MATC99 Segurança e Auditoria de Sistemas de Informação

Transcrição

1 MATC99 Segurança e Auditoria de Sistemas de Informação Malware, scam e fraudes Italo Valcy <italo@dcc.ufba.br>

2 Fraudes Fraudes na Internet Engenharia social Phishing / Scam Código malicioso

3 Engenharia social Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

4 Engenharia social: exemplos do suporte técnico do banco dizendo que o arquivo em anexo resolve um problema de segurança do home banking. Ligação de telefone dizendo ser o provedor da internet e informando que precisa da senha para corrigir um problema na conexão; Salas de bate-papo para atrair crianças

5 Scam (golpe) É qualquer esquema ou ação enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras.

6 Scam Tipos Furto de identidade: uma pessoa tenta se passar por outra (falsa identidade) Fraude de antecipação de recursos: atacante induz a vítima a fornecer informações confidenciais ou realizar pagamento antecipado Phishing: atacante tenta obter dados pessoais e financeiros, usando engenharia social em meio eletrônico Pharming: tipo específico de phishing usando poluição ou redirecionamento DNS

7 Phishing ou Phishing/Scam Phishing vem da analogia com "fishing". Iscas usadas para pescar senhas e dados financeiros. Mensagem que procura induzir a instalação de códigos maliciosos. Mensagem que apresentam no próprio conteúdo formulários para enviar dados. Comprometimento do serviço DNS.

8 Catálogo de fraudes do CAIS Catálogo de s relacionados a fraudes na Internet, reportados por usuários colaboradores artefatos@cais.rnp.br phishing@cais.rnp.br Base dados para consulta de fraudes binários maliciosos URLs maliciosas imagens de sites de phishing

9 Catálogo de fraudes do CAIS

10 Como se proteger Realizar transações apenas em sites de instituições confiáveis. Certifica-se que o endereço apresentado no browser corresponde ao site que você deseja visitar. Validação DNS Certifica-se que o site faz uso de conexão segura. Antes de aceitar certificado digital, verificá-lo junto ao administrador do site

11 Validação DNS Como verificar a validade de um nome DNS? Uso da tecnologia DNSSEC

12 Validação DNS Como verificar a validade de um nome DNS? Uso da tecnologia DNSSEC

13 Validação DNS Como verificar a validade de um nome DNS? Uso da tecnologia DNSSEC

14 DNSSEC Extensão do protocolo DNS para adicionar mecanismos de segurança Permite que se possa verificar as informações recebidas, invés de confiar em sua validade Suas verificações ocorrem antes de diversas aplicações de segurança (SSL, HTTP, etc.) Usa criptografia de chave pública / privada

15 DNSSEC Beto Alice Chave de ciframento Texto em claro Texto em claro Algoritmo de ciframento Chave de deciframento Canal inseguro Algoritmo de deciframento Cifras simétricas Chave de ciframento <=> Chave de decriframento Cifras assimétricas Chave pública + Chave privada

16 DNSSEC Funciona a partir da adição de quatro novos tipos de registros no DNS: DNSKEY: Divulgar a chave pública RRSIG: Assinar os registros NSEC/NSEC3: Garantir a não existência de um registro/tipo DS: Criar o canal de confiança (chain of trust)

17 DNSSEC

18 SSL e Certificados digitais

19 SSL e Certificados digitais SSL: Prover serviços de autenticação do servidor, comunicação secreta e integridade dos dados; Definição da chave secreta: Cript. Assimétrica Criptografia dos dados: Cript. Simétrica Requer a existência de uma autoridade certificadora confiável para garantia das propriedades do SSL Comprometimento das CA's (o risco das maças podres) Dificuldade na inserção de novas CA's na lista de CA's confiáveis dos sistemas (e.g. browsers, S.O.'s)

20 SSL e Certificados digitais DANE: DNS-based Authentication of Named Entities Objetivo: usar o DNS (e DNSSEC) para fornecer aos clientes informações adicionais sobre as credenciais criptográficas associadas com um domínio

21 DANE O problema em imagens... Nota: imagens a partir de DANE, the next big thing after DNSSEC, Marco Davids/SIDN:

22 DANE

23 DANE

24 DANE Ataque-me!

25 DANE

26 DANE

27 DANE Genuine certificate matches the TLSA, fake certificate does not

28 DANE Genuine certificate matches the TLSA, fake certificate does not

29 Códigos maliciosos

30 Código malicioso (malware) Programas desenvolvidos para executar ações danosas e atividades maliciosas no computador Formas de infecção/comprometimento: Exploração de vulnerabilidades Auto-execução de mídias removíveis Acesso à páginas web maliciosas a partir de navegadores vulneráveis

31 Código malicioso (malware) Principais tipos de malware: Vírus Worm Bot/botnet Spyware Backdoor Cavalo de troia (trojan) Rootkit Leitura:

32 Código malicioso (malware) Análise de malware: Desenvolver regras para NIDS Baseado em IP / DNS (Predição de DGA's) Desenvolver vacinas Entender o comportamento e funcionamento Realizar resposta a incidentes mais efetivamente Desenvolver patchs de correção Ganhar o controle do código malicioso e utilizá-lo para outros fins

33 Análise de malware Ferramentas de apoio (hexdump, objdump, gdb, strace, systemtap, tcpdump, etc) Sandboxes Anubis Malware Analyzer Truman TWMAN Cuckoo

34 Análise de malware Ferramentas online (malware scan): Análise do comportamento do malware:

35 Análise de malware Onde obter mais informações: p/ceseg:2011-sbseg-mc1.pdf

36 Exercício Exer01 analisar os dois malwares contidos no pacote fornecido pelo professor (relatório VirusTotal e VirScan, além de execução em ambiente virtual VirtualBox + Windows XP) Trafego de rede Arquivos modificados no sistema Arquivos baixados Etc. analisar as duas fraudes contidas no mesmo pacote fornecido pelo professor. Análise similar ao do catálogo de fraudes

37 Referências Dócea, Marcos UFS. Conceitos em Segurança da Informação. Slides Sêmola, Marcos. A Importância da Gestão da Segurança da Informação. Slides. Guia de Referência Sobre Ataques Via Internet. Febraban / 7