Espionagem de atividade computacional por meio de sniffers e monitores de teclado

Transcrição

1 por meio de 2 de maio de 2012

2 Sumário 1 2 3

3 O que é um sniffer? Propósito principal de analisar o tráfego da rede

4 O que é um sniffer? Propósito principal de analisar o tráfego da rede Configura a interface de rede em modo promíscuo e então captura os pacote destinados a outras interfaces de rede

5 O que é um sniffer? Propósito principal de analisar o tráfego da rede Configura a interface de rede em modo promíscuo e então captura os pacote destinados a outras interfaces de rede Eventualmente decodifica e analisa o conteúdo dos pacotes de acordo com um protocolo

6 O que é um sniffer? Propósito principal de analisar o tráfego da rede Configura a interface de rede em modo promíscuo e então captura os pacote destinados a outras interfaces de rede Eventualmente decodifica e analisa o conteúdo dos pacotes de acordo com um protocolo Hoje é muito usado com propósitos maliciosos, pois o invasor pode obter cópias de arquivos e fluxo de textos confidenciais (ex: senhas, relatórios, etc) durante a transmissão

7 O que é um sniffer? Propósito principal de analisar o tráfego da rede Configura a interface de rede em modo promíscuo e então captura os pacote destinados a outras interfaces de rede Eventualmente decodifica e analisa o conteúdo dos pacotes de acordo com um protocolo Hoje é muito usado com propósitos maliciosos, pois o invasor pode obter cópias de arquivos e fluxo de textos confidenciais (ex: senhas, relatórios, etc) durante a transmissão Exemplos: Wireshark (antigo ethereal), tcpdump, ettercap, iptraf, biblioteca libcap

8 Sniffers - Wireshark Figura 1 - Tela capturada do Wireshark

9 s (Keyloggers) O que são? São programas de computador cuja finalidade é registrar tudo o que é digitado

10 s (Keyloggers) O que são? São programas de computador cuja finalidade é registrar tudo o que é digitado Existem inúmeros métodos de keylogging, que vão desde abordagens de hardware e software e até através de análise acústica

11 s (Keyloggers) O que são? São programas de computador cuja finalidade é registrar tudo o que é digitado Existem inúmeros métodos de keylogging, que vão desde abordagens de hardware e software e até através de análise acústica O arquivo de log pode ou não ficar no computador hospedeiro. Os keyloggers mais avançados possuem servidor de embutido

12 s (Keyloggers) O que são? São programas de computador cuja finalidade é registrar tudo o que é digitado Existem inúmeros métodos de keylogging, que vão desde abordagens de hardware e software e até através de análise acústica O arquivo de log pode ou não ficar no computador hospedeiro. Os keyloggers mais avançados possuem servidor de embutido keyloggers de tela gravam a interação do usuário num arquivo de vídeo (muito usado para roubo de senhas de banco)

13 s (Keyloggers) O que são? São programas de computador cuja finalidade é registrar tudo o que é digitado Existem inúmeros métodos de keylogging, que vão desde abordagens de hardware e software e até através de análise acústica O arquivo de log pode ou não ficar no computador hospedeiro. Os keyloggers mais avançados possuem servidor de embutido keyloggers de tela gravam a interação do usuário num arquivo de vídeo (muito usado para roubo de senhas de banco) keyloggers baseados em hardware são discretos (pequenos) e não dependem de sistema operacional

14 s (Keyloggers)

15 Descoberto no dia 1 o de setembro de 2011

16 Descoberto no dia 1 o de setembro de 2011 Derivado do Stuxnet (2010)

17 Descoberto no dia 1 o de setembro de 2011 Derivado do Stuxnet (2010) Alta Complexidade: Linguagem desconhecida (batizada de Duqu framework)

18 Descoberto no dia 1 o de setembro de 2011 Derivado do Stuxnet (2010) Alta Complexidade: Linguagem desconhecida (batizada de Duqu framework) Explora vulnerabilidades zero-day s (Ex: MS Windows kernel vulnerability)

19 Descoberto no dia 1 o de setembro de 2011 Derivado do Stuxnet (2010) Alta Complexidade: Linguagem desconhecida (batizada de Duqu framework) Explora vulnerabilidades zero-day s (Ex: MS Windows kernel vulnerability) Roubo de certificados digitais e outros tipos de

20 Descoberto no dia 1 o de setembro de 2011 Derivado do Stuxnet (2010) Alta Complexidade: Linguagem desconhecida (batizada de Duqu framework) Explora vulnerabilidades zero-day s (Ex: MS Windows kernel vulnerability) Roubo de certificados digitais e outros tipos de Possível fiananciamento de governos (EUA e Israel)

21 Figura 2: Divulgação do worm Duqu - Imprensa Internacional

22 - - Parte 1 Eduardo trabalha em uma grande empresa de TI

23 - - Parte 1 Eduardo trabalha em uma grande empresa de TI A mãe do Eduardo tem câncer, e os remédios que ele compra para ela são muito caros. stá se endividando para comprá-los

24 - - Parte 1 Eduardo trabalha em uma grande empresa de TI A mãe do Eduardo tem câncer, e os remédios que ele compra para ela são muito caros. stá se endividando para comprá-los é gerente do setor de contabilidade, movimentando grandes quantias em dinheiro todos os dias

25 - - Parte 1 Eduardo trabalha em uma grande empresa de TI A mãe do Eduardo tem câncer, e os remédios que ele compra para ela são muito caros. stá se endividando para comprá-los é gerente do setor de contabilidade, movimentando grandes quantias em dinheiro todos os dias Eduardo conhece a há muito tempo e sempre foi muito próximo à ela

26 - - Parte 1 Eduardo trabalha em uma grande empresa de TI A mãe do Eduardo tem câncer, e os remédios que ele compra para ela são muito caros. stá se endividando para comprá-los é gerente do setor de contabilidade, movimentando grandes quantias em dinheiro todos os dias Eduardo conhece a há muito tempo e sempre foi muito próximo à ela comprou um carro, cujo preço não é compatível com o seu salário

27 - - Parte 1 Eduardo trabalha em uma grande empresa de TI A mãe do Eduardo tem câncer, e os remédios que ele compra para ela são muito caros. stá se endividando para comprá-los é gerente do setor de contabilidade, movimentando grandes quantias em dinheiro todos os dias Eduardo conhece a há muito tempo e sempre foi muito próximo à ela comprou um carro, cujo preço não é compatível com o seu salário Segundo os relatórios do último balanço da empresa houve um rombo nos cofres de alguns milhares de reais

28 - - Parte 2 Tadeu, CEO da empresa, está com suspeitas de que esteja desviando dinheiro da empresa

29 - - Parte 2 Tadeu, CEO da empresa, está com suspeitas de que esteja desviando dinheiro da empresa Tadeu acredita que a maneira de se vestir de não condiz com os valores da empresa

30 - - Parte 2 Tadeu, CEO da empresa, está com suspeitas de que esteja desviando dinheiro da empresa Tadeu acredita que a maneira de se vestir de não condiz com os valores da empresa Tadeu optou por não fazer uma auditoria, pois teme que o rombo torne-se de conhecimento público e, dessa forma, comprometeria as ações da empresa

31 - - Parte 2 Tadeu, CEO da empresa, está com suspeitas de que esteja desviando dinheiro da empresa Tadeu acredita que a maneira de se vestir de não condiz com os valores da empresa Tadeu optou por não fazer uma auditoria, pois teme que o rombo torne-se de conhecimento público e, dessa forma, comprometeria as ações da empresa Tadeu pede a Eduardo que monitore o computador de utilizando keyloggers

32 - - Parte 2 Tadeu, CEO da empresa, está com suspeitas de que esteja desviando dinheiro da empresa Tadeu acredita que a maneira de se vestir de não condiz com os valores da empresa Tadeu optou por não fazer uma auditoria, pois teme que o rombo torne-se de conhecimento público e, dessa forma, comprometeria as ações da empresa Tadeu pede a Eduardo que monitore o computador de utilizando keyloggers Tadeu disse a Eduardo que se fizer o monitoramento, irá ser promovido para gerente de TI da empresa

33 - - Parte 2 Tadeu, CEO da empresa, está com suspeitas de que esteja desviando dinheiro da empresa Tadeu acredita que a maneira de se vestir de não condiz com os valores da empresa Tadeu optou por não fazer uma auditoria, pois teme que o rombo torne-se de conhecimento público e, dessa forma, comprometeria as ações da empresa Tadeu pede a Eduardo que monitore o computador de utilizando keyloggers Tadeu disse a Eduardo que se fizer o monitoramento, irá ser promovido para gerente de TI da empresa Se ele não fizer, alguém poderá fazer

34 Alternativas de Decisão Tabela 1 Alternativas de Decisão Aceitar Recusar Falar para S S Não falar para S S

35 Relacionamento entre os envolvidos Figura 3 - Obrigações entre os envolvidos

36 Benefícios Potenciais Eduardo Tabela 2 Benefícios Potenciais Fazer Não Fazer Falar para Promoção, maior poder financeiro Mantém sua integridade moral Mantém sua privacidade Tadeu Descobre a verdade Mãe Tem seus remédios pagos Não tem peso na consciência Fica sabendo da desconfiança Não falar para não fica sabendo da desconfiança

37 Vulnerabilidades Potenciais Eduardo Tabela 3 Vulnerabilidades Potenciais Fazer Não Fazer Falar para Não falar para Age ilegalmente. Sujeito a sanções judiciais. Pode perder amizade. Sujeita a perda do emprego Tadeu Terá dado uma ordem ilegal Perde a promoção O chefe pode descobrir Não é leal na amizade Continua suspeita Pode ser pega em flagrante Não saberá a verdade Mãe Pode morrer sem remédios Não saberá a verdade

38 Negociando um acordo Uma alternativa, além das apresentadas, seria buscar uma solução entre os envolvidos

39 Negociando um acordo Uma alternativa, além das apresentadas, seria buscar uma solução entre os envolvidos No caso de Eduardo, a dificuldade para o acordo é grande, pois envolve uma grande quantidade de dinheiro, o futuro de sua carreira e a reputação da empresa

40 Negociando um acordo Uma alternativa, além das apresentadas, seria buscar uma solução entre os envolvidos No caso de Eduardo, a dificuldade para o acordo é grande, pois envolve uma grande quantidade de dinheiro, o futuro de sua carreira e a reputação da empresa Há a necessidade de uma reunião sigilosa, pois as ações da empresa podem cair, caso o assunto se torne público

41 Negociando um acordo Uma alternativa, além das apresentadas, seria buscar uma solução entre os envolvidos No caso de Eduardo, a dificuldade para o acordo é grande, pois envolve uma grande quantidade de dinheiro, o futuro de sua carreira e a reputação da empresa Há a necessidade de uma reunião sigilosa, pois as ações da empresa podem cair, caso o assunto se torne público Nesse caso seria possível imaginar uma reunião com as partes envolvidas, sem que cada um soubesse quem são os outros envolvidos, para a tentativa de um acordo

42 Bibliografia Masiero, Paulo C.. Ética em Computação. São Paulo: Editora da Universidade de São Paulo, p. Sniffing Tutorial - Intercepting Network Traffic. Disponível em Intercepting-Network-Traffic. Acessado em 29 de abril de NetAdminTools - Keylloging. Disponível em Acessado em 29 de abril de Secure List - Keyloggers: How they work and how to detect them. Disponível em Acessado em 29 de abril de PC World - Siemens: Stuxnet Worm Hit Industrial Systems. Disponível em Acessado em 29 de abril de Bencsáth, Boldizsár ; et all. Duqu: A Stuxnet-like malware found in the wild. Budapest University of Technology and Economics, Department of Telecommunications. Disponível em Acessado em 29 de abril de 2012.