Gestão da Segurança da Informação

Transcrição

1 Gestão da Segurança da Informação

2 Mercado Google perde % de dados após raio apagar data center O Google emitiu uma nota após um dos seus data centers na Bélgica passar por um apagão inesperado. De acordo com o buscador, um raio atingiu a rede elétrica do local, afetando seus sistemas de armazenamento, o que causou uma perda permanente de % dos arquivos armazenados. Embora os automáticos sistemas auxiliares tenham restaurado a energia, os sistemas de armazenamento são projetados com apoio da bateria, alguns dados recém escritos nos sistemas de armazenamento foram mais suscetíveis à falha de energia, publicou o buscador. O Google que promete que vai realizar melhorias em seus data centers para tornar suas máquinas menos suscetíveis a danos causados por quedas de energia. Fonte:

3 Ataques à Segurança Motivações Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque. Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações criminosas. Alguns exemplos são: Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente Fonte:

4 Ataques à Segurança Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia Motivações comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas Fonte:

5 DoS Ataques Uma maneira do sistema ser atacado é por DoS (Denial of Service) ou negação de serviço: Inundação na largura de banda: Envio de mais pacotes do que o enlace pode suportar. Inundação na conexão: Estabelecimento de várias conexões TCP falsas, impedindo que verdadeiras ocorram.

6 Ataques DoS e DDoS No DoS o ataque vem de uma fonte especifica, que pode ser bloqueada com facilidade, no entanto o DDoS (Distributed Denial of Service) o ataque vem de diversos locais diferentes, o que dificulta a identificação de qual pacote faz parte ou não do ataque. Botnet é uma rede criada por equipamentos que possuem um programa que os faz trabalhar em conjunto, no caso de um ataque DDoS os botnets são os zumbis que não sabem que estão infectados, mas que quando necessários são acionados para fazer parte do ataque.

7 Mercado Maioria dos ataques DDoS não tem motivação financeira Cerca de dois terços dos ataques no mundo tiveram objetivos políticos, ideológicos. O hackativismo substituiu os objetivos financeiros como principal motivador para interromper o tráfego de um site com um ataque DDoS, de acordo com um documento da Arbor Networks, companhia de segurança de redes. Informações anteriores mostravam que os principais fatores eram financeiros, seja por razões de competição ou extorsão de terceiros. No ambiente atual, qualquer empresa pode ser tornar alvo de um ataque, e visto a variedade de ferramentas para realizar um ataque DDoS, qualquer um pode realizar um ataque. Isso representa uma mudança de cenário em relação às ameaças e no modelo de avaliação de riscos de para os operadores de rede e consumidores finais que dependem da Internet para seus negócios. Fonte:

8 Ataques Scanning de vulnerabilidades Ataque de vulnerabilidade (exploits): uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Existem ferramentas no mercado que fazer a varredura procurando por vulnerabilidades e também empresas que prestam este tipo de serviço. Esses ferramentas possuem um banco de dados com as informações sobre vulnerabilidades conhecidas.

9 Ataques Ferramentas para análise de vulnerabilidades

10 Vulnerabilidade do Popcorn Time Mercado Um dos mais populares e controversos serviços de streaming de filmes, o Popcorn Time pode tornar seus usuários alvos fáceis para hackers. Recentemente, o engenheiro de segurança e pesquisador Antonios Chariton (também conhecido pelo apelido DaKnOb) divulgou a descoberta de uma vulnerabilidade bastante significativa no aplicativo. Observando as informações do serviço, o engenheiro descobriu que os desenvolvedores do Popcorn Time usaram a infraestrutura da CloudFlare para evitar serem bloqueados na Europa. Segundo Chariton, o pedido para o CloudFlare é iniciado por meio de uma conexão HTTP simples, o que permitiria que um invasor simplesmente se intrometesse na comunicação para atacar o computador das vítimas. Usando esse método, o especialista conseguiu injetar códigos maliciosos por meio do próprio app, tomando assim controle do Popcorn Time e abrindo portas para dominar completamente o PC do alvo. Fonte:

11 Ataques Engenharia Social A Engenharia Social é uma técnica antiga e muito popular, que poderia ser traduzida, grosso modo, como enganar pessoas. A ideia é que o engenheiro social, como são conhecidos aqueles que praticam essa arte, possa manipular pessoas para que elas revelem informações importantes ou, então, para que elas façam algo que facilite o trabalho dele. Kevin Mitnick Fonte: acessado em 06/02/2015

12 O caso do Pacific Bank Mercado Em 1978 Stanley Mark Rifkin trabalhava como contratado de uma empresa prestadora de serviços na sala de transferência do Pacific Bank, onde tinha acesso aos procedimentos e rotina dos funcionários. Ele aprendeu que os funcionários do banco que estavam autorizados a pedir as transferências eletrônicas recebiam um código diário secreto a cada manhã. Veja como ele conseguiu as 3 informações utilizadas na fraude que se segue: 1- Código Diário Secreto (4789) disponível em um lugar visível para todos da sala 2- Número do escritório (289) anotado em um post-it ao lado de um desktop 3- Número de estabelecimento entre escritórios (3316), que conseguiu em uma ligação. Com as informações obtidas e com os procedimentos operacionais observados, Rifkin, de um telefone público, liga para a sala de transferências eletrônicas e se faz passar por Mike Hansen, membro do Departamento Internacional do banco e transfere US$ 10 milhões para uma conta na Suiça. Rifkin entrou para o Guiness Book na categoria maior fraude de computadores, apesar de ele não ter utilizado diretamente nenhum computador nesta fraude. Fonte:

13 Ataques Phishing É uma forma de fraude na Internet. A fraude é definida como a realização de uma transação não autorizada, normalmente, a vítima receberá um pedindo para verificar ou confirmar uma conta com um prestador de serviços bancários ou outro serviço. As vezes, mensagens instantâneas são usadas ou mesmo contatos telefônico são tentados.

14 Fonte: Phishing

15 Ataques Dumpster diving ou trashing Consiste em verificar o lixo do algo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada no Brasil, e o mais interessante é que pode ser considerada legal visto que não existe leis a respeito dos lixos. Por isso é interessante que informações críticas dados da organização, senhas, etc sejam triturados ou consumados de alguma forma.

16 O caso da Unilever e Procter&Gamble Mercado Em 2001 a Procter&Gamble contratou uma empresa especializada em investigação para ter mais informações sobre os negócios da concorrente Unilever nos Estados Unidos, principalmente os projetos voltados para cuidados com os cabelos. A espionagem foi descoberta depois que um dos detetives contratados foi surpreendido revirando o lixo da Unilever em busca de dados secretos da empresa. Para evitar um processo na Justiça, a P&G teve que aceitar um acordo com a Unilever e pagar a ela uma indenização de 10 milhões de dólares. Fonte:

17 Ataques SQL Injection É um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação. Fonte:

18 Ataques à Segurança O planejamento de um ataque Pentest é a contração de Penetration Test e é a forma mais conhecida dos ataques que tem como objetivo identificar falhas de segurança. O processo de Pentest envolve alguns passos: Reconhecimento: Identificar o alvo e coletar o máximo de informações possíveis. Avaliação do alvo: Escolher as ferramentas e os testes mais apropriados ao alvo e ao objetivo dos testes. Exploração: Explorar as vulnerabilidades encontradas para ter certeza de que não é um falso positivo. Escalada de Privilégio: Conseguir o máximo de acesso possível ao sistema. Manutenção do acesso: Apagar todas as pistas da invasão e configurar o sistema para permitir acessos futuros.

19 Reconhecimento Teste de Intrusão ou Penetration Test O Kali Linux fornece várias ferramentas para coletar informações, porém a Internet também oferece ferramentas e não podemos esquecer da Engenharia Social. archive.org mantém um histórico de sites em que você pode encontrar informações que estavam lá e foram retiradas, como telefones, enderço de e- mails e nomes de pessoas. Versão do primeiro site do UOL em 1996

20 Reconhecimento Whois é uma ferramenta que mostra todos os dados do registro de um domínio. Teste de Intrusão ou Penetration Test Registro.br é onde você encontra o whois para sites nacionais.

21 Reconhecimento Teste de Intrusão ou Penetration Test Maltego é uma ferramenta Open Source que já vem com o Kali Linux que coleta dados tendo como referencia nome, , domínio e etc.

22 Reconhecimento Teste de Intrusão ou Penetration Test Shodan é um buscado que permite encontrar dispositivos e computadores conectados à Internet. Nesta ferramenta você pode encontrar um roteador, um servidor web especifico, uma webcam e até uma usina nuclear. faça o cadastro para ter acesso aos filtros de busca.

23 Reconhecimento Teste de Intrusão ou Penetration Test Google pode ser utilizado para encontrar informações para Engenharia Social, mas também é possível utilizá-lo para fazer o Google Hacking. "Apache/ server at" intitle:index.of com esta string de busca encontramos servidores Web rodando Apache

24 Reconhecimento Teste de Intrusão ou Penetration Test Várias são as ferramentas e possibilidades para ter acesso aos dados do alvo do Pentest: HTTrack: Ferramenta que clona um site. ICMP: Ping e Traceroute podem apresentar informações sobre a estrutura. DNS: Nslookup e dig são ferramentas que mostram informações dos nomes e endereços I.P. de um domínio. Portscan: Ferramentas com o nmap fazem uma varredura e identificam portas abertas. Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas Sun Tzu

25 Teste de Intrusão ou Penetration Test Avaliação do alvo Depois de reunir todos os dados possíveis sobre o alvo é o momento de identificar as vulnerabilidades e as ferramentas para atacar. Neste momento você já deve ter um certo conhecimento da estrutura da rede, endereços I.P., servidores, sistemas operacionais e aplicações instaladas. Webshag é uma ferramenta que faz varredura em um servidor Web que idêntica vulnerabilidades.

26 Avaliação do alvo Teste de Intrusão ou Penetration Test Vega é uma ferramenta que faz varredura em um servidor Web que idêntica vulnerabilidades. Ele oferece detalhes das vulnerabilidades identificadas.