Os Riscos que Rondam as Organizações · Depois de descobrir a vulnerabilidade, o hacker ... –...

<<seu nome aqui!>>

Universidade Federal de Ouro PretoDECEA / João Monlevade

Os Riscos que Rondam as Organizações

Profa. Msc. Helen de Cássia S. da Costa LimaUniversidade Federal de Ouro Preto

CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS

Os Riscos que Rondam as Organizações

● Atacantes

● Possíveis ataques

● Técnicas e ferramentas utilizadas

● Objetivo: mostrar que a preocupação com segurança é essencial para continuidade do negócio

Atacantes

● Termo genérico: Hacker

● Atacantes apresentam objetivos

diferentes e o seu sucesso depende

do grau de segurança dos alvos e da capacidade do hacker

● Se auto-descrevem como pessoas co conhecimento para invadir sistemas sem intuito de causar danos, mas sim como dasafio às suas habilidades

● Crackers: esses são os hackers do mal...

Atacantes● O que vamos ver:

– Script kiddies: iniciantes

– Cyberpunks: velhos, experientes e ainda anti-sociais

– Insiders: empregados insatisfeitos

– Coders: os que escrevem sobre sua proeza

– White hat: contratados para testar segurança

– Black hat: crackers

– Gray hat: vivem no limite entre white e black hat

*Obs: usuários comuns podem causar danos sem intenção, por meio de erros ou ignorância

Atacantes● Script Kiddies (newbies)

– Conseguem ferramentas prontas na Internet e

usam sem saber direito o que estão fazendo

– São a maioria dos hackers da Internet

– Alvo: empresas sem políticas de segurança

bem definidas

– Exemplo: Michael Calce (Mafiaboy)● Ataque de negação de serviço contra sites de reputação

(eBay, CNN, Amazon, Dell e Yahoo) em 2000

● Ele tinha 15 anos e o dano foi de 1.2 bilhões

Atacantes● Cyberpunks

– Românticos: se dedicam a invasão de sistemas por puro divertimento e desafio

– Possuem extremo conhecimento e acreditam em teorias da conspiração

– Ficam no anonimato, mas publicam as vulnerabilidades encontradas

– Muito usado para sub-gênero de ficção científica: hackers que são heróis solitários que combatem a injustiça

Atacantes● Insiders

– Causa dos incidentes mais graves das organizações

– Funcionários, ex-funcinários ou pessoas que conseguem infiltrar-se nas organizações (terceirizados)

– Conhecem os detalhes da organização

– Exemplo: Timothy Allen Lloyd● Instalou uma bomba lógica que destruiu softwares de manufatura da

Omega Engeneering Corp.

● Crime aconteceu em 1996 e sentença saiu em 2002

● Ele trabalhava há 11 anos

● Prejuízos: 10 milhões

Atacantes

Edward Snowden é ou não é um insider?

Atacantes

● Coders

– Resolvem compartilhar seu conhecimento em livros ou palestras

– Exemplo: Kevin MitnickCondenado por 5 anos e mais 3 anos de liberdade condicional (sem uso de computadores)

● Engenharia social e técnicas de apropriação de informações confidenciais

● Liberto em 2000

● Hoje trabalha como consultor em segurança

de sistemas

● Filme: Caçada Virtual ("Takedown" - 2000)

Atacantes

● White hat

– Utilizam seu conhecimento para descobrir vulnerabilidades nos sistemas e aplicar as correções necessárias

– Trabalham de maneira legal e profissional dentro das organizações

– Simulam ataques para medir níveis de segurança

– Serviço esporádico, não é a melhor solução

– Podem ser pesquisadores também

Atacantes

● Black hat

– Possuem conhecimento para roubar informações secretas das organizações

– Objetivo: chantagem, venda para concorrente

– Exemplo: Ataque a Creditcards.com● Hacker roubou 55 mil números de cartão de crédito e exigiu 20 mil dólares

para destruir os dados dos clientes

● Caso da Carolina Dieckmann

Atacantes

● Gray hat

– Black hats que fazem o papel de white hat a fim de trabalhar numa empresa de segurança

– Normalmente não são profissionais

– Exemplo: Um agência governamental americana contratou um gray hat para cuidar de sua segurança interna. Após o serviço, o gray hat divulgou as vulnerabilidades em um site de hackers

Atacantes● Cyberterroristas

– Objetivo: transmitir uma mensagem política ou religiosa, derrubar a infra-estrutura de comunicação ou para obter informações que podem comprometer a segurança nacional de alguma nação

– Meios● Ataques semânticos (pichação de sites)

● Invasões com intuito de obter informações confidenciais

● DDoS – Negação de serviços distribuídos (milhares de computadores acessam simultaneamente um servidor, que se sobrecarrega e cai)

● Uso de criptografia para armazenar instruções e planos de ação

– Exemplo: grupo Anonymous Brasil● Ataques a sites governamentais e o propósito desses ataques seria

apenas uma forma de protesto contra Rio+20 em 2012

Algumas terminologias do mundo dos hackers

Carding: fraudes com número de cartão de crédito

Easter egg: uma mensagem, imagem ou som que um programador esconde em seu software, como brincadeira (apt-get moo)

Media whore: hacker que quer ganhar atenção da mídia

Worm: similar ao vírus, mas tem capacidade de auto-replicação, espalhando-se de uma rede para outra rapidamente sem precisar ser ativado pelo usuário

O Planejamento de um Ataque● Depende da motivação

● Passos:

1) obtenção de informação sobre o sistema a ser atacado

2) Ataque

● Monitorando a rede → vazamento de informações confidenciais

● Penetrando no sistema → fraude ou perdas financeiras

● Inserindo códigos ou informações falsas no sistema → perda de confiança e reputação

● Enviando uma enxurrada de pacotes desnecessários ao sistema → negação ou corrupção de serviços

3) Encobrir a ação

● Substituição ou remoção de arquivos de logs

● Troca de arquivos importantes do sistema para mascarar atividades

● Formatação completa

Ataques para obtenção de informação

● Técnicas para obtenção de informação relevante para o ataque

– Trashing

– Engenharia social

– Ataques físicos

– Informações livres

– Packet sniffing

– Port scannig

– Firewalking

– IP spoofing (técnica auxiliar para outras)

Ataques para obtenção de informaçãoTrashing

● Verificação de lixo - Técnica legal!

● Busca de informações sobre:

– Organização

– Rede

– Nomes de contas

– Senhas

– Informações pessoais e

– Informações confidenciais

Ataques para obtenção de informaçãoTrashing

● Informações que podem ser utilizadas:

– Lista telefônica corporativa

– Memorandos internos

– Manuais

– Calendário de reuniões

– Impressão de código-fonte

– Inventários de hardware

● Solução: fragmentador de papéis (política de segurança)

Ataques para obtenção de informaçãoEngenharia Social

● Explora fraquezas humanas e sociais, enganando pessoas ao assumir uma falsa identidade

● Kevin Mitnick usou engenharia social em mais de 80% de seus ataques

● Ataca o elo mais fraco da segurança → humano

● Técnicas:

– Visitar escritórios e tentar distrair secretárias

– Disfarces para ter acesso a empresa (serviço terceirizado)

– Uso de informações de empregados disponíveis na Web

Ataques para obtenção de informaçãoAtaques Físicos

● Roubo de equipamentos

● Ataque direto = uso de máquinas da própria empresa

● O que pode ser feito:

– Acesso a documentos confidenciais

– Modificar ou excluir arquivos importantes

– Implantar bombas lógicas

● Solução:

– Controle de acesso ao prédio, salas restritas...

– Sistemas de identificação → biometria

– Câmeras de vídeo

Ataques para obtenção de informaçãoInformações Livres

● Uso de informações da internet

● Técnicas não intrusivas, pois não podem ser detectadas

● Técnicas:

– Consultas a servidores de DNS (sistema de nome de domínio)

– Análise de cabeçalho de e-mail

– Busca de informações em mecanismos de busca

– Redes Sociais, listas de discussão...


● Finger (uso de sockets – busca de informações em máquina remota)

● Rusers (Linux – mostra usuários logados)

● Netstat (processos, portas,etc)

– Ex.: finger –l usuario@host

– Ex.: netstat –a (lista processos)

– Ex: netstat –e (estatísticas)


● Whois: https://registro.br/cgi-bin/whois/

Ataques para obtenção de informaçãoPacket Sniffing

● Captura informações diretamente pelo fluxo de pacotes da rede

● Software: sniffer

– Capaz de interpretar e registrar o tráfego de dados de uma rede

– Linux – tcpdump

–

● Senhas trafegam abertamente (FTP, Telnet, POP)

● Uma solução: uso de protocolos que utilizam criptografia, como SSH ao invés de Telnet

Ataques para obtenção de informaçãoPacket Sniffing

● Um packet sniffer localizado em um dos servidores do seu provedor de serviços pode monitorar:

– Quais sites da Web você visitou

– O que você olhou no site

– Pra quem você enviou um e-mail

– O conteúdo do e-mail enviado

– Que download você fez de um site

Ataques para obtenção de informaçãoPort Scannig

● Obtém informações dos serviços que são acessíveis (portas abertas) em um sistema

– TCP ou UDP

● Depois de descobrir a vulnerabilidade, o hacker concentra-se em em técnicas para serviços específicos

– Software: nmap

● Solução: IDS (sistemas de detecção de intrusão) fazem o reconhecimento de padrões de scannig, alertando contra tentativas de mapeamento

Ataques para obtenção de informaçãoScannig de vulnerabilidade

● Obtém informações sobre vulnerabilidades específicas para cada serviço em um sistema

● O port scanning identifica os alvos e os tipos de sistemas e serviços que são executados, em seguia, o scanning pode ser realizado especificamente para os alvos mepeados

● Pode utilizado tanto para prevenção, na busca de falhas para correção, quanto para ataques, na identificação de vulnerabilidades acessíveis ao atacante

Ataques para obtenção de informaçãoScannig de vulnerabilidade

● Pela checagem de roteadores, servidores, firewalls, SO e outras entidades IP, os scanning podem analisar se existe vulnerabilidade:

– Fraqueza de senhas, usadas em branco ou fáceis de serem adivinhadas

– Vulnerabilidades envolvendo o Internet Explorer

– Exploração do acesso remoto ao registro do sistema

– Vulnerabilidades no SSH

– Vulnerabilidades no FTP

– Vulnerabilidades no servidor remoto de impressão (LPD – Line Printer Deamon)

Ataques para obtenção de informaçãoFirewalking

● Técnica para obtenção de informação sobre uma rede remota protegida por um firewall

● Firewall: é um programa ou dispositivo de hardwareDedicado que inspeciona o tráfego que passa por elee nega ou permite esse tráfego com base em um con-junto de regras que você determina durante a configu-ração

● Como?

– Ao monitorar um pacote, é possível obter informações sobre regras de filtagem do firewall e também criar um mapa da topologia da rede

Ataques de negação de serviços (DoS) Técnicas

● Objetivo: explorar recursos de maneira agressiva para que usuários legítimos fiquem impossibilitados de utilizá-los

● Flooding

– TCP SYN flooding

– UDP flooding

– ICMP flooding

● Smurf e Fraggle

– ICMP echo

– UDP echo

Ataques de negação de serviços (DoS) Flooding

● Objetivo: inundar um serviço com requisições falsas

● Conceito: three-way handshake → estabelecimento de conexão no TCP

– 1. Cliente: Servidor, estou enviando a mensagem X (Número de sequência do cliente). Dá pra sincronizar (SYN)?

– 2. Servidor: Claro, sincroniza a mensagem Y (Número de sequência do servidor) que estou enviando (SYN). Prossiga com a mensagem X+1 (ACK).

– 3. Cliente: Ok, estou enviando a mensagem X+1. Prossiga com a mensagem Y+1 (ACK).

Ataques de negação de serviços (DoS) Flooding

● SYN flooding (Lembra do port scannig?)

– Um grande número de requisições é enviado, de tal forma que o servidor não é capaz (overflow da pilha de memória) de responder a todas elas. Próximas tentativas de conexão de usuários legítmos são então desprezadas...

Ataques de negação de serviços (DoS) Smurf e Fraggle

● Consistem em ataques de flooding distribuído

● Utilizam broadcasting em redes inteiras para amplificar seus efeitos

● Utilizam o endereço IP da vítima como endereço de origem dos pacotes (IP Spoofing)

● Protocolos utilizados:

– Smurf ICMP (ping)

– Fraggle UDP (echo)

● Conceito: endereço de broadcast → endereço que permite que a informação seja enviada para todos os nós de uma rede, em vez de um único host


A vítma fica desabilitada para executar suas ações normais, sofrendo assim uma negação de serviço

Ataques ativo contra o TCP Técnicas

● Objetivo: sequestro de conexão ou a injeção de tráfego

● Sequestro de conexão

– MAC spoofing (tipo de man-in-the-middle)

● Prognóstico do número de sequência do TCP

Ataques ativo contra o TCP MAC spoofing

● Envia requisição para alvo como se fosse roteador, mas MAC é do atacante (diferente)

– Conceito: Protocolo ARP → permite conhecer o endereço físico de uma placa de rede que corresponde a um endereço IP


● Envia requisição para roteador como se fosse máquina da rede, mas MAC é do atacante


● Resultado: agora tudo passa pela máquina do atacante

IP forwarding: É estabelecido quando colocamos uma máquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessário

Ataques ativo contra o TCP Prognóstico do número de sequência do TCP

● Objetivo: possibilita a construção de pacotes TCP de uma conexão, de modo a injetar tráfego, passando-se por um outro equipamento

● Alguns sistemas possuem comportamento padrão de sequência de pacotes, como incremento de 128 ou 125 mil a cada segundo

● Atualmente, alguns sistemas implementam padrões de incremento do número de sequência mais eficiente, que dificulta seu prognóstico e, consequentemente, os ataques

● Utilidade: o hacker utiliza essa informação para se inserir numa conexão (man-in-the-middle)

Ataques coordenados (DDoS)Distributed Denial of Servicer

● Um ataque proveniente de uma única máquina geralmente não é capaz de causar dano a uma rede ou servidor

● Nos DdoS, os atacando coordena um grande grupo de máquinas para que ataquem simultaneamente um único servidor

● Servidores Web possuem um número limitado de usuários que pode atender simultaneamente ("slots"). Se um número grande máquinas são usadas, o número repentino de requisições pode esgotar esse número de slot, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido

● Ferramentas sofisticadas, utilizam criptografia para o tráfego de controle do hacker


● Etapas:

– 1. Intrusão em massa

● Scannig de portas e vulnerabilidades em redes consideradas "interessantes", como por exemplo, redes com conexões de banda-larga ou com baixo grau de monitoramento

● O seguinte passo é explorar as vulnerabilidades reportadas, com o objetivode obter acesso privilegiado nessas máquinas

– 2. Instalação do software DdoS

● Softwares são instalados nestas máquinas para permitir que elas sejam controladas remotamente. As máquinas comprometidas serão os masters ou agentes


● Etapas:

– 2. Instalação do software DdoS

● Master devem ser máquinas que não são frequentemente monitoradas e agentes, máquinas muito utilizados em universidades e provedores de acesso (acesso rápido à Internet)

– 3. Disparo do ataque

● O atacante controla uma ou mais máquinas master, as quais, por sua vez, podem controlar um grande número de máquinas agentes

● É a partir destes agentes que é disparado o flooding de pacotes que consolida o ataque

● Agentes ficam aguardando instruções dos masters para atacar vítimas por um período específico de tempo

Ataques no nível de Aplicação

● Ataques que exploram vulnerabilidades em aplicações, serviços e protocolos que funcionam no nível de aplicação

● Técnicas utilizadas:

– Crackers de senha

– Vírus, Cavalo de Troia, Worms, Bots

– Adware e Spyware

– Backdoors

– Keylogger

– Spam

Ataques no nível de AplicaçãoCrackers de senha

● Programas capazes de revelar senhas cifradas

● Método:

– Realizam análise comparativa

● Técnica:

– Froça bruta: usam dicionários de termos e bancos de senhas comuns

● Desempenho:

– Podem ser executados de forma distribuída

Ataques no nível de AplicaçãoCrackers de senha

● Como criar senhas seguras?

● Pense em uma frase memorável, como:

– "o sol da liberdade em raios fúlgidos brilhou no céu da pátria neste instante."

● Em seguida, transforme-a num acrônimo (incluindo a pontuação)

– osdlerfbncdpni.

● Adicione complexidade substituindo letras por números e símbolos no acrônimo. Substitua n por 9 e a letra d pelo símbolo @:

– os@lerfb9c@p9i.

● Adicione mais complexidade colocando pelo menos uma das letras em caixa alta, como F

– os@lerFb9c@p9i.

Ataques no nível de AplicaçãoVírus

● É um programa ou parte de um programa malicioso

● Propaga-se infectando, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador

● Depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção


● Como um vírus afeta um computador?

– Normalmente tem controle total

– Pode dar uma simples mensagem

– Pode apagar arquivos, etc...

● Como o dispositivo é infectado?

– É preciso sempre um programa/arquivo previamente infectado

– E-mails

– Qualquer arquivo (macros no MS Office)

– Programas desconhecidos

– Mídias de armazenamento


● O que fazer para se proteger?

– Uso de anti-vírus

– Deve estar sempre atualizado

– Desabilitar no leitor de e-mails a auto-execução de arquivos anexados

– Não abrir arquivos de outras fontes sem passar pelo anti-vírus

Ataques no nível de AplicaçãoCavalo de Troia

● Programa recebido como um “presente”

– Cartão virtual, foto, protetor de tela, jogo, etc...

– Executa códigos maliciosos

– Instalação de keyloggers ou mouseloggers

– Furto de senhas e outras informações sensíveis

– Inclusão de backdoors para permitir acesso total ao computador

– Alteração ou destruição de arquivos

Ataques no nível de AplicaçãoCavalo de Troia

● Não é vírus nem worm por não infectar outros arquivos e nem se propagar automaticamente

● Normalmente é único arquivo que precisa ser executado

● Podem ter vírus ou worms embutidos

● Como proteger?

– Uso de anti-vírus

– Uso de firewall pessoal

Ataques no nível de AplicaçãoAdware e Spyware

● Adware: software projetado para propagandas, normalmente na Web ou na instalação de outro programa no seu computador

– Diversos adwares tentam utilizar nomes aleatórios para dificultar sua remoção

● Spyware: monitorar atividades de um sistema e envia para terceiros

● Existem adware que agem como spyware que monitoram comportamento do usuário

● Podem ser usados de forma legítima, mas muitas vezes não é o que ocorre


● Uso ilícito de spyware:

– Monitoramento de URLs acessadas pelos usuários

– Alteração da página inicial do browser

– Varredura dos arquivos do HD

– Monitoramento e varredura de informações em outros programas

– Instalação de outros programas spywares

– Monitoramento de teclas digitadas ou captura de mouse

– Captura de senhas


● Uso legal:

– Monitoramento hábitos de usuários / funcionários desde que especificado em contrato

– Monitorar o que estão acessando do seu computador

● Como proteger?

– Uso de anti-spyware

– Firewall pessoal


É UM SPYWARE?

Ataques no nível de AplicaçãoBackdoor

● Todo atacante quer retornar ao alvo

● Disponibilização de um serviço ou alteração de um serviço que permita acesso remoto

● Pode ser incluído por um cavalo de tróia ou através de softwares de acesso remoto mal configurados, não caracterizando invasão

● Podem ser inclusos em qualquer SO

Ataques no nível de AplicaçãoBackdoor

● Como proteger?

– Monitorar softwares de acesso remoto

– Firewall pessoal

– Não executar arquivos desconhecidos

– Atualizar softwares e SO

Ataques no nível de AplicaçãoKeylogger

● Software que captura e armazena teclas digitadas pelo usuário

● Pode obter qualquer informação: e-mail, senha...

● Instalado através de spyware ou cavalo de tróia

● A maioria possui função que permite envio automático das informações por e-mail

– Solução: Uso de teclados virtuais

● Foram criados os mouseloggers que capturam posição do mouse

– Solução: Uso de teclado virtual com posição aleatória

Ataques no nível de AplicaçãoWorms

● Programa capaz de se propagar automaticamente através da rede, enviando cópias de si

● É diferente do vírus, pois não precisa ser executado e não embute cópias de si em arquivos

● Propagação através de vulnerabilidades

Ataques no nível de AplicaçãoBots

● Semelhante ao worm (propagação automática através de vulnerabilidades) só que com comunicação com o invasor, permitindo controle remoto

● Podem:

– Desferir ataques na Internet

– Executar ataques de negação de serviço

– Enviar spam

– Enviar e-mail phishing

● Conceito: phishing → tentativas de adquirir dados pessoais de diversos tipos: senhas, dados financeiros como número de cartões de crédito e outros dados pessoais

Ataques no nível de AplicaçãoSPAM

● Termo usado para recebimento de mensagens não solicitadas

● Normalmente enviado para grande número de pessoas

● Problemas aos usuários:

– Não recebimento de e-mails (caixa lotada)

– Tempo desnecessário

– Aumento de custo

– Conteúdo impróprio ou ofensivo


● Problemas aos provedores/backbones:

– Impacto na banda

– Má utilização de servidores

– Inclusão em lista de bloqueios

– Investimento em pessoal e treinamento

● Como spammers obtém informações?

– Compra de BD de usuários

– Spywares

– Varre páginas web, lista de discussões...


● Como filtrar?

– Spam e-mail blocking and filtering:

● http://spam.abuse.net/userhelp/#filter

– Anti Spam Yellow Pages:

● http://www.antispamyellowpages.com/

– Reclame com cópia para: [email protected] (que mantém dados estatísticos de spam no Brasil)

– Informe o cabeçalho do e-mail:

● www.antispam.org.br/header.html

– Tracking Spam:

● http://www.claws-and-paws.com/spam-l/tracking.html

Bibliografia

● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 4.

● Vasconcelos, L. E. G. Notas de aula. Segurança da Informação. FATEC Guaratinguetá, 2013

● Kleinschmidt J. H. Notas de aula. Segurança da Informação. Universidade do ABC, 2011

Os Riscos que Rondam as Organizações · Depois de descobrir a vulnerabilidade, o hacker ... –...

Documents

Transcript of Os Riscos que Rondam as Organizações · Depois de descobrir a vulnerabilidade, o hacker ... –...