segurança na internet - verdade ou mentira

8/6/2019 Segurana na Internet - Verdade ou mentira

1/61

W. Benits, Ph.D. JUL 2009

Segurana naSegurana na

Internet:Internet:Verdade ou Mentira ?Verdade ou Mentira ?

Waldyr Benits,Ph.D.

([email protected])


2/61


Acho que h um monte de pessoasque comprariam e venderiam online

hoje, mas quando chegasse a hora de

digitar o nmero do carto de crditoelas pensariam duas vezes, pois elasno esto confiantes sobre o que

poder acontecer depois.

Bill Gates


3/61


Objetivo

Mostrar como a Internet, apesar deessencial para a rapidez e eficincia nas

comunicaes no mundo moderno,

apresenta inmeras vulnerabilidades quepodem ser exploradas a fim de se obter dados sigilosos, podendo causar:

Danos imagem;Prejuzos financeiros;

Risco Segurana Nacional.


4/61


A Criptografia


5/61


Por milhares de anos, reis, rainhas egenerais confiaram em comunicaeseficientes para governar seus Pases ecomandar seus Exrcitos. Ao mesmo

tempo, todos estavam cientes das

consequncias de suas mensagenscarem em mos erradas, revelando

preciosos segredos para Naes rivais einformao vital para foras oponentes.Foi a ameaa de interceptao inimiga

que motivou o desenvolvimento decdigos e cifras: tcincas para disfararuma mensagem de modo que somente o

destinatrio pudesse l-la.The Code Book

Simon Sigh


6/61


Em linhas gerais


7/61


Criptgrafos X Criptanalistas

Hoje em dia, pode-se dizer que a batalha foivencida pelos criptlogos;

Ocasionalmente, ocorrero erros que permitiroao criptanalista quebrar uma cifra;

Entretanto, quando um sistema suficientemente bom e propriamente usado, ele

no pode ser quebrado; Neste caso, a nica forma de uma mensagemcifrada ser lida hoje em dia por meios no-criptogrficos.


8/61


Segurana da Informao

A Criptografia uma camada adicional deproteo (muito importante!), mas por si sno resolve!

De nada valem algoritmos criptogrficos

robustos, chaves longas, VPN etc, se no h: Controles de Acesso (Segurana das Instalaes);

Credenciamento de Pessoal (Segurana doPessoal);

Controle na reproduo, impresso e distribuio.

Temos que nos preocupar com asoutras formas de se obter uma

informao segura.


9/61


idias O termo Hacker; Hacker White-hat ou tico; Penetration Test preciso saber onde est a

porta aberta, para que possamos fech-la; Estamos lutando contra um inimigo altamenteevoludo (No tem rosto, no tem voz, no temum dossi, nem um histrico) muito difcil

ser rastreado e punido; O grande problema do ser humano:complacncia

Somente reagimos depois que algo acontece

Somos reativos, no pr-ativos.


10/61


Ataques Cibernticos

Entre as 3 maiores ameaas mundiais(segundo FBI);

Atrs apenas para Guerra Nuclear eArmas de destruio em massa;

Considerados como uma Ferramenta de

Guerra!


11/61


Um exemploOs Cadetes trocam as Trincheiras porFirewalls

Trecho do Artigo original publicado pelo jornal New YorkTimes, em 11 de maio de 2009, sob o ttulo CadetsTrade the Trenches for Firewalls:

(...)Os jogos de guerra ciberntica em WestPoint so sum exemplo de uma elevada preocupao vigente entreos militares da ateno que se deve dar ameaa de umataque por computador sendo to sria quanto umataque executado por um avio bombardeiro ou por umabrigada de combate. Dificilmente existe uma unidade ou

quartel general militar Americano que no tenha recebidoordem para analisar o risco de ataques cibernticos nocumprimento de sua misso e para treinar comocontra atac-los. Se os hackers puderem ter sucesso,eles podem alterar as informaes na rede e truncar ascomunicaes pela Internet.


12/61


Nos jogos de guerra em West Point, equipes tiveram que estabelecer uma rede segurade computadores e proteg-la contra ataques cibernticos.

Foto: The New YorkTimes


13/61


Premissas

Sem isso, a falha de segurana inevitvel ! No podemos pensar em segurana sem

pensar, considerar e incorporar osriscos envolvidos.

Para pegar um ladro, voctem que pensar como ele;

Usar as tcnicas deSegurana da Informao compaixo e habilidade.


14/61


Em momentos de crise,s a imaginao maisimportante que oconhecimento.

Use a Imaginao !


15/61


Gerenciamento de Riscos

Aceitar

Mitigar

Transferir Ignorar


16/61


Como pensamos...


17/61


Tenho Antivrus e Firewall,estou seguro!

Ser humano: o elo mais fraco Engenharia Social


18/61


J comprei vrias vezes pelaInternet, sempre acesso meu banco

online e nunca pegou nada !!!

Tomando os cuidados bsicos,

voc evita a maioria dos

ataques, mas se voc forescolhido como alvo, fica

difcil se proteger !!


19/61


Como o crackerage ...


20/61


Falhas de Segurana

Programas

M configurao Velocidade da Informao falhas so

descobertas e divulgadas (exploradas)

muito antes das correesb1


21/61

Slide 20

b1 Falar que os softwares possuem hj milhes de linhas de cdigo, portanto muito comum haver erros (" bugs"), alguns intencionais,

outros no. Somado a isso, temos o fato de que os softwares esto sendo produzidos hj a uma velocidade muito grande para atenders demandas do mercado, o que representa uma maior probabilidade de ocorrerem eros. Obviamente, nem todos os bugs significaro

uma falha de segurana, mas basta que apenas um desses bugs represente uma falha, que a porta estar aberta.benits, 8/10/2009


22/61


Engenharia Social Principais Tcnicas

Plantar Phishing, Trojan, keylogger,screenlogger (jogar iscas);

Obter dados sensveis por meio decuriosidade, confiana, simpatia,

medo, culpa. Recomendaes

Cuidado com o que fala!

Nunca, never, jamais clicar em linksenviados (mesmo por conhecidos);

Cuidado com Messengers (MSN,Yahoo!, ICQ) e sites deRelacionamento (Orkut, Facebook,

Twitteretc etc).

Kevin Mitinick


23/61


Centenas de Ameaas

Vrus

Worms

Trojans

Phishing

Keylogger

Screenlogger


24/61


Um exemplo


25/61


Alvos

Principais


26/61


Solues de SeguranaXAtaques


27/61


Site SeguroKEYLOGGER


28/61


Teclado VirtualSCREENLOGGER


29/61


Tabela de senhasTR

OJAN


30/61


Como se proteger...


31/61


PROTEO PREVENO DETECO RESPOSTA= + +

Controle de Acesso Firewall Criptografia

...

Logs IDS Honeypots

...

Backup Grupo de Tratamentode Incidentes

Forense ...


32/61


Pen Testing pensar como umcracker

Footprinting Varredura Enumerao Procurando por falhas Ganhando acesso

Enganar usurio Explorar falhas Explorar M configurao

Negando Servio


33/61


Mentalidade de Segurana

TODOS, sem

exceo, tm

que estar

envolvidos!!


34/61



35/61



36/61


True Life


37/61



38/61


Footprinting Principais Tcnicas

Google Registro.br

Uso de ferramentas (Sam Spade)

Recomendaes No colocar informaes sensveis no web

site;

Remover scripts de instalao ferramentaWeb;

Pesquisar constantemente sobre suaempresa no Google.


39/61


Varredura

Principais Tcnicas Ping na URL para descobrir IP

Descobrir portas abertas (NMAP) Recomendaes

Configurar corretamente Firewall para noresponder a ping e restringir acesso s portas

(ex. FTP, Telnet); Utilizar IDS para logar varreduras bloquear

IP.


40/61


Enumerao Principais Tcnicas

Descobrir SO; Procurar por index.htm; Enumerar usurios;

NetBios. Recomendaes

Nunca deixar pginas de ndices; Configurar SMTP para no informar

usurio inexistente; Desabilitar recursos que permitam seo

nula.


41/61


Procurando falhas Principais Tcnicas

Falhas locais e falhas remotas; Buffer overflow; Race conditions; SQL injection;

PHP injection; Cross Site Scripting (CSS ou XSS); Pesquisar falhas e vulnerabilidades na Web; Ferramentas: Languard, Nessus, NMAP etc etc

etc

Recomendaes Realizar Pen test; Inscrever-se em listas de discusso sobre falhas; Manter SO e antivrus sempre atualizado.


42/61



43/61


Ganhando Acesso

Principais Tcnicas Burlar Anti-vrus

Burlar Firewall Burlar IDS

Recomendaes

No confiar 100% no AV. Use 2 sepossvel;

Configurar FW para filtrar o que entra e oque sai.


44/61


45/61



46/61


Explorando falhas (just to name afew...)

Principais Tcnicas SQL injection

Ferramentas (Metasploit, Core impact)

Recomendaes Pen test antecipe-se!!!


47/61


M configurao

Principais Tcnicas Senhas fracas (Brutus, Cain, etc)

SO e AV no atualizados

Recomendaes Use sempre uma combinao no lgica de

caracteres especiais, maisculas,minsculas, nmeros, com o mximo decaracteres permitido pelo sistema;

Mantenha SO e AV sempre atualizados.


48/61


DoS

Normalmente a principal ameaa

Principais Tcnicas Ping da morte

SQL injection (drop )


49/61


Cyber Crime e Leis Digitais

No h legislao especfica no Pas

para crimes eletrnicos; Para alguns casos as leis existentes seaplicam (ex. racismo, calnia, ameaa,apologia s drogas, ...);

Para outros, h necessidade de leiespecfica (ex. invaso de sistemas,difuso de cdigo malicioso,...).


50/61


Dicas Bsicas


51/61


Dicas Bsicas

Senha na BIOS do sistema;

Informaes importantes (senhas) por

escrito; Senha de acesso de fcil adivinhao;

Antivrus e browser sempre atualizados;

Permisses de usurios, arquivos epastas;

Downloads;

Arquivos inicializao sistema.


52/61


Outras dicas (Internet banking)

Jamais fornea dados de acesso ao internet bankingemjanelas pop up ou emails;

Nunca acesse o Internet Banking atravs de linkscontidos em e-mails e nem por intermdio da opo

"Favoritos". Sempre digite o endereo completodiretamente no seu browser; Evite abrir e-mails de origem desconhecida. Evite

tambm clicar em links ou abrir arquivos anexos ao e-mail, principalmente os executveis (com extenso

.exe,

.com,

.scr,.bat); No acesse sua conta em equipamentos pblicos ou

desconhecidos, como cibercafs, escolas, bares. Elespodem estar com antivrus desatualizados, e atmesmo preparados para capturar os seus dados;

Clique no boto "Sair" sempre que terminar o uso dointernet banking.


53/61


Lies Aprendidas

Muito cuidado com a falsa noo

de segurana !!!

Se possvel, no conectarcomputadores com dadossensveis Internet !!!


54/61


Finalizando ...

Ningum est 100% seguro !

mais fcil algum bad guyinvadir seusistema do que voc se defender contratodas as possibilidades existentes e aserem criadas.


55/61


A menos que ...

Minha parte favorita em ensinar tcnicas de

hacker assistir aos alunos quando elesfinalmente pegam o esprito da coisa.Normalmente, um processo de dois estgios.Primeiro, quando os alunos comeam a percebercomo alguns dos ataques so verdadeiramentemaliciosos. Alguns alunos tm uma reao bemvisceral, ocasionalmente gritam quando vem do

que os bad guys so capazes...

Ed Skoudis, Instrutor do curso de Hacker Techniques no SANS Institute.


56/61


57/61


After all ...

Voc continuaria a fazertransaes financeiras

(acesso a banco, compras)

online ????


58/61


Calma! Nem tudo est perdido

Compras online com carto dbito/crdito, paypal etc Inseguro: Trojan

Baixa probabilidade Operadoras normalmente bancam o risco

Acesso a conta bancria Protocolo SSL Cadeado segurana Criptografia Tempo acesso conta Teclado Virtual Plugin de segurana

Token gerador de senhas aleatrias

Carto com senhas


59/61


Objetivo

Mostrar como a Internet, apesar deessencial para a rapidez e eficincia nascomunicaes no mundo moderno,apresenta inmeras vulnerabilidades quepodem ser exploradas a fim de se obter dados sigilosos, podendo causar:

Danos imagem;Prejuzos financeiros;

Risco Segurana Nacional.


60/61


Aquele que se empenha aresolver as dificuldades

resolve-as antes que elassurjam. Aquele que se

ultrapassa a venceros inimigos

triunfa antes que as suasameaas se concretizem.

Sun Tzu

OBRIGADO !!!!([email protected])


61/61

Bibliografia

S. McClure, J.Scrambay, and G. Kurtz,Hacking Exposed - Network Security

Secrets and Solutions 6th Ed. . M. Assuno, Segredos do Hacker

tico.

segurança na internet - verdade ou mentira

Documents