INTERNET HACKERS Henry Franklin Victor Ferrari Matheus Haddad Luís Campos

Transcrição

1 Henry Franklin Victor Ferrari Matheus Haddad Luís Campos 18/10/2004 Segurança Física e Lógica dos Ambientes Web 1

2 TÓPICOS Como as invasões pela Internet podem prejudicar organizações? Planos de segurança em Ambiente Web Técnicas utilizadas Cultura de segurança Dispositivos de segurança 18/10/2004 Segurança Física e Lógica dos Ambientes Web 2

3 Como as invasões pela Internet podem prejudicar organizações? Origem dos ataques em geral Crescimento dos ataques pela internet Conseqüências Prejuízos Investimentos em segurança Casos Reais Ação das autoridades no Brasil 18/10/2004 Segurança Física e Lógica dos Ambientes Web 3

4 Ataques Internos Intencionais Origem dos ataques em geral Funcionários descontentes (espionagem, vandalismo, fraudes) Não Intencionais Divulgação de senha pessoal Manter terminal/micro ligado ao sair Acessar arquivos com vírus Ataques Externos Hacker (Internet) Ataques DDOS Acesso indevido a dados Espionagem Comercial Ataques utilizando funcionários da Cia. Vírus Goner, BadTrans, Nimda,Sircam, CodRed, Melissa, I Love You 18/10/2004 Segurança Física e Lógica dos Ambientes Web 4

5 Origem dos ataques em geral Principais Responsáveis Pelo terceiro ano consecutivo, os hackers são apontados como os principais responsáveis por ataques e invasões de sistemas corporativos. Hackers Causa desconhecida Funcionários Ex-funcionários Prestadores de serviço Concorrentes Outros 4% 4% 1% 10% 26% 23% 32% Sistemas Internos 23% Acesso remoto 6% Invasão física 6% Internet 60% Outros 5% Principais Pontos de Invasão A maior parte das empresas (60%) indica a internet como o principal ponto de invasão em seus sistemas. Fonte: 9ª Pesquisa Módulo Security (682 Empresas no Brasil em diferentes áreas de atuação) 18/10/2004 Segurança Física e Lógica dos Ambientes Web 5

6 Crescimento dos ataques pela internet O crescimento dos ataques à segurança está ultrapassando o avanço da Internet. Possíveis causas: novas vulnerabilidades estão sendo introduzidas em diversos ambientes diariamente; migração dos negócios para o universo virtual; não existe ainda uma legislação específica que trate desta modalidade de crime. Estatísticas de fraudes: 2003: 593 denúncias; 2004 (somente no 1º trimeste): 796 denúncias. Fonte: NIC BR Security Office (NBSO), órgão ligado ao Comitê Gestor da Internet no Brasil (CGI-Br) 18/10/2004 Segurança Física e Lógica dos Ambientes Web 6

7 Crescimento dos ataques pela internet A gravidade da questão é mascarada pela: Síndrome da má reputação (as empresas assumem os prejuízos, encobrindo os delitos, temendo uma propaganda negativa ou um estímulo a outros delinqüentes do gênero) 18/10/2004 Segurança Física e Lógica dos Ambientes Web 7

8 Conseqüências Monitoramento não autorizado; Descoberta e vazamento de informações confidenciais; Modificações de informações não autorizadas; Negação ou corrupção de serviço; Imagem prejudicada, perda de confiança e reputação; Trabalho extra para a recuperação dos recursos; Perda de negócios, clientes e oportunidades. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 8

9 Prejuízos - Brasil Prejuízos Contabilizados 35% das empresas no Brasil tiveram perdas financeiras; 22% das empresas registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão; 65% não conseguem quantificar o valor dos prejuízos. De R$ 50 mil a R$ 500 mil 8% Até R$ 50 mil 22% De R$ 500 mil a R$ 1 milhão 4% Mais de 1 milhão 1% Não foi possível quantificar 65% Medidas adotadas após ataques e invasões 28% limitaram-se à correção do problema 28% optaram por providências internas 15% adotaram medidas legais 7% não tomaram nenhuma atitude Fonte: 9ª Pesquisa Módulo Security 18/10/2004 Segurança Física e Lógica dos Ambientes Web 9

10 Prejuízos causados por Vírus BadTrans SirCam vírus vírus CodRed U$$ 1,05 bi Explorer U$$ 1,02 vírus US$ 12,3 bi até 11/01 vírus U$$ 2,6 bi Nimda U$$ 5 M Nimda vírus vírus Melissa U$$ 590 M U$$ 8,7 bi I Love You U$$ 1,1 bi Fonte: : Computer Economics 18/10/2004 Segurança Física e Lógica dos Ambientes Web 10

11 Investimentos em segurança Não sabem informar 13% Diminuir 3% Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em Permanecer os mesmos 24% Aumentar 60% Diante desse quadro, 60% afirmam que os investimentos em segurança vão aumentar no próximo ano. Orçamento Destinado à Segurança da Informação 73% das empresas possuem orçamento específico para área de Tecnologia da Informação. Não sabem informar Menos de 1% De 1 a 5% De 5 a 10% De 10 a 20% Mais de 20% 19% 12% 9,5% 7% 28% 24,5% Deste total, 24,5% alocam menos de 1% em recursos de segurança, 19% entre 1% e 5%, 12% de 5% a 10%, 9,5% entre 10 a 20% e 7% destinam mais de 20% do orçamento total de TI para área de Segurança da Informação. Fonte: 9ª Pesquisa Módulo Security 18/10/2004 Segurança Física e Lógica dos Ambientes Web 11

12 Casos Reais Um hacker obteve números de cartões de crédito dos registros de uma dúzia de varejistas vendendo seus produtos através de sites na Web. Os cartões de crédito tinham limites entre US$ e US$ , elevando o custo potencial do roubo para US$ 1 bilhão. O atacante foi detido ao tentar vender os números dos cartões a uma suposta rede do crime organizado que, na verdade, era o FBI. NEC, Nokia, Sun e Novell Kevin Mitnick roubou informações via internet das empresas relacionadas, gerando perdas estimadas em US$ 292 MM. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 12

13 Ação das autoridades no Brasil Mesmo sem contar com uma legislação específica que puna os crimes de informática, as autoridades do país já prenderam e condenaram alguns dos criminosos que vinham aplicando golpes pela internet. Condenações de Guilherme Amorim de Oliveira Alves e de Evânancy Soares de Alcântara por crimes de estelionato (artigo 171, caput, combinado com parágrafo 3º do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001). Operação "Cavalo de Tróia", realizada pela Polícia Federal no início de novembro de 2003, nos estados do Pará, Goiás, Maranhão e Piauí. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 13

14 Planos de segurança em Ambiente Web 18/10/2004 Segurança Física e Lógica dos Ambientes Web 14

15 Técnicas utilizadas OBJETIVO : evitar problemas de invasões, acessos indevidos, manipulações de dados Ações para melhorar a segurança 18/10/2004 Segurança Física e Lógica dos Ambientes Web 15

16 Técnicas utilizadas 1) DETECÇÃO E ANÁLISE DOS PONTOS VULNERÁVEIS 2) CRIAÇÃO DE POLÍTICAS DE SEGURANÇA DEFINIÇÂO: conjunto de regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos COMPONENTES : compra de tecnologia de computadores para a segurança exigida política de acesso política de responsabilidade política de autenticação declaração de disponibilidade sistema de TI e política de manutenção de rede política de informação de violações informação de suporte ou contato 18/10/2004 Segurança Física e Lógica dos Ambientes Web 16

17 Técnicas utilizadas 3) EXECUÇÃO DE POLÍTICAS DE SEGURANÇA 4) ACOMPANHAMENTO 5) AVALIAÇÃO DE RESULTADOS x OBJETIVOS TRAÇADOS 6) CORREÇÂO DE OBJETIVOS e POLÌTICAS PONTOS DE ATENÇÃO NAS MEDIDAS DE SEGURANÇA : (DENTRE AS MAIS UTILIZADAS PELAS EMPRESAS) ANTIVÍRUS periodicidade da atualização raio de atuação configuração do software antivírus distribuição automática de patches de segurança SISTEMAS DE BACKUP periodicidade dimensionamento dos recursos contingência acompanhamento 18/10/2004 Segurança Física e Lógica dos Ambientes Web 17

18 Técnicas utilizadas FIREWALL configuração / arquitetura performance abrangência da atuação CAPACITAÇÃO TÉCNICA treinamento participação em grupos de discussão SOFTWARE DE CONTROLE DE ACESSO proteção contra ataques forçados capacidade de expansão habilidade de registrar acessos SEGURANÇA FÍSICA NA SALA DE SERVIDORES monitoramento equipamentos de segurança de acesso 18/10/2004 Segurança Física e Lógica dos Ambientes Web 18

19 Técnicas utilizadas PROXY SERVER configuração CRIPTOGRAFIA chave utilizada definição dos processos que necessitam de criptografia ANÁLISE DE RISCOS INTRUSION DETECTION rodar continuamente a automaticamente tolerância ä falhas cobrir mudanças ocorridas no sistema MONITORAÇÃO DE LOG armazenamento acompanhamento e estatísticas abrangência do processo POLÍTICA DE SEGURANÇA CERTIFICADOS DIGITAIS 18/10/2004 Segurança Física e Lógica dos Ambientes Web 19

20 Cultura de segurança Usuários Atrás de cada máquina há pelo menos uma pessoa Desempenha um importante papel para garantir a segurança Devem estar conscientes dos riscos de segurança e de suas medidas preventivas Compreender a exigência de segurança 18/10/2004 Segurança Física e Lógica dos Ambientes Web 20

21 Cultura de segurança Pré-requisitos Liderança forte Larga participação dos funcionários Planificação e gestão da segurança Avaliações e entrevistas Palestras e Seminários 18/10/2004 Segurança Física e Lógica dos Ambientes Web 21

22 Implementação Cultura de segurança Criar e manter atualizado um documento que descreva a política de segurança de informações. Definir uma estrutura organizacional responsável pela segurança. Treinamento dos funcionários quanto aos riscos de segurança de informações. Controlar e classificar os recursos computacionais. Definir uma segurança física e lógica para prevenir acessos não autorizados. Definir procedimentos de backup e de restauração dos sistemas computacionais. Investigar qualquer incidente que comprometa a segurança dos sistemas. Auditar regularmente todos os aspectos de segurança. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 22

23 Cultura de segurança Benefícios Minimização de incidentes de Segurança da Informação Divulgação dos conceitos de segurança aplicado às rotinas de trabalho Melhor aceitação de novos controles de segurança Retorno sobre o investimento Transferência de conhecimento para a equipe da empresa Criação de cultura voltada à política de segurança da informação 18/10/2004 Segurança Física e Lógica dos Ambientes Web 23

24 Dispositivos de segurança Segurança Lógica Segurança Física Segurança Eletro-Eletrônica 18/10/2004 Segurança Física e Lógica dos Ambientes Web 24

25 Dispositivos de segurança Segurança Lógica Dispositivos contra invasão eletrônica de sistemas (firewalls, roteadores, caches, proxies, etc.) Principal Vantagem: sem falhas, 24x7x365. Principal Desvantagem: monitoramento complexo e problemático (faltam padrões) 18/10/2004 Segurança Física e Lógica dos Ambientes Web 25

26 Dispositivos de segurança Segurança Lógica Principal Ameaça: falsa sensação de segurança As organizações acreditam que a existência dos sistemas é suficiente para protegê-las dos potenciais invasores. Isto faz com que o monitoramento seja precário e insuficiente. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 26

27 Dispositivos de segurança Segurança Física Dispositivos contra furto e roubo de equipamentos; Dispositivos que impeçam acesso físico aos equipamentos por pessoal não autorizado. Principal Vantagem: garantem que o sistema de regras de segurança implementado nos sistemas da organização não pode ser transposto por cima. Principal Desvantagem: custo elevado para manutenção de pessoal capacitado e competente para executar o serviço; idoneidade e ética do pessoal responsável. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 27

28 Dispositivos de segurança Segurança Física Principal Ameaça: equipamentos supostamente valiosos chamam a atenção de oportunistas que acabam furtando / roubando muito mais em informações vitais do que em equipamentos. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 28

29 Dispositivos de segurança Segurança Eletro-Eletrônica Dispositivos Elétricos e Eletrônicos componentes dos sistemas computacionais capazes de mantê-los funcionando sob condições adversas, como falta de energia ou sobrecarga, humidade ou calor excessivos. Principal Vantagem: Equipamentos adequadamente aterrados e protegidos contra surtos de energia duram mais e trazem melhores taxas de custo/benefício Principal Desvantagem: justificativa difícil em organizações menores e que nunca tiveram problemas graves com este tipo de ameaça. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 29

30 Dispositivos de segurança Segurança Eletro-Eletrônica Principal Ameaça: o imprevisível. Descargas elétricas e falta de cuidados rotineiros são as principais causas de falhas relacionadas com energia elétrica. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 30

31 Considerações Finais Infraestrutura é vital para garantir a segurança de sistemas Não devemos nos deixar iludir sobre nossas capacidades de defesa. A informação é chave de sucesso: quem a detiver, detém o poder. 18/10/2004 Segurança Física e Lógica dos Ambientes Web 31

32 FIM 18/10/2004 Segurança Física e Lógica dos Ambientes Web 32