Apresentação Senac - FLISOL - TO 2012
-
Upload
anderson-menezes -
Category
Education
-
view
659 -
download
3
description
Transcript of Apresentação Senac - FLISOL - TO 2012
Segurança - Ataques e Defesas - [email protected]
Segurança
Considerando o que é segurança, segundo o dicionário significa:
● Condição ou estado de estar seguro ou protegido;
● Capacidade de manter seguro;
● Proteção contra a fuga ou escape;
● Profissional ou serviço responsável pela guarda e proteção de algo;
● Confiança em si mesmo.
Segurança - Ataques e Defesas - [email protected]
Princípios Básicos
Seguindo os princípios básicos da Segurança da Informação
1. Confidencialidade;
O responsável pelo controle de acesso a informação apenas por aquelas pessoas ou entidades que tenham permissões a acessar tal informação;
2. Integridade;
Garantir que a informação mantenha todas as suas características originais como determinadas pelo proprietário da informação;
3. Disponibilidade;
Define que a determinada informação esteja sempre disponível para o acesso quando necessário;
Segurança - Ataques e Defesas - [email protected]
Princípios Básicos
4. Autenticidade é;
Garantir que a informação venha da origem informada, permitindo a comunicação segura, é a garantia de que a informação a qual tem acesso é correta e de fonte confiável;
5. Legalidade;
É a propriedade que define se determinada informação, ou operação, está de acordo com as leis vigentes do país. As mesmas leis que regem um país, podem ser completamente diferentes em outro, o que pode ocasionar um série de problemas, caso o sistema de gestão não seja adaptável.
Segurança - Ataques e Defesas - [email protected]
Distúrbios ComunsPrincípio Ataque Descrição
Browsing Procurar informações sem necessariamente saber seu tipo
Confidencialidade Shouder surfing Olhar sobre o ombro da pessoa o que é digitado
Engenharia Social Finger ser alguém com a intenção de ter acesso a informação.
Modificar a Mensagem Intercerptar a mensagem, altera-la e enviar ao seu destino original
Integridade Alteração de Logs de Auditoria Modificar os logs de auditoria, normalmente com a inteção de ocutar os fatos
Modificação de arquivos de configuração
Alterar arquivos criticos em um sistema para modificar sua funcionabilidade
Segurança - Ataques e Defesas - [email protected]
Distúrbios Comuns
Princípio Ataque Descrição
Desastres Naturais ou Provocados
Vandalismo, incêndios, terremotos, terrorismo, vulcanismo
Disponibilidade Negação de Serviço (DoS) Comprometimento de serviços de importância fundamental para processos
Comprometimento de informações
Modificar dados de forma a ficarem inúteis para outras pessoas
Segurança - Ataques e Defesas - [email protected]
Terminologias de Segurança
1. Vulnerabilidade – fragilidade que pode fornecer uma porta de entrada a um atacante;
2. Ameaça – agente ou ação que se aproveita de uma vulnerabilidade;
3. Risco – (Impacto X probabilidade) de ameaça ocorrer;
4. Ataque – Incidência da ameaça sobre a vulnerabilidade;
5. Exploit – Programa capaz de explorar uma vulnerabilidade.
Segurança - Ataques e Defesas - [email protected]
AmeaçasDentre as ameaças físicas podemos considerar:
● Alagamentos;
● Raios;
● Acessos Indevidos;
● Desabamentos;
Dentre as ameaças lógicas, podemos contar as seguintes;
● Infecção por vírus;
● Acesso remoto à rede;
● Violação de Senhas;
Segurança - Ataques e Defesas - [email protected]
Ataques
Assim como dividimos as ameaças em dois grandes grupos, os ataques também podem ser divididos da mesma maneira:
Internos e Externos.
Os ataques internos representam por volta de 70% dos ataques que ocorrem aos sistemas de rede. Mesmo que a maioria das pessoas acreditem que a maior parte dos ataques surjam de fontes externas, essa é uma maneira errônea de encarar o problema.
Entre os ataques internos, encontramos em sua maioria, aqueles realizados por funcionários de dentro da própria organização, que estão insatisfeitos ou os desavisados sobre as políticas de Segurança da Empresa.
Segurança - Ataques e Defesas - [email protected]
Ataques
Analisando ataques externos, nos deparamos com a possibilidade de comprometimento cujo o objetivo estejam vinculados à espionagem.
Ex: Espionagem Industrial
Outra possibilidade da origem de comprometimento de sistemas, pode ser a curiosidade ou simplesmente o desafio que representa para o Cracker. (sendo útil ou não a informação para ele)
Bons exemplos desse tipo de ataque “A Arte de Invadir” de Kevin Mitnik.
Segurança - Ataques e Defesas - [email protected]
ExemplosExemplo de AMEAÇA:
● “Uma chuva de granizo em alta velocidade”
Exemplo de VULNERABILIDADE:
● “Uma sala de equipamentos com janelas de vidro”
Exemplo de ATAQUE:
● “A chuva de granizo contra as janelas de vidro”
Segurança - Ataques e Defesas - [email protected]
Mecanismos de segurança● Mecanismos físicos;
Portas, Trancas, Paredes, Blindagem, Guardas, Câmeras, Sistemas de Alarme, Sistemas de Detecção de Movimento, biometria.
Os mecanismos físicos de proteção, são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.
● Mecanismos lógicos;
- Criptografia, Firewall, Anti-Vírus, IDS (detecção de ataque), IPS (semelhante ao IDS), Proxy, anti-spam.
Os mecanismos lógicos, são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.
Segurança - Ataques e Defesas - [email protected]
Fases de um ataque
Levantamento de Informações
● Essa fase é mais abrangente e baseado no que é descoberto todo planejamento é realizado e os vetores de ataques definidos.
Ex: (nomes, telefones, endereço, redes sociais)
Varredura
● Nesta fase o atacante busca informações mais detalhadas do alvo:
Ex: (Qual SO?, Quais Serviços ativos?, Quais Versões?, Há IDS/IPS?, Há honeypots? ...)
Segurança - Ataques e Defesas - [email protected]
Fases de um ataqueGanhando acesso
● Aqui dependendo dos vetores de ataque ele pode buscar acessos com:
● Ataques de força bruta local;
● Ataques de força bruta remota;
● Captura de tráfego de rede
● Ataque de engenharia Social;
● Ataques à aplicações WEB;
● Exploração de serviços;
● Exploração de SO;
Segurança - Ataques e Defesas - [email protected]
Fases de um ataque
● Mantendo acesso;● Limpando Rastros;
Segurança - Ataques e Defesas - [email protected]
Incidentes Reportados ao CERT.br -- Janeiro a Março de 2012
Segurança - Ataques e Defesas - [email protected]
Tentativas de Fraudes - Janeiro a Março de 2012
Segurança - Ataques e Defesas - [email protected]
Google Hacking Database
Há um banco de dados virtual, com tags de busca de Google previamente criadas, para conseguir informações específicas.
● Google Hacking Database: http://jonnhy.ihockstuff.com/ghdb
Segurança - Ataques e Defesas - [email protected]
Google Hacking
No levantamento de informações o Google é a principal ferramenta para o levantamento de informações de nosso alvo. É o melhor sistema público pra utilizarmos em busca de informações sobre qualquer coisa em relação ao nosso alvo:
● Sites, propagandas, parceiros, redes sociais, grupos, etc.
Certamente vários resultados retornarão com links onde podemos encontra nome completo, endereço, telefone, CPF, etc...
Segurança - Ataques e Defesas - [email protected]
Google Hacking
Ex:
● site:gov.br ext:sql (busca por arquivo de base de dados em sites do governo)
● inurl:e-mail filetype:mdb (busca arquivos de e-mail em formato .mdb)
● Inurl:intranet + intext:”telefone” (busca telefones disponíveis em intranets encontradas pelo google).
Segurança - Ataques e Defesas - [email protected]
Contramedidas
● Possuir uma boa política referente à publicações de informações na Internet;
● Não deixar configurações padrões em Servidores Web, para os mesmos não consigam ser indentificados facilmente;
● Sempre analisar as informações disponíveis sobre a empresa em sites de busca;
● Alertar e treinar os funcionários da empresa com relação a maneira com que um ataque de engenharia social pode acontecer, e as possíveis informações que o atacante poderá usar nesse ataque.
Segurança - Ataques e Defesas - [email protected]
Dê-me seis horas para cortar uma árvore, e eu gastarei as primeiras quatro horas afiando o machado”
Abraham Lincoln
Segurança - Ataques e Defesas - [email protected]
Engenharia Social
Podemos considerar a engenharia social como a arte de enganar pessoas para conseguir
informações, as quais não deviam ter acesso.
Empregados podem deixar escapar informações sigilosas através de um contato via telefone ou mesmo conversando em locais públicos: elevadores, corredores, bares.
Uma empresa pode ter os melhores produtos de segurança que o dinheiro pode proporcionar. Porém, o fator humano é, em geral, o ponto mais fraco da segurança.
Segurança - Ataques e Defesas - [email protected]
Engenharia Social - TIPOS● Baseada em Pessoas
As técnicas de engenharia social baseada em pessoas possuem diversas características que são utilizadas para que o atacante consiga as informações que deseja, dentre elas podemos citar :
● Disfarces;
● Representações;
● Uso de cargo de alto nível;
● Observações;
● Ataques a sistemas de help-desk;
Segurança - Ataques e Defesas - [email protected]
Engenharia Social - TIPOS● Baseada em computadores
Este ataque se baseia no desconhecimento do usuário com relação ao uso coreto da informática:
Exemplos
● Cavalos de Tróia anexados a e-mails;
● E-mails falsos;
● WebSites Falsos;
Segurança - Ataques e Defesas - [email protected]
Formas de Ataque● Insider Attack
Insiders são pessoas de dentro da própria organização.
● Roubo de Identidade
Atualmente, quando alguém cria uma nova identidade baseando-se em informações de outra pessoa.
● Phishing Scam
É uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, ou instalar programas maliciosos na máquina alvo
● URL Obfuscation
Técnica utilizada para diminuir o tamanho das URL's muito grandes.
Segurança - Ataques e Defesas - [email protected]
Formas de Ataques● Dumpster Diving
É o ato de vasculhar lixeiras em busca de informações. Todos os dias são jogados no lixo de empresas vários documentos sem utilidades, mas os atacantes podem utilizar essa informação para um ataque
● Persuasão
Os próprios hackers vêem a engenharia social de um ponto de vista psicológico, enfatizando como criar um ambiente psicológico perfeito para um ataque. Os métodos básicos de persuasão são: personificação, insinuação, conformidade, difusão de responsabilidade e a velha amizade.
Segurança - Ataques e Defesas - [email protected]
Engenharia Social Reversa
Um método mais avançado de conseguir informações ilícitas é com a engenharia social reversa. Isto ocorre quando o atacantes cria uma personalidade que aparece numa posição de autoridade, de moto que todos os usuários lhe pedirão informações.
Os ataques de Engenharia Social Reversa se bem pesquisados, planejados e bem executados permetirá extrair dos funcionários informações muito valiosas.
Os três métodos de ataques de engenharia social reversa são, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, então divulga que possui a solução e se propõe a solucionar o problema. Na expectativa de ver a falha corrigida, os funcionários passam todas as informações necessárias da rede. Após atingir o seu objetivo, ele elimina a falha, a rede volta.
Segurança - Ataques e Defesas - [email protected]
No Tech Hacking
Todo e qualquer tipo de ataque que não tenha necessidade de aparatos tecnológicos são considerados “NO TECH HACKING”.
● Dumpster Diving – (Vasculhar o lixo da empresa)
● Shoulder Surfing – (Papagaio de Pirata)
● Lock picking – (técnicas de abrir fechaduras)
● Tailgating – (Ouvir uma conversa ao telefone)
Segurança - Ataques e Defesas - [email protected]
Contramedidas● Não trabalhe assuntos privados em locais públicos;
● Faça descarte seguro de documentos;
● Fechaduras e trancas de boa qualidade;
● Bolsas e documentos pessoais em segurança;
● Teste constantemente seus dispositivos de segurança, câmeras e detectores de movimento;
● Tenha cuidado com o “Papagaio de Pirata”;
● Mantenha-se atento aos engenheiros sociais.
● Treine adequadamente os funcionários, principalmente os da área de segurança;
Segurança - Ataques e Defesas - [email protected]
Padrões e Normas● ISO 27001
● ISO 27002
● BASILEIA II
● PCI-DSS
● ITIL
● COBIT
● NIST 800 Series
Segurança - Ataques e Defesas - [email protected]
Serviços de Segurança da Informação
● Criação de Políticas de Segurança;
● Implantação de CSIRT's;
● Hardening de Servidores;
● Análises de Vulnerabilidades;
● Testes de Invasão;
● Análise de Aplicação:
● Perícia Computacional;
● Treinamento de Colaboradores;
● Auditoria em Sistemas e em Redes
Segurança - Ataques e Defesas - [email protected]
Obrigado!
“Se você conhece a sim mesmo e ao seu inimigo, não precisará temer os resultados
de mil batalhas” (Sun Tzu)
Anderson [email protected]/92631848