Os Riscos que Rondam as Organizações

Transcrição

1 Os Riscos que Rondam as Organizações CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS <<seu nome aqui!>> Universidade Federal de Ouro Preto João Profa. Msc. Helen dedecea Cássia/ S. da Monlevade Costa Lima Universidade Federal de Ouro Preto

2 Os Riscos que Rondam as Organizações Atacantes Possíveis ataques Técnicas e ferramentas utilizadas Objetivo: mostrar que a preocupação com segurança é essencial para continuidade do negócio

3 Atacantes Termo genérico: Hacker Atacantes apresentam objetivos diferentes e o seu sucesso depende do grau de segurança dos alvos e da capacidade do hacker Se auto-descrevem como pessoas co conhecimento para invadir sistemas sem intuito de causar danos, mas sim como dasafio às suas habilidades Crackers: esses são os hackers do mal...

4 O que vamos ver: Atacantes Script kiddies: iniciantes Cyberpunks: velhos, experientes e ainda anti-sociais Insiders: empregados insatisfeitos Coders: os que escrevem sobre sua proeza White hat: contratados para testar segurança Black hat: crackers Gray hat: vivem no limite entre white e black hat *Obs: usuários comuns podem causar danos sem intenção, por meio de erros ou ignorância

5 Script Kiddies (newbies) Atacantes Conseguem ferramentas prontas na Internet e usam sem saber direito o que estão fazendo São a maioria dos hackers da Internet Alvo: empresas sem políticas de segurança bem definidas Exemplo: Michael Calce (Mafiaboy) Ataque de negação de serviço contra sites de reputação (ebay, CNN, Amazon, Dell e Yahoo) em 2000 Ele tinha 15 anos e o dano foi de 1.2 bilhões

6 Atacantes Cyberpunks Românticos: se dedicam a invasão de sistemas por puro divertimento e desafio Possuem extremo conhecimento e acreditam em teorias da conspiração Ficam no anonimato, mas publicam as vulnerabilidades encontradas Muito usado para sub-gênero de ficção científica: hackers que são heróis solitários que combatem a injustiça

7 Atacantes Insiders Causa dos incidentes mais graves das organizações Funcionários, ex-funcinários ou pessoas que conseguem infiltrar-se nas organizações (terceirizados) Conhecem os detalhes da organização Exemplo: Timothy Allen Lloyd Instalou uma bomba lógica que destruiu softwares de manufatura da Omega Engeneering Corp. Crime aconteceu em 1996 e sentença saiu em 2002 Ele trabalhava há 11 anos Prejuízos: 10 milhões

8 Atacantes Edward Snowden é ou não é um insider?

9 Atacantes Coders Resolvem compartilhar seu conhecimento em livros ou palestras Exemplo: Kevin Mitnick Condenado por 5 anos e mais 3 anos de liberdade condicional (sem uso de computadores) Engenharia social e técnicas de apropriação de informações confidenciais Liberto em 2000 Hoje trabalha como consultor em segurança de sistemas Filme: Caçada Virtual ("Takedown" )

10 Atacantes White hat Utilizam seu conhecimento para descobrir vulnerabilidades nos sistemas e aplicar as correções necessárias Trabalham de maneira legal e profissional dentro das organizações Simulam ataques para medir níveis de segurança Serviço esporádico, não é a melhor solução Podem ser pesquisadores também

11 Atacantes Black hat Possuem conhecimento para roubar informações secretas das organizações Objetivo: chantagem, venda para concorrente Exemplo: Ataque a Creditcards.com Hacker roubou 55 mil números de cartão de crédito e exigiu 20 mil dólares para destruir os dados dos clientes Caso da Carolina Dieckmann

12 Atacantes Gray hat Black hats que fazem o papel de white hat a fim de trabalhar numa empresa de segurança Normalmente não são profissionais Exemplo: Um agência governamental americana contratou um gray hat para cuidar de sua segurança interna. Após o serviço, o gray hat divulgou as vulnerabilidades em um site de hackers

13 Atacantes Cyberterroristas Objetivo: transmitir uma mensagem política ou religiosa, derrubar a infra-estrutura de comunicação ou para obter informações que podem comprometer a segurança nacional de alguma nação Meios Ataques semânticos (pichação de sites) Invasões com intuito de obter informações confidenciais DDoS Negação de serviços distribuídos (milhares de computadores acessam simultaneamente um servidor, que se sobrecarrega e cai) Uso de criptografia para armazenar instruções e planos de ação Exemplo: grupo Anonymous Brasil Ataques a sites governamentais e o propósito desses ataques seria apenas uma forma de protesto contra Rio+20 em 2012

14 Algumas terminologias do mundo dos hackers Carding: fraudes com número de cartão de crédito Easter egg: uma mensagem, imagem ou som que um programador esconde em seu software, como brincadeira (apt-get moo) Media whore: hacker que quer ganhar atenção da mídia Worm: similar ao vírus, mas tem capacidade de auto-replicação, espalhando-se de uma rede para outra rapidamente sem precisar ser ativado pelo usuário

15 O Planejamento de um Ataque Depende da motivação Passos: 1) obtenção de informação sobre o sistema a ser atacado 2) Ataque Monitorando a rede vazamento de informações confidenciais Penetrando no sistema fraude ou perdas financeiras Inserindo códigos ou informações falsas no sistema perda de confiança e reputação Enviando uma enxurrada de pacotes desnecessários ao sistema negação ou corrupção de serviços 3) Encobrir a ação Substituição ou remoção de arquivos de logs Troca de arquivos importantes do sistema para mascarar atividades Formatação completa

16 Ataques para obtenção de informação Técnicas para obtenção de informação relevante para o ataque Trashing Engenharia social Ataques físicos Informações livres Packet sniffing Port scannig Firewalking IP spoofing (técnica auxiliar para outras)

17 Ataques para obtenção de informação Trashing Verificação de lixo - Técnica legal! Busca de informações sobre: Organização Rede Nomes de contas Senhas Informações pessoais e Informações confidenciais

18 Ataques para obtenção de informação Trashing Informações que podem ser utilizadas: Lista telefônica corporativa Memorandos internos Manuais Calendário de reuniões Impressão de código-fonte Inventários de hardware Solução: fragmentador de papéis (política de segurança)

19 Ataques para obtenção de informação Engenharia Social Explora fraquezas humanas e sociais, enganando pessoas ao assumir uma falsa identidade Kevin Mitnick usou engenharia social em mais de 80% de seus ataques Ataca o elo mais fraco da segurança humano Técnicas: Visitar escritórios e tentar distrair secretárias Disfarces para ter acesso a empresa (serviço terceirizado) Uso de informações de empregados disponíveis na Web

20 Ataques para obtenção de informação Ataques Físicos Roubo de equipamentos Ataque direto = uso de máquinas da própria empresa O que pode ser feito: Acesso a documentos confidenciais Modificar ou excluir arquivos importantes Implantar bombas lógicas Solução: Controle de acesso ao prédio, salas restritas... Sistemas de identificação biometria Câmeras de vídeo

21 Ataques para obtenção de informação Informações Livres Uso de informações da internet Técnicas não intrusivas, pois não podem ser detectadas Técnicas: Consultas a servidores de DNS (sistema de nome de domínio) Análise de cabeçalho de Busca de informações em mecanismos de busca Redes Sociais, listas de discussão...

22 Ataques para obtenção de informação Informações Livres Finger (uso de sockets busca de informações em máquina remota) Rusers (Linux mostra usuários logados) Netstat (processos, portas,etc) Ex.: finger l usuario@host Ex.: netstat a (lista processos) Ex: netstat e (estatísticas)

23 Ataques para obtenção de informação Informações Livres Whois:

24 Ataques para obtenção de informação Informações Livres Whois:

25 Ataques para obtenção de informação Packet Sniffing Captura informações diretamente pelo fluxo de pacotes da rede Software: sniffer Capaz de interpretar e registrar o tráfego de dados de uma rede Linux tcpdump Senhas trafegam abertamente (FTP, Telnet, POP) Uma solução: uso de protocolos que utilizam criptografia, como SSH ao invés de Telnet

26 Ataques para obtenção de informação Packet Sniffing Um packet sniffer localizado em um dos servidores do seu provedor de serviços pode monitorar: Quais sites da Web você visitou O que você olhou no site Pra quem você enviou um O conteúdo do enviado Que download você fez de um site

27 Ataques para obtenção de informação Port Scannig Obtém informações dos serviços que são acessíveis (portas abertas) em um sistema Depois de descobrir a vulnerabilidade, o hacker concentra-se em em técnicas para serviços específicos TCP ou UDP Software: nmap Solução: IDS (sistemas de detecção de intrusão) fazem o reconhecimento de padrões de scannig, alertando contra tentativas de mapeamento

28 Ataques para obtenção de informação Scannig de vulnerabilidade Obtém informações sobre vulnerabilidades específicas para cada serviço em um sistema O port scanning identifica os alvos e os tipos de sistemas e serviços que são executados, em seguia, o scanning pode ser realizado especificamente para os alvos mepeados Pode utilizado tanto para prevenção, na busca de falhas para correção, quanto para ataques, na identificação de vulnerabilidades acessíveis ao atacante

29 Ataques para obtenção de informação Scannig de vulnerabilidade Pela checagem de roteadores, servidores, firewalls, SO e outras entidades IP, os scanning podem analisar se existe vulnerabilidade: Fraqueza de senhas, usadas em branco ou fáceis de serem adivinhadas Vulnerabilidades envolvendo o Internet Explorer Exploração do acesso remoto ao registro do sistema Vulnerabilidades no SSH Vulnerabilidades no FTP Vulnerabilidades no servidor remoto de impressão (LPD Line Printer Deamon)

30 Ataques para obtenção de informação Firewalking Técnica para obtenção de informação sobre uma rede remota protegida por um firewall Firewall: é um programa ou dispositivo de hardware Dedicado que inspeciona o tráfego que passa por ele e nega ou permite esse tráfego com base em um conjunto de regras que você determina durante a configuração Como? Ao monitorar um pacote, é possível obter informações sobre regras de filtagem do firewall e também criar um mapa da topologia da rede

31 Ataques de negação de serviços (DoS) Técnicas Objetivo: explorar recursos de maneira agressiva para que usuários legítimos fiquem impossibilitados de utilizá-los Flooding TCP SYN flooding UDP flooding ICMP flooding Smurf e Fraggle ICMP echo UDP echo

32 Ataques de negação de serviços (DoS) Flooding Objetivo: inundar um serviço com requisições falsas Conceito: three-way handshake estabelecimento de conexão no TCP 1. Cliente: Servidor, estou enviando a mensagem X (Número de sequência do cliente). Dá pra sincronizar (SYN)? 2. Servidor: Claro, sincroniza a mensagem Y (Número de sequência do servidor) que estou enviando (SYN). Prossiga com a mensagem X+1 (ACK). 3. Cliente: Ok, estou enviando a mensagem X+1. Prossiga com a mensagem Y+1 (ACK).

33 Ataques de negação de serviços (DoS) Flooding SYN flooding (Lembra do port scannig?) Um grande número de requisições é enviado, de tal forma que o servidor não é capaz (overflow da pilha de memória) de responder a todas elas. Próximas tentativas de conexão de usuários legítmos são então desprezadas...

34 Ataques de negação de serviços (DoS) Smurf e Fraggle Consistem em ataques de flooding distribuído Utilizam broadcasting em redes inteiras para amplificar seus efeitos Utilizam o endereço IP da vítima como endereço de origem dos pacotes (IP Spoofing) Protocolos utilizados: Smurf ICMP (ping) Fraggle UDP (echo) Conceito: endereço de broadcast endereço que permite que a informação seja enviada para todos os nós de uma rede, em vez de um único host

35 Ataques de negação de serviços (DoS) Smurf e Fraggle

36 Ataques de negação de serviços (DoS) Smurf e Fraggle

37 Ataques de negação de serviços (DoS) Smurf e Fraggle A vítma fica desabilitada para executar suas ações normais, sofrendo assim uma negação de serviço

38 Ataques ativo contra o TCP Técnicas Objetivo: sequestro de conexão ou a injeção de tráfego Sequestro de conexão MAC spoofing (tipo de man-in-the-middle) Prognóstico do número de sequência do TCP

39 Ataques ativo contra o TCP MAC spoofing Envia requisição para alvo como se fosse roteador, mas MAC é do atacante (diferente) Conceito: Protocolo ARP permite conhecer o endereço físico de uma placa de rede que corresponde a um endereço IP

40 Ataques ativo contra o TCP MAC spoofing Envia requisição para roteador como se fosse máquina da rede, mas MAC é do atacante

41 Ataques ativo contra o TCP MAC spoofing Resultado: agora tudo passa pela máquina do atacante IP forwarding: É estabelecido quando colocamos uma máquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessário

42 Ataques ativo contra o TCP Prognóstico do número de sequência do TCP Objetivo: possibilita a construção de pacotes TCP de uma conexão, de modo a injetar tráfego, passando-se por um outro equipamento Alguns sistemas possuem comportamento padrão de sequência de pacotes, como incremento de 128 ou 125 mil a cada segundo Atualmente, alguns sistemas implementam padrões de incremento do número de sequência mais eficiente, que dificulta seu prognóstico e, consequentemente, os ataques Utilidade: o hacker utiliza essa informação para se inserir numa conexão (man-in-the-middle)

43 Ataques coordenados (DDoS) Distributed Denial of Servicer Um ataque proveniente de uma única máquina geralmente não é capaz de causar dano a uma rede ou servidor Nos DdoS, os atacando coordena um grande grupo de máquinas para que ataquem simultaneamente um único servidor Servidores Web possuem um número limitado de usuários que pode atender simultaneamente ("slots"). Se um número grande máquinas são usadas, o número repentino de requisições pode esgotar esse número de slot, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido Ferramentas sofisticadas, utilizam criptografia para o tráfego de controle do hacker

44 Ataques coordenados (DDoS) Distributed Denial of Servicer Etapas: 1. Intrusão em massa Scannig de portas e vulnerabilidades em redes consideradas "interessantes", como por exemplo, redes com conexões de banda-larga ou com baixo grau de monitoramento O seguinte passo é explorar as vulnerabilidades reportadas, com o objetivode obter acesso privilegiado nessas máquinas 2. Instalação do software DdoS Softwares são instalados nestas máquinas para permitir que elas sejam controladas remotamente. As máquinas comprometidas serão os masters ou agentes

45 Ataques coordenados (DDoS) Distributed Denial of Servicer Etapas: 2. Instalação do software DdoS Master devem ser máquinas que não são frequentemente monitoradas e agentes, máquinas muito utilizados em universidades e provedores de acesso (acesso rápido à Internet) 3. Disparo do ataque O atacante controla uma ou mais máquinas master, as quais, por sua vez, podem controlar um grande número de máquinas agentes É a partir destes agentes que é disparado o flooding de pacotes que consolida o ataque Agentes ficam aguardando instruções dos masters para atacar vítimas por um período específico de tempo

46 Ataques coordenados (DDoS) Distributed Denial of Servicer

47 Ataques no nível de Aplicação Ataques que exploram vulnerabilidades em aplicações, serviços e protocolos que funcionam no nível de aplicação Técnicas utilizadas: Crackers de senha Vírus, Cavalo de Troia, Worms, Bots Adware e Spyware Backdoors Keylogger Spam

48 Ataques no nível de Aplicação Crackers de senha Programas capazes de revelar senhas cifradas Método: Técnica: Realizam análise comparativa Froça bruta: usam dicionários de termos e bancos de senhas comuns Desempenho: Podem ser executados de forma distribuída

49 Ataques no nível de Aplicação Crackers de senha Como criar senhas seguras? Pense em uma frase memorável, como: Em seguida, transforme-a num acrônimo (incluindo a pontuação) osdlerfbncdpni. Adicione complexidade substituindo letras por números e símbolos no acrônimo. Substitua n por 9 e a letra d pelo "o sol da liberdade em raios fúlgidos brilhou no céu da pátria neste instante." os@lerfb9c@p9i. Adicione mais complexidade colocando pelo menos uma das letras em caixa alta, como F os@lerfb9c@p9i.

50 Ataques no nível de Aplicação Vírus É um programa ou parte de um programa malicioso Propaga-se infectando, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador Depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção

51 Ataques no nível de Aplicação Vírus Como um vírus afeta um computador? Normalmente tem controle total Pode dar uma simples mensagem Pode apagar arquivos, etc... Como o dispositivo é infectado? É preciso sempre um programa/arquivo previamente infectado s Qualquer arquivo (macros no MS Office) Programas desconhecidos Mídias de armazenamento

52 Ataques no nível de Aplicação Vírus O que fazer para se proteger? Uso de anti-vírus Deve estar sempre atualizado Desabilitar no leitor de s a auto-execução de arquivos anexados Não abrir arquivos de outras fontes sem passar pelo anti-vírus

53 Ataques no nível de Aplicação Cavalo de Troia Programa recebido como um presente Cartão virtual, foto, protetor de tela, jogo, etc... Executa códigos maliciosos Instalação de keyloggers ou mouseloggers Furto de senhas e outras informações sensíveis Inclusão de backdoors para permitir acesso total ao computador Alteração ou destruição de arquivos

54 Ataques no nível de Aplicação Cavalo de Troia Não é vírus nem worm por não infectar outros arquivos e nem se propagar automaticamente Normalmente é único arquivo que precisa ser executado Podem ter vírus ou worms embutidos Como proteger? Uso de anti-vírus Uso de firewall pessoal

55 Ataques no nível de Aplicação Adware e Spyware Adware: software projetado para propagandas, normalmente na Web ou na instalação de outro programa no seu computador Diversos adwares tentam utilizar nomes aleatórios para dificultar sua remoção Spyware: monitorar atividades de um sistema e envia para terceiros Existem adware que agem como spyware que monitoram comportamento do usuário Podem ser usados de forma legítima, mas muitas vezes não é o que ocorre

56 Ataques no nível de Aplicação Adware e Spyware Uso ilícito de spyware: Monitoramento de URLs acessadas pelos usuários Alteração da página inicial do browser Varredura dos arquivos do HD Monitoramento e varredura de informações em outros programas Instalação de outros programas spywares Monitoramento de teclas digitadas ou captura de mouse Captura de senhas

57 Ataques no nível de Aplicação Adware e Spyware Uso legal: Monitoramento hábitos de usuários / funcionários desde que especificado em contrato Monitorar o que estão acessando do seu computador Como proteger? Uso de anti-spyware Firewall pessoal

58 Ataques no nível de Aplicação Adware e Spyware É UM SPYWARE?

59 Ataques no nível de Aplicação Backdoor Todo atacante quer retornar ao alvo Disponibilização de um serviço ou alteração de um serviço que permita acesso remoto Pode ser incluído por um cavalo de tróia ou através de softwares de acesso remoto mal configurados, não caracterizando invasão Podem ser inclusos em qualquer SO

60 Ataques no nível de Aplicação Backdoor Como proteger? Monitorar softwares de acesso remoto Firewall pessoal Não executar arquivos desconhecidos Atualizar softwares e SO

61 Ataques no nível de Aplicação Keylogger Software que captura e armazena teclas digitadas pelo usuário Pode obter qualquer informação: , senha... Instalado através de spyware ou cavalo de tróia A maioria possui função que permite envio automático das informações por Solução: Uso de teclados virtuais Foram criados os mouseloggers que capturam posição do mouse Solução: Uso de teclado virtual com posição aleatória

62 Ataques no nível de Aplicação Worms Programa capaz de se propagar automaticamente através da rede, enviando cópias de si É diferente do vírus, pois não precisa ser executado e não embute cópias de si em arquivos Propagação através de vulnerabilidades

63 Ataques no nível de Aplicação Bots Semelhante ao worm (propagação automática através de vulnerabilidades) só que com comunicação com o invasor, permitindo controle remoto Podem: Desferir ataques na Internet Executar ataques de negação de serviço Enviar spam Enviar phishing Conceito: phishing tentativas de adquirir dados pessoais de diversos tipos: senhas, dados financeiros como número de cartões de crédito e outros dados pessoais

64 Ataques no nível de Aplicação SPAM Termo usado para recebimento de mensagens não solicitadas Normalmente enviado para grande número de pessoas Problemas aos usuários: Não recebimento de s (caixa lotada) Tempo desnecessário Aumento de custo Conteúdo impróprio ou ofensivo

65 Ataques no nível de Aplicação SPAM Problemas aos provedores/backbones: Impacto na banda Má utilização de servidores Inclusão em lista de bloqueios Investimento em pessoal e treinamento Como spammers obtém informações? Compra de BD de usuários Spywares Varre páginas web, lista de discussões...

66 Ataques no nível de Aplicação SPAM Como filtrar? Spam blocking and filtering: Anti Spam Yellow Pages: Reclame com cópia para: (que mantém dados estatísticos de spam no Brasil) Informe o cabeçalho do Tracking Spam:

67 Bibliografia NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 4. Vasconcelos, L. E. G. Notas de aula. Segurança da Informação. FATEC Guaratinguetá, 2013 Kleinschmidt J. H. Notas de aula. Segurança da Informação. Universidade do ABC, 2011