segurança na internet - verdade ou mentira
TRANSCRIPT
-
8/6/2019 Segurana na Internet - Verdade ou mentira
1/61
W. Benits, Ph.D. JUL 2009
Segurana naSegurana na
Internet:Internet:Verdade ou Mentira ?Verdade ou Mentira ?
Waldyr Benits,Ph.D.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
2/61
W. Benits, Ph.D. JUL 2009
Acho que h um monte de pessoasque comprariam e venderiam online
hoje, mas quando chegasse a hora de
digitar o nmero do carto de crditoelas pensariam duas vezes, pois elasno esto confiantes sobre o que
poder acontecer depois.
Bill Gates
-
8/6/2019 Segurana na Internet - Verdade ou mentira
3/61
W. Benits, Ph.D. JUL 2009
Objetivo
Mostrar como a Internet, apesar deessencial para a rapidez e eficincia nas
comunicaes no mundo moderno,
apresenta inmeras vulnerabilidades quepodem ser exploradas a fim de se obter dados sigilosos, podendo causar:
Danos imagem;Prejuzos financeiros;
Risco Segurana Nacional.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
4/61
W. Benits, Ph.D. JUL 2009
A Criptografia
-
8/6/2019 Segurana na Internet - Verdade ou mentira
5/61
W. Benits, Ph.D. JUL 2009
Por milhares de anos, reis, rainhas egenerais confiaram em comunicaeseficientes para governar seus Pases ecomandar seus Exrcitos. Ao mesmo
tempo, todos estavam cientes das
consequncias de suas mensagenscarem em mos erradas, revelando
preciosos segredos para Naes rivais einformao vital para foras oponentes.Foi a ameaa de interceptao inimiga
que motivou o desenvolvimento decdigos e cifras: tcincas para disfararuma mensagem de modo que somente o
destinatrio pudesse l-la.The Code Book
Simon Sigh
-
8/6/2019 Segurana na Internet - Verdade ou mentira
6/61
W. Benits, Ph.D. JUL 2009
Em linhas gerais
-
8/6/2019 Segurana na Internet - Verdade ou mentira
7/61
W. Benits, Ph.D. JUL 2009
Criptgrafos X Criptanalistas
Hoje em dia, pode-se dizer que a batalha foivencida pelos criptlogos;
Ocasionalmente, ocorrero erros que permitiroao criptanalista quebrar uma cifra;
Entretanto, quando um sistema suficientemente bom e propriamente usado, ele
no pode ser quebrado; Neste caso, a nica forma de uma mensagemcifrada ser lida hoje em dia por meios no-criptogrficos.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
8/61
W. Benits, Ph.D. JUL 2009
Segurana da Informao
A Criptografia uma camada adicional deproteo (muito importante!), mas por si sno resolve!
De nada valem algoritmos criptogrficos
robustos, chaves longas, VPN etc, se no h: Controles de Acesso (Segurana das Instalaes);
Credenciamento de Pessoal (Segurana doPessoal);
Controle na reproduo, impresso e distribuio.
Temos que nos preocupar com asoutras formas de se obter uma
informao segura.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
9/61
W. Benits, Ph.D. JUL 2009
idias O termo Hacker; Hacker White-hat ou tico; Penetration Test preciso saber onde est a
porta aberta, para que possamos fech-la; Estamos lutando contra um inimigo altamenteevoludo (No tem rosto, no tem voz, no temum dossi, nem um histrico) muito difcil
ser rastreado e punido; O grande problema do ser humano:complacncia
Somente reagimos depois que algo acontece
Somos reativos, no pr-ativos.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
10/61
W. Benits, Ph.D. JUL 2009
Ataques Cibernticos
Entre as 3 maiores ameaas mundiais(segundo FBI);
Atrs apenas para Guerra Nuclear eArmas de destruio em massa;
Considerados como uma Ferramenta de
Guerra!
-
8/6/2019 Segurana na Internet - Verdade ou mentira
11/61
W. Benits, Ph.D. JUL 2009
Um exemploOs Cadetes trocam as Trincheiras porFirewalls
Trecho do Artigo original publicado pelo jornal New YorkTimes, em 11 de maio de 2009, sob o ttulo CadetsTrade the Trenches for Firewalls:
(...)Os jogos de guerra ciberntica em WestPoint so sum exemplo de uma elevada preocupao vigente entreos militares da ateno que se deve dar ameaa de umataque por computador sendo to sria quanto umataque executado por um avio bombardeiro ou por umabrigada de combate. Dificilmente existe uma unidade ou
quartel general militar Americano que no tenha recebidoordem para analisar o risco de ataques cibernticos nocumprimento de sua misso e para treinar comocontra atac-los. Se os hackers puderem ter sucesso,eles podem alterar as informaes na rede e truncar ascomunicaes pela Internet.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
12/61
W. Benits, Ph.D. JUL 2009
Nos jogos de guerra em West Point, equipes tiveram que estabelecer uma rede segurade computadores e proteg-la contra ataques cibernticos.
Foto: The New YorkTimes
-
8/6/2019 Segurana na Internet - Verdade ou mentira
13/61
W. Benits, Ph.D. JUL 2009
Premissas
Sem isso, a falha de segurana inevitvel ! No podemos pensar em segurana sem
pensar, considerar e incorporar osriscos envolvidos.
Para pegar um ladro, voctem que pensar como ele;
Usar as tcnicas deSegurana da Informao compaixo e habilidade.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
14/61
W. Benits, Ph.D. JUL 2009
Em momentos de crise,s a imaginao maisimportante que oconhecimento.
Use a Imaginao !
-
8/6/2019 Segurana na Internet - Verdade ou mentira
15/61
W. Benits, Ph.D. JUL 2009
Gerenciamento de Riscos
Aceitar
Mitigar
Transferir Ignorar
-
8/6/2019 Segurana na Internet - Verdade ou mentira
16/61
W. Benits, Ph.D. JUL 2009
Como pensamos...
-
8/6/2019 Segurana na Internet - Verdade ou mentira
17/61
W. Benits, Ph.D. JUL 2009
Tenho Antivrus e Firewall,estou seguro!
Ser humano: o elo mais fraco Engenharia Social
-
8/6/2019 Segurana na Internet - Verdade ou mentira
18/61
W. Benits, Ph.D. JUL 2009
J comprei vrias vezes pelaInternet, sempre acesso meu banco
online e nunca pegou nada !!!
Tomando os cuidados bsicos,
voc evita a maioria dos
ataques, mas se voc forescolhido como alvo, fica
difcil se proteger !!
-
8/6/2019 Segurana na Internet - Verdade ou mentira
19/61
W. Benits, Ph.D. JUL 2009
Como o crackerage ...
-
8/6/2019 Segurana na Internet - Verdade ou mentira
20/61
W. Benits, Ph.D. JUL 2009
Falhas de Segurana
Programas
M configurao Velocidade da Informao falhas so
descobertas e divulgadas (exploradas)
muito antes das correesb1
-
8/6/2019 Segurana na Internet - Verdade ou mentira
21/61
Slide 20
b1 Falar que os softwares possuem hj milhes de linhas de cdigo, portanto muito comum haver erros (" bugs"), alguns intencionais,
outros no. Somado a isso, temos o fato de que os softwares esto sendo produzidos hj a uma velocidade muito grande para atenders demandas do mercado, o que representa uma maior probabilidade de ocorrerem eros. Obviamente, nem todos os bugs significaro
uma falha de segurana, mas basta que apenas um desses bugs represente uma falha, que a porta estar aberta.benits, 8/10/2009
-
8/6/2019 Segurana na Internet - Verdade ou mentira
22/61
W. Benits, Ph.D. JUL 2009
Engenharia Social Principais Tcnicas
Plantar Phishing, Trojan, keylogger,screenlogger (jogar iscas);
Obter dados sensveis por meio decuriosidade, confiana, simpatia,
medo, culpa. Recomendaes
Cuidado com o que fala!
Nunca, never, jamais clicar em linksenviados (mesmo por conhecidos);
Cuidado com Messengers (MSN,Yahoo!, ICQ) e sites deRelacionamento (Orkut, Facebook,
Twitteretc etc).
Kevin Mitinick
-
8/6/2019 Segurana na Internet - Verdade ou mentira
23/61
W. Benits, Ph.D. JUL 2009
Centenas de Ameaas
Vrus
Worms
Trojans
Phishing
Keylogger
Screenlogger
-
8/6/2019 Segurana na Internet - Verdade ou mentira
24/61
W. Benits, Ph.D. JUL 2009
Um exemplo
-
8/6/2019 Segurana na Internet - Verdade ou mentira
25/61
W. Benits, Ph.D. JUL 2009
Alvos
Principais
-
8/6/2019 Segurana na Internet - Verdade ou mentira
26/61
W. Benits, Ph.D. JUL 2009
Solues de SeguranaXAtaques
-
8/6/2019 Segurana na Internet - Verdade ou mentira
27/61
W. Benits, Ph.D. JUL 2009
Site SeguroKEYLOGGER
-
8/6/2019 Segurana na Internet - Verdade ou mentira
28/61
W. Benits, Ph.D. JUL 2009
Teclado VirtualSCREENLOGGER
-
8/6/2019 Segurana na Internet - Verdade ou mentira
29/61
W. Benits, Ph.D. JUL 2009
Tabela de senhasTR
OJAN
-
8/6/2019 Segurana na Internet - Verdade ou mentira
30/61
W. Benits, Ph.D. JUL 2009
Como se proteger...
-
8/6/2019 Segurana na Internet - Verdade ou mentira
31/61
W. Benits, Ph.D. JUL 2009
PROTEO PREVENO DETECO RESPOSTA= + +
Controle de Acesso Firewall Criptografia
...
Logs IDS Honeypots
...
Backup Grupo de Tratamentode Incidentes
Forense ...
-
8/6/2019 Segurana na Internet - Verdade ou mentira
32/61
W. Benits, Ph.D. JUL 2009
Pen Testing pensar como umcracker
Footprinting Varredura Enumerao Procurando por falhas Ganhando acesso
Enganar usurio Explorar falhas Explorar M configurao
Negando Servio
-
8/6/2019 Segurana na Internet - Verdade ou mentira
33/61
W. Benits, Ph.D. JUL 2009
Mentalidade de Segurana
TODOS, sem
exceo, tm
que estar
envolvidos!!
-
8/6/2019 Segurana na Internet - Verdade ou mentira
34/61
W. Benits, Ph.D. JUL 2009
-
8/6/2019 Segurana na Internet - Verdade ou mentira
35/61
W. Benits, Ph.D. JUL 2009
-
8/6/2019 Segurana na Internet - Verdade ou mentira
36/61
W. Benits, Ph.D. JUL 2009
True Life
-
8/6/2019 Segurana na Internet - Verdade ou mentira
37/61
W. Benits, Ph.D. JUL 2009
-
8/6/2019 Segurana na Internet - Verdade ou mentira
38/61
W. Benits, Ph.D. JUL 2009
Footprinting Principais Tcnicas
Google Registro.br
Uso de ferramentas (Sam Spade)
Recomendaes No colocar informaes sensveis no web
site;
Remover scripts de instalao ferramentaWeb;
Pesquisar constantemente sobre suaempresa no Google.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
39/61
W. Benits, Ph.D. JUL 2009
Varredura
Principais Tcnicas Ping na URL para descobrir IP
Descobrir portas abertas (NMAP) Recomendaes
Configurar corretamente Firewall para noresponder a ping e restringir acesso s portas
(ex. FTP, Telnet); Utilizar IDS para logar varreduras bloquear
IP.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
40/61
W. Benits, Ph.D. JUL 2009
Enumerao Principais Tcnicas
Descobrir SO; Procurar por index.htm; Enumerar usurios;
NetBios. Recomendaes
Nunca deixar pginas de ndices; Configurar SMTP para no informar
usurio inexistente; Desabilitar recursos que permitam seo
nula.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
41/61
W. Benits, Ph.D. JUL 2009
Procurando falhas Principais Tcnicas
Falhas locais e falhas remotas; Buffer overflow; Race conditions; SQL injection;
PHP injection; Cross Site Scripting (CSS ou XSS); Pesquisar falhas e vulnerabilidades na Web; Ferramentas: Languard, Nessus, NMAP etc etc
etc
Recomendaes Realizar Pen test; Inscrever-se em listas de discusso sobre falhas; Manter SO e antivrus sempre atualizado.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
42/61
W. Benits, Ph.D. JUL 2009
-
8/6/2019 Segurana na Internet - Verdade ou mentira
43/61
W. Benits, Ph.D. JUL 2009
Ganhando Acesso
Principais Tcnicas Burlar Anti-vrus
Burlar Firewall Burlar IDS
Recomendaes
No confiar 100% no AV. Use 2 sepossvel;
Configurar FW para filtrar o que entra e oque sai.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
44/61
-
8/6/2019 Segurana na Internet - Verdade ou mentira
45/61
W. Benits, Ph.D. JUL 2009
-
8/6/2019 Segurana na Internet - Verdade ou mentira
46/61
W. Benits, Ph.D. JUL 2009
Explorando falhas (just to name afew...)
Principais Tcnicas SQL injection
Ferramentas (Metasploit, Core impact)
Recomendaes Pen test antecipe-se!!!
-
8/6/2019 Segurana na Internet - Verdade ou mentira
47/61
W. Benits, Ph.D. JUL 2009
M configurao
Principais Tcnicas Senhas fracas (Brutus, Cain, etc)
SO e AV no atualizados
Recomendaes Use sempre uma combinao no lgica de
caracteres especiais, maisculas,minsculas, nmeros, com o mximo decaracteres permitido pelo sistema;
Mantenha SO e AV sempre atualizados.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
48/61
W. Benits, Ph.D. JUL 2009
DoS
Normalmente a principal ameaa
Principais Tcnicas Ping da morte
SQL injection (drop )
-
8/6/2019 Segurana na Internet - Verdade ou mentira
49/61
W. Benits, Ph.D. JUL 2009
Cyber Crime e Leis Digitais
No h legislao especfica no Pas
para crimes eletrnicos; Para alguns casos as leis existentes seaplicam (ex. racismo, calnia, ameaa,apologia s drogas, ...);
Para outros, h necessidade de leiespecfica (ex. invaso de sistemas,difuso de cdigo malicioso,...).
-
8/6/2019 Segurana na Internet - Verdade ou mentira
50/61
W. Benits, Ph.D. JUL 2009
Dicas Bsicas
-
8/6/2019 Segurana na Internet - Verdade ou mentira
51/61
W. Benits, Ph.D. JUL 2009
Dicas Bsicas
Senha na BIOS do sistema;
Informaes importantes (senhas) por
escrito; Senha de acesso de fcil adivinhao;
Antivrus e browser sempre atualizados;
Permisses de usurios, arquivos epastas;
Downloads;
Arquivos inicializao sistema.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
52/61
W. Benits, Ph.D. JUL 2009
Outras dicas (Internet banking)
Jamais fornea dados de acesso ao internet bankingemjanelas pop up ou emails;
Nunca acesse o Internet Banking atravs de linkscontidos em e-mails e nem por intermdio da opo
"Favoritos". Sempre digite o endereo completodiretamente no seu browser; Evite abrir e-mails de origem desconhecida. Evite
tambm clicar em links ou abrir arquivos anexos ao e-mail, principalmente os executveis (com extenso
.exe,
.com,
.scr,.bat); No acesse sua conta em equipamentos pblicos ou
desconhecidos, como cibercafs, escolas, bares. Elespodem estar com antivrus desatualizados, e atmesmo preparados para capturar os seus dados;
Clique no boto "Sair" sempre que terminar o uso dointernet banking.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
53/61
W. Benits, Ph.D. JUL 2009
Lies Aprendidas
Muito cuidado com a falsa noo
de segurana !!!
Se possvel, no conectarcomputadores com dadossensveis Internet !!!
-
8/6/2019 Segurana na Internet - Verdade ou mentira
54/61
W. Benits, Ph.D. JUL 2009
Finalizando ...
Ningum est 100% seguro !
mais fcil algum bad guyinvadir seusistema do que voc se defender contratodas as possibilidades existentes e aserem criadas.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
55/61
W. Benits, Ph.D. JUL 2009
A menos que ...
Minha parte favorita em ensinar tcnicas de
hacker assistir aos alunos quando elesfinalmente pegam o esprito da coisa.Normalmente, um processo de dois estgios.Primeiro, quando os alunos comeam a percebercomo alguns dos ataques so verdadeiramentemaliciosos. Alguns alunos tm uma reao bemvisceral, ocasionalmente gritam quando vem do
que os bad guys so capazes...
Ed Skoudis, Instrutor do curso de Hacker Techniques no SANS Institute.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
56/61
-
8/6/2019 Segurana na Internet - Verdade ou mentira
57/61
W. Benits, Ph.D. JUL 2009
After all ...
Voc continuaria a fazertransaes financeiras
(acesso a banco, compras)
online ????
-
8/6/2019 Segurana na Internet - Verdade ou mentira
58/61
W. Benits, Ph.D. JUL 2009
Calma! Nem tudo est perdido
Compras online com carto dbito/crdito, paypal etc Inseguro: Trojan
Baixa probabilidade Operadoras normalmente bancam o risco
Acesso a conta bancria Protocolo SSL Cadeado segurana Criptografia Tempo acesso conta Teclado Virtual Plugin de segurana
Token gerador de senhas aleatrias
Carto com senhas
-
8/6/2019 Segurana na Internet - Verdade ou mentira
59/61
W. Benits, Ph.D. JUL 2009
Objetivo
Mostrar como a Internet, apesar deessencial para a rapidez e eficincia nascomunicaes no mundo moderno,apresenta inmeras vulnerabilidades quepodem ser exploradas a fim de se obter dados sigilosos, podendo causar:
Danos imagem;Prejuzos financeiros;
Risco Segurana Nacional.
-
8/6/2019 Segurana na Internet - Verdade ou mentira
60/61
W. Benits, Ph.D. JUL 2009
Aquele que se empenha aresolver as dificuldades
resolve-as antes que elassurjam. Aquele que se
ultrapassa a venceros inimigos
triunfa antes que as suasameaas se concretizem.
Sun Tzu
OBRIGADO !!!!([email protected])
-
8/6/2019 Segurana na Internet - Verdade ou mentira
61/61
Bibliografia
S. McClure, J.Scrambay, and G. Kurtz,Hacking Exposed - Network Security
Secrets and Solutions 6th Ed. . M. Assuno, Segredos do Hacker
tico.