os riscos que rondam as organizações – aula...
TRANSCRIPT
Os Riscos que Rondam as Organizações – Aula 03
Profa Janniele Aparecida Soares Araujo
CSI463 – Segurança e Auditoria de Sistemas
2
Os riscos que rondam as organizações
● A segurança é essencial para a continuidade do negócio● Atacantes● Possíveis ataques● Técnicas e ferramentas utilizadas
3
Os riscos que rondam as organizações
● Atacante (hacker)● Apresentam objetivos diferentes e seu sucesso depende do grau de
segurança dos alvos e da capacidade do hacker.● Se intitulam como pessoas com conhecimento para invadir sistemas
sem intuito de causar danos, mas sim com desafio às suas habilidades.
4
Os riscos que rondam as organizações
● O impacto do Raqueamento antiético● Craqueamento é o termo utilizado para o raqueamento ilegal de
um sistema de computador sem a permissão de seu proprietário. Raqueamento é o termo frequentemente utilizado no lugar de “craqueamento”, mas alguns hackers o consideram ofensivo.
● Os hackers legais que queriam manter o termo “hackers” responderam a essa tendência divulgando o termo cracker para caracterizar quem está do “lado obscuro” da computação.● Os hackers são normalmente classificados em dois grupos: Chapéu Branco, ou
hackers “bons” e éticos; e Chapéu Preto, ou hackers “ruins” e maliciosos.
5
Os riscos que rondam as organizações
A variedade de motivações dos hackers/crackers de chapéu branco/chapéu preto
Modelos dos chapéus branco e preto. Fonte: Segurança de computadores e teste de invasão © Cengage Learning 2014
6
Perfil do hacker
● Novatos (Script Kiddies, newbies):● Confiam em kits de ferramentas para fazer seus ataques● Habilidades limitadas de computação e programação● Podem causar muitos danos a sistemas porque geralmente não
entendem como os ataques funcionam● Buscam atenção da mídia
7
Perfil do hacker
● Punks cibernéticos (Cyberpunks)● Capazes de escrever o próprio software● Possuem uma compreensão dos sistemas que estão atacando● Muitos estão envolvidos em roubos de números de cartão de crédito e
fraudes nas telecomunicações● Têm a tendência a se gabar de seus feitos
8
Perfil do hacker
● Internos (insiders):● Funcionários e ex-funcionários descontentes
● Podem estar envolvidos em cargos relacionados a tecnologia● São auxiliados pelos privilégios que têm ou dos quais são encarregados como parte
de seu trabalho● Esses hackers oferecem maior ameaça de segurança
● Ladrões menores● Incluem funcionários, terceirizados, consultores● São motivados por ganância ou necessidade de sustentar hábitos como drogas e
jogo● Oportunistas; tiram vantagem da segurança interna fraca● São conhecedores de computação
9
Perfil do hacker
● Hackers de velha guarda:● Parecem não ter intenção criminosa● Desrespeito alarmante pela propriedade particular● Parecem estar interessados no desafio intelectual
10
Perfil do hacker
● Codificadores (coders)● Agem como mentores dos novatos● Escrevem scripts e ferramentas que outros usam● Motivados por um senso de poder e prestígio● Perigosos, têm motivações ocultas, usam cavalos de troia
11
Perfil do hacker
● Criminosos profissionais● Especialistas em espionagem corporativa● Bandidos de aluguel● Altamente motivados, treinados, têm acesso a equipamentos de
ponta
12
Perfil do hacker
● Guerreiros da informação/terroristas-cibernéticos (cyberterroristas):● Aumento do número de atividades desde a queda de muitas agências
de inteligência do bloco oriental● Possuem muitos recursos● Misturam retórica política com atividade criminosa
13
Perfil do hacker
● Hack-ativistas● Trabalham para erradicar ou prejudicar entidades ou causas que
consideram malignas● Misturam retórica política com atividade criminosa● Ativistas políticos● Envolvidos em hack-ativismo
14
Certificações de segurança de fornecedores neutros
● Para obter mais informações sobre certificações de fornecedores neutros, visite os seguintes sites:● Associação de Controle e Auditoria de Sistemas de Informação
(ISACA): www.isaca.org● EC-Council: www.eccouncil.org/certification.aspx● ISC2: www.isc2.org● CompTIA:
http://certification.comptia.org/getCertified/certifications/security.aspx● Certificação de Garantia da Informação Global (GIAC):
www.giac.org/certifications/security
15
ISACA
16
EC-Council
17
Certificações de segurança específico de fornecedores
● Algumas certificações podem se úteis para quem está começando na área de segurança de redes, ajudando-os a conseguir seu primeiro emprego.● CCNA da Cisco● MCITP da Microsoft● Outros..
18
Terminologias
● Algumas terminologias do mundo dos hackers● Carding: fraudes com número de cartão de crédito● Easter eggs: uma mensagem, imagem ou som que um programador
esconde em seu software, como brincadeira (apt-get moo)● Media whore: hacker que quer ganhar atenção da mídia● Worm: similar a vírus, mas tem a capacidade de autorreplicação
espalhando-se de uma rede para outra rapidamente sem precisar ser ativado elo usuário.
19
O planejamento de um ataque
● Depende da motivação● Passos:
1) Obtenção de informação sobre o sistema a ser atacado
2) Ataque● Monitorando a rede → vazamento de informações confidenciais● Penetrando no sistema → fraude ou perdas financeiras● Inserindo códigos ou informações falsas no sistema → perda de confiança e reputação● Enviando uma enxurrada de pacotes desnecessários ao sistema → negação ou corrupção de
serviços
3) Encobrir a ação● Substituição ou remoção de arquivos de logs● Troca de arquivos importantes do sistema para mascarar atividades● Formatação completa
20
Reconhecimento e suas técnicas
● Reconhecimento é o ato de localizar alvos e desenvolver métodos necessários para atacá-los com sucesso● As informações que os hackers usam são as mesmas, independente de empregá-la como parte
de um teste de invasão autorizado ou de um ato de vigilância de um invasor. Fontes de informação:● Localização física do alvo● Dados sobre o usuário em seu local de trabalho● Atalhos administrativos (atribuir mesma senha a novas contas e esperar que o usuário troque depois)● Sistemas operacionais● Configuração de hardware● Serviços disponíveis● Estratégia de negócios● Lista de telefones dos funcionários● Estrutura organizacional de pessoal● Memorando internos● Todas as informações publicadas disponíveis sobre a empresa
21
Reconhecimento e suas técnicas
Esses tipos de informação permitem ao hacker descobrir os pontos fracos de segurança da organização-alvo e identificar as melhores técnicas e ferramentas possíveis para perpetrar os ataques.
22
Reconhecimento e suas técnicas
● Reconhecimento legal● É completamente legal procurar todas as informações disponíveis
sobre uma empresa na internet, incluindo seus números de telefone, horários de funcionamento e endereços● Ligar, ir nas instalações físicas (tours), ficar amigo de alguém que trabalha na
empresa
● Reconhecimento ilegal● Há uma grande quantidade de técnicas de reconhecimento
totalmente ilegais● Desenvolver empresa de fachada para finalidade específica de roubar ou fraudar a
empresa-alvo, roubar lixo é ilegal em alguns locais, entrar em casa ou escritório sem permissão, instalar keyloggers, farejador.
23
Reconhecimento e suas técnicas
● Reconhecimento Questionável● As leis locais variam, mas, em boa parte do mundo:
● Provavelmente é legal fazer um escaneamento passivo de portas, ler os nomes na correspondência ou visualizar detalhes em um documento que está sobre uma escrivaninha, pegar o lixo e dar uma olhada antes de entregá-lo para um representante da empresa.
● Provavelmente é ilegal ficar de tocaia para descobrir os movimentos de pessoas importantes, no entanto, se o hacker não estiver invadindo ou atraindo a atenção de alguma outra forma, pode ser legal. War driving – ou seja, checar redes wireless sem segurança – é legal em alguns locais e em outros não.
24
Reconhecimento e suas técnicas
● Dependendo da tecnologia utilizada e da natureza da investigação, os métodos de reconhecimento podem se enquadrar em três categorias● Engenharia social● Mergulho no lixo● Rastreio de pegadas.
25
Reconhecimento e suas técnicas
● Técnicas de engenharia social● Personificação:
● Nível individual: se passar por alguém, utilizar crachás, roupas..● Nível funcional: abordar usuários dizendo ser o administrador, fingir-se um usuário em dúvida, ligar
para o administrador de sistemas as 18 horas da sexta feira pedindo trecho de código...
● Suborno: ● Verificar funcionários com situação financeira ruim, viciados em jogos e/ou drogas, insatisfeitos● Uma vez que o suborno foi aceito, a chantagem é uma tática para manter o funcionário-alvo
trabalhando para o hacker
● Fraude:● Entrar na empresa como funcionário ou consultor
● Afinidade:● O agressor pode usar essa sensação de afinidade para convencer vítimas de que elas têm muito em
comum e de que compartilham os mesmos valores.
26
Reconhecimento e suas técnicas
● Técnicas de engenharia social● Engenharia social reversa:
● É uma operação trapaceira na qual o hacker finge ser uma autoridade investida de poder para resolver os problemas das pessoas. A questão é que os problemas em geral são causados pelo próprio hacker
● Intrusão física:● Refere-se a engenheiros sociais que realmente entram nas instalações da organização
com o único propósito de coletar informação
● Meios de comunicação:● Quando a intrusão física não é uma possibilidade, os hackers usam às vezes, os meios
de comunicação que ajudam os engenheiros sociais a exercer suas atividades remotamente, levantando assim menos suspeita● Correspondência escrita, e-mail, mensagem instantânea, redes sociais e telefone
27
Reconhecimento e suas técnicas
● Técnicas de mergulho no lixo (dumpster diving, trashing)● O ato de revirar o lixo de uma organização – em geral é uma grande
fonte de informações importantes, assim como de hardware e software reais● Recibos de vendas e papéis que contenham dados pessoais ou informações de
cartão de crédito, documentos picados podem levar a vazamentos de informação, etiquetas sem uso ou impressas com erro e manuais de políticas...
● É muito importante o processo de DESCARTE!!!
28
Reconhecimento e suas técnicas
● Técnicas de rastreio de pegadas na internet (footprinting)● Há cinco métodos de rastreio de pegadas na internet
● Redes sociais● Busca na web● Enumeração de rede:
● WHOIS é uma ferramenta de internet que ajuda a recuperar informações específicas de nome de domínio do banco de dados da organização certificada Network Solutions, Inc. (NSI). whois options target
● Reconhecimento baseado no Sistema de Nomes de Domínio (DNS)● Há vários sites que fornecem ferramentas de consulta a DNS: www.dnsstuff.com, www.network-tools.com
, www.networksolutions.com● O comando host é um programa utilitário que permite realizar uma consulta ao DNS● O Buscador de Informação de Domínio (DIG) é outro comando utilizado para coletar dados relacionados
ao DNS dig domain_name any● O utilitário nslookup permite a qualquer um consultar informações em um servidor DNS, como nomes de
hosts e endereços. nslookup-type=any domain_name
29
Reconhecimento e suas técnicas
● Técnicas de rastreio de pegadas na internet (footprinting)● Há cinco métodos de rastreio de pegadas na internet
● Reconhecimento baseado em rede:● O utilitário ping faz parte do Protocolo de Mensagens de Controle de Internet (ICMP) e ajuda
a verificar se um host está ativo. ping target_host● Em um sistema operacional baseado no UNIX, você pode rastrear todos os servidores
intermediários usando o comando tracerout. traceroute target_host● O comando netstat permite visualizar todas as conexões do Protocolo de Controle de Trans-
missão (TCP), do Protocolo Datagrama do Usuário (UDP) e do IP de um computador, também ajuda a localizar os endereços IP dos computadores, os endereços IP dos hosts conectados a esses computadores e as portas dos hosts nas quais os computadores estão conectados. netstat –h
30
Exemplos
● Exemplo: Michael Calce (Mafiaboy), ● Ataque de negação de serviço contra sites de reputação, ele tinha 15 anos e o dano
foi de 1.2 bilhões
● Exemplo: Timothy Allen Lloyd● Instalou uma bomba lógica que destruiu softwares de manufatura da Omega
Engeneering Corp.● Exemplo: Kevin Mitnick
● Engenharia social e técnicas de apropriação de informações confidenciais
31
Exercícios
1)Quais são as três categorias de reconhecimento?
2)Defina “reconhecimento legal” e discuta alguns exemplos.
3)Quais são os métodos usados na engenharia social?
4)O que é a técnica de mergulho no lixo?
5)Quais são os métodos usados no rastreio de pegadas?
32
Exercício para a próxima aula
Descubra tudo o que puder sobre o domínio e a rede de sua instituição de ensino.
1) Utilize o método de busca para o rastreio de pegadas na internet.
2) Utilize o método de enumeração de rede para o rastreio de pegadas na internet.
3) Utilize o reconhecimento baseado em DNS para o rastreio de pegadas na internet.
4) Utilize o reconhecimento baseado em rede para o rastreio de pegadas na internet.
33
Bibliografia básica
● BASTA, Alfred; BASTA, Nadine; BROWN, Mary. Segurança de computadores e teste de invasão. Tradução Lizandra Magon de Almeida; revisão técnica Ronaldo Augusto de Lara Gonçalves. 2.ed norte-americana. São Paulo: Cengage Learning, 2014.
● Lima, H.C.S. Notas de Aula. Universidade Federal de Ouro Preto