um escaneamento passivo de portas, ler os nomes na correspondência ou visualizar detalhes em um documento que está sobre uma escrivaninha, pegar o lixo e dar uma olhada antes de entregá-lo para um representante da empresa.

● Provavelmente é ilegal ficar de tocaia para descobrir os movimentos de pessoas importantes, no entanto, se o hacker não estiver invadindo ou atraindo a atenção de alguma outra forma, pode ser legal. War driving – ou seja, checar redes wireless sem segurança – é legal em alguns locais e em outros não.

24


● Dependendo da tecnologia utilizada e da natureza da investigação, os métodos de reconhecimento podem se enquadrar em três categorias● Engenharia social● Mergulho no lixo● Rastreio de pegadas.

25


● Técnicas de engenharia social● Personificação:

● Nível individual: se passar por alguém, utilizar crachás, roupas..● Nível funcional: abordar usuários dizendo ser o administrador, fingir-se um usuário em dúvida, ligar

para o administrador de sistemas as 18 horas da sexta feira pedindo trecho de código...

● Suborno: ● Verificar funcionários com situação financeira ruim, viciados em jogos e/ou drogas, insatisfeitos● Uma vez que o suborno foi aceito, a chantagem é uma tática para manter o funcionário-alvo

trabalhando para o hacker

● Fraude:● Entrar na empresa como funcionário ou consultor

● Afinidade:● O agressor pode usar essa sensação de afinidade para convencer vítimas de que elas têm muito em

comum e de que compartilham os mesmos valores.

26


● Técnicas de engenharia social● Engenharia social reversa:

● É uma operação trapaceira na qual o hacker finge ser uma autoridade investida de poder para resolver os problemas das pessoas. A questão é que os problemas em geral são causados pelo próprio hacker

● Intrusão física:● Refere-se a engenheiros sociais que realmente entram nas instalações da organização

com o único propósito de coletar informação

● Meios de comunicação:● Quando a intrusão física não é uma possibilidade, os hackers usam às vezes, os meios

de comunicação que ajudam os engenheiros sociais a exercer suas atividades remotamente, levantando assim menos suspeita● Correspondência escrita, e-mail, mensagem instantânea, redes sociais e telefone

27


● Técnicas de mergulho no lixo (dumpster diving, trashing)● O ato de revirar o lixo de uma organização – em geral é uma grande

fonte de informações importantes, assim como de hardware e software reais● Recibos de vendas e papéis que contenham dados pessoais ou informações de

cartão de crédito, documentos picados podem levar a vazamentos de informação, etiquetas sem uso ou impressas com erro e manuais de políticas...

● É muito importante o processo de DESCARTE!!!

28


● Técnicas de rastreio de pegadas na internet (footprinting)● Há cinco métodos de rastreio de pegadas na internet

● Redes sociais● Busca na web● Enumeração de rede:

● WHOIS é uma ferramenta de internet que ajuda a recuperar informações específicas de nome de domínio do banco de dados da organização certificada Network Solutions, Inc. (NSI). whois options target

● Reconhecimento baseado no Sistema de Nomes de Domínio (DNS)● Há vários sites que fornecem ferramentas de consulta a DNS: www.dnsstuff.com, www.network-tools.com

, www.networksolutions.com● O comando host é um programa utilitário que permite realizar uma consulta ao DNS● O Buscador de Informação de Domínio (DIG) é outro comando utilizado para coletar dados relacionados

ao DNS dig domain_name any● O utilitário nslookup permite a qualquer um consultar informações em um servidor DNS, como nomes de

hosts e endereços. nslookup-type=any domain_name

http://www.dnsstuff.com/

http://www.network-tools.com/

http://www.networksolutions.com/

29


● Técnicas de rastreio de pegadas na internet (footprinting)● Há cinco métodos de rastreio de pegadas na internet

● Reconhecimento baseado em rede:● O utilitário ping faz parte do Protocolo de Mensagens de Controle de Internet (ICMP) e ajuda

a verificar se um host está ativo. ping target_host● Em um sistema operacional baseado no UNIX, você pode rastrear todos os servidores

intermediários usando o comando tracerout. traceroute target_host● O comando netstat permite visualizar todas as conexões do Protocolo de Controle de Trans-

missão (TCP), do Protocolo Datagrama do Usuário (UDP) e do IP de um computador, também ajuda a localizar os endereços IP dos computadores, os endereços IP dos hosts conectados a esses computadores e as portas dos hosts nas quais os computadores estão conectados. netstat –h

30

Exemplos

● Exemplo: Michael Calce (Mafiaboy), ● Ataque de negação de serviço contra sites de reputação, ele tinha 15 anos e o dano

foi de 1.2 bilhões

● Exemplo: Timothy Allen Lloyd● Instalou uma bomba lógica que destruiu softwares de manufatura da Omega

Engeneering Corp.● Exemplo: Kevin Mitnick

● Engenharia social e técnicas de apropriação de informações confidenciais

31

Exercícios

1)Quais são as três categorias de reconhecimento?

2)Defina “reconhecimento legal” e discuta alguns exemplos.

3)Quais são os métodos usados na engenharia social?

4)O que é a técnica de mergulho no lixo?

5)Quais são os métodos usados no rastreio de pegadas?

32

Exercício para a próxima aula

Descubra tudo o que puder sobre o domínio e a rede de sua instituição de ensino.

1) Utilize o método de busca para o rastreio de pegadas na internet.

2) Utilize o método de enumeração de rede para o rastreio de pegadas na internet.

3) Utilize o reconhecimento baseado em DNS para o rastreio de pegadas na internet.

4) Utilize o reconhecimento baseado em rede para o rastreio de pegadas na internet.

33

Bibliografia básica

● BASTA, Alfred; BASTA, Nadine; BROWN, Mary. Segurança de computadores e teste de invasão. Tradução Lizandra Magon de Almeida; revisão técnica Ronaldo Augusto de Lara Gonçalves. 2.ed norte-americana. São Paulo: Cengage Learning, 2014.

● Lima, H.C.S. Notas de Aula. Universidade Federal de Ouro Preto

os riscos que rondam as organizações – aula...

Documents