Por que os hackers amam o seu banco de dados? Renato Bognar Principal System Engineer

Transcrição

1 Por que os hackers amam o seu banco de dados? Renato Bognar Principal System Engineer

2 O que iremos ver Por que seus bancos de dados são tão atrativos? Quais os pontos de atenção? Quem são os hackers afinal? Você pode se protege? Qual é a melhor forma de se defender? 2

3 Ataques divulgados recentemente É fácil de encontrar violações de dados! Os mais recentemente são: Starbucks Target Home Depot Evernote Ashley Madison Além de muitos outros... A maior parte das invasões envolve bancos de dados E também envolve as aplicações que acessam estes bancos. 3

4 Invasões 4

5 Ataques para extorção Domino s Pizza (2014) Foram roubados dados de mais de dados de clientes Bélgica e França Entre os dados roubados, estavam informações pessoais dos clientes O objetivo do ataque era extorquir US$ 40, O não pagamento do resgate poderia resultar na publicação de todos os dados. A Domino s não pagou. FONTE: 5

6 Ataques mais comuns Informações de cartão de crédito. Qual é o melhor lugar para encontrar centenas de pessoas com bons cartão de crédito? Sistemas on-line ou de alguma forma expostos 38% de ataques são para capturar cartões de crédito, ocorrem em sistemas de hotéis. A maior parte dos ataques aos hotéis acontecem no ponto de venda ou ao banco de dados. FONTE: 6

7 Atenção! Criminosos são criminosos Não subestime isso. Todo o crime tem fatores de motivação. Motivações principais Interesses financeiros. Retaliação, causar prejuízos. Publicidade, notoriedade. Poder Espionagem industrial Ataques realizados por interesses de organismos governamentais. 7

8 E não para por ai O prejuízo causado pelos ataques pode chegar a US$ 2.1 tri por ano até Em média um ataque causa prejuízo de US$ 6 mi Alguns ataques que causaram grandes estragos: Target: US$ 162 mi Sony Pictures: US$ 100 mi TJX: US$ 250 mi Em quanto tempo? 170 dias em média é o prazo para se detectar um ataque. 45 dias é o prazo médio para se resolver um incidente. FONTE:

9 Porém Sempre deixam rastro! FONTE:

10 Por que os dados da sua empresa são tão atrativos? Dados são moeda de troca Principais clientes de dados pessoais: Ladrões de documentos. Crime organizado. Spammers Operadores/locadores de Botnets (malware que possibilita o uso remoto de um computador infectado ) Valor dos dados pessoais Pode variar entre US$ 0,01 até um pouco mais de US$ 1 Nome ou Phishing (roubo de dados pessoais), spam, crimes de falsidade ideológica. FONTE: 10

11 Informação mínima para fazer dinheiro Qual é a quantidade de informações que alguem precisa para fazer dinheiro? > Somente um endereço de . Sim, somente isso! Qualquer coisa a mais é lucro certo. FONTE: 11

12 Por que os dados da sua empresa são tão atrativos? Extorsão / pedido de resgate Reputação da empresa, perda de status, prejuízo financeiro. Prejuízos a organização. Quanto o seu concorrente pagaria por acesso ao seu banco de dados? Qual seria o tamanho do seu prejuízo se seu banco de dados ficasse indisponível? Qual é o seu plano de recuperação? Em quanto tempo você está on-line de novo? 12

13 Quais tipos de bancos de dados são visados? Bancos de dados são presas fáceis Por que? Todos os bancos de dados tem pelo menos um caminho de acesso a rede. Se há acesso aos usuários do banco de dados pela internet, o cenário começa a ficar mais interessante, pois existem mais caminhos. Resumindo, atacar bancos de dados pode ser muito fácil! FONTE: 13

14 Mais verdades desconfortáveis Na maioria das vezes o foco está totalmente errado! Por muitos anos (e ainda hoje), as empresas estão focadas em: Prevenção Proteção Prevenção e proteção não é o suficiente! As organizações visionárias estão entendendo a importância da Detecção Resposta / Contra ataque 14

15 O que já sabemos? Bancos de dados são alvos muito valiosos. Aplicações geralmente são escritas por Desenvolvedores Desenvolvedores não são profissionais de Segurança (Desculpe, alguém tem que dizer isso.) Aplicações geralmente acessam bancos de dados e sua configuração não está protegida. É fácil burlar monitoramento de dados no funcionamento regular entre a aplicação / banco. Bancos de dados em cloud, geralmente podem facilitar o trabalho dos invasores. FONTE: 15

16 Como os invasores agem? Trabalho de reconhecimento (começam por simples pesquisas on-line) O que você está expondo? Informações de SO / Infra / Serviços Avaliação de valor O que parece interessante e tem algum valor Busca de vulnerabilidades Plano de ataque Como explorar as vulnerabilidades. Execução do ataque 16

17 Ataques comuns a bancos de dados Principais ataques a bancos de dados Dados com senhas fracas ou excessivamente expostas SQL injection Vulnerabilities/Exploits Escalated privileges Denial of Service (DoS) Sequestro de backup PESSOAS Muito mais, mas isto é um bom começo. FONTE:

18 Não se esqueça das vulnerabilidades das aplicações Aplicações são geralmente trusted entities Autenticação pode não ser suficiente É fácil encontrar credenciais armazenadas principalmente em aplicações exportas web 18

19 Por que é tão fácil ser atacado? Listas de exploits e vulnerabilidades estão publicadas on-line Diversas listas de Top of n Database Attacks Fácil de encontrar e entrar, mesmo para script-kids! É muito difícil cobrir todos os back doors É caro e demanda muito tempo Como resultado, muitos bancos de dados ficam vulneráveis. Vulnerabilidades sem correção Nomes padrão de usuário/senha/services Permissões excessivas. 19

20 Tipos de ataques favoritos SQL Injection Engenharia Social Chame alguém para fazer o trabalho sujo por você. Muitos ataques dependem da bondade das pessoas! Gerenciamento de senhas preguiçoso. Muitas senhas para gerenciar! Todos nós somos preguiçosos. às vezes. Cuidado com Banco de Dados com acesso anônimo Alguma de suas senhas está nesta lista? 20

21 As senhas mais comuns senha 1qa2ws 123qwe qweasd asdflkjh zxcvqwer asdfghkj 21

22 Você pode se esconder? Não Bom, talvez um pouco! Máximo de proteção possivel é: sempre mais um 9 depois da virgula. Nunca 100% Prepare-se para ataques de qualquer tipo ou ameaça. Gerenciamento de risco, 101% Reduza as possibilidades de ataque. Exponha o mínimo possível. Desabilite/Remova serviços indesejáveis, feche portas. Mínimo privilégio possível. Dê pouca visibilidade (não entregue o ouro!) 22

23 Qual é a melhor defesa? Melhores práticas Instituto - SANS Critical Security Controls Tenha planos de Continuidade, Disaster/Recovery e Gerenciamento de Risco. Tenha criptografia em todas as conexões ao seu banco de dados com Progress DataDirect ( Plano para prevenção e proteção, mas Também tenha um plano para detecção e resposta! Teste e revise regularmente seu Plano de Continuidade e Disaster Recovery Faça ciclos regulares de PenTest 23

24 Resumindo Esteja atualizado. Fique atendo as informações de ataques relevantes. Entenda o valor dos seus dados. Conheça os pontos de vulnerabilidade do seu ambiente Prepare a melhor defesa! 24

25