Segurança da Informação 1 Agenda Ameaças 2 1
AMEAÇAS 3 Atacantes (Hackers) O hacker norueguês que ficou famoso por criar programas que quebram as proteções contra cópias de DVDs aparentemente atacou de novo. Desta vez, Jon Lech Johansen (ou DVD Jon) conseguiu destravar o sistema de transmissão sem-fio de músicas criado pela Apple. Folha de São Paulo, 16/08/2004 Quando alguém invadiu os computadores da Slip.net, alterou contas de clientes e apagou dados importantes, o provedor norte-americano não precisou procurar longe para encontrar o culpado.... Era Nicholas Middleton, ex-analista de sistemas da empresa, que foi demitido recentemente. Ele enfrentou as acusações, mas perdeu diante da Justiça e pegou uma pena de três anos. Folha de São Paulo, 04/06/2001 4 2
Por que estudar os atacantes? "Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas (Sun Tzu) 5 Atacantes (Hackers) Kevin Mitnick O hacker mais famoso do mundo e autor de dois livro sobre o assunto. Kevin Poulsen Amigo de Mitnick que ganhou um Porsche fraudando um concurso em emissora de rádio. 6 3
Atacantes (Hackers) Mark Abene Um dos mais notáveis hackers da telefonia. Jonh Draper Fazia ligações gratuitas utilizando um apito de plástico que vinha de brinde em uma caixa de cereais. 7 Atacantes (Hackers) Vladimir Levin Transferiu indevidamente 10 milhões de dólares de contas do banco Citibank. Robert Morris Criador do Morris Worm que paralisou boa parte da Internet em 1998. 8 4
Script Kiddies Conhecidos pelo baixo conhecimento técnico e por usarem ferramentas disponíveis na internet para invadir sistemas, os Script Kiddies são a ameaça mais comumente enfrentada pelas empresas, pois são a maioria dos atacantes existentes hoje. 9 Crackers Possuem conhecimento avançado em informática e são capazes de quebrar proteções de sistemas e softwares, além de roubar informações importantes e destruir os sistemas invadidos. 10 5
Carders Responsáveis por efetuar compras através da internet usando cartões de crédito roubados ou simplesmente gerados. 11 Cyberpunks O alto grau de conhecimento e a preocupação excessiva com privacidade caracterizam esses hackers. Devido a esta última preocupação, os Cyberpunks fazem uso da criptografia para garantir a privacidade dos dados. 12 6
Insiders Atribui-se, geralmente, aos Insiders a execução de espionagem industrial. Eles são funcionários e exfuncionários da própria empresa que têm por objetivo roubar informações confidenciais ou comprometer os sistemas da mesma. 13 Coders Hackers que compartilham seus conhecimentos, os Coders constroem programas, escrevem livros e ministram palestras sobre o que já fizeram. Geralmente foram hackers famosos, e que hoje trabalham legalmente. 14 7
White Hats Possuem como lema o full disclosure ou conhecimento aberto, os White Hats utilizam os seus conhecimentos para encontrar vulnerabilidades em aplicações e sites para divulgá-los e corrigí-los, seja para toda a comunidade ou para contratantes de seus serviços. 15 Black Hats Utilizam seus conhecimentos para invadir os sistemas de organizações para roubar informações, de forma a obter retorno financeiro vendendo-as ou chantageando a organização invadida. 16 8
Phreackers Muitas vezes referenciados pelo termo phreacking, eles são os hackers da telefonia, responsáveis por fraudes telefônicas, tais como alteração de contas, ataques às centrais telefônicas e realização de ligações gratuitas. 17 Ataques Por que estudar os ataques? Talvez, mais importante do que saber quem são os responsáveis pelos ataques aos sistemas computacionais é conhecer quais métodos e tecnologias são empregadas para se comprometer os mesmos. 18 9
Ataque Físico Roubo de equipamentos, fitas magnéticas, CD e disquetes são características deste tipo de ataque. Os dispositivos são retirados da empresa ou roubados de executivos para posterior análise, onde informações importantes são recuperadas dos mesmos e utilizadas ou de forma a prejudicar a empresa em questão ou para obter vantagens comerciais. 19 Packet Sniffing Este tipo de ataque consiste na captura de pacotes que circulam na rede, que podem conter informações importantes e, portanto, confidenciais para a empresa tais como segredos de negócio e senhas de sistemas de software. Os serviços de FTP e Telnet são vulneráveis a esse tipo de ataque, pois é possível obter facilmente as senhas dos usuários que utilizam esses serviços. 20 10
Port Scanning Um ataque de port scanning consiste na análise de um sistema com o intuito de descobrir os serviços que estão disponíveis no mesmo, através da análise das portas de serviços TCP e UDP. De posse das informações obtidas através desse tipo de ataque, pode-se concentrar esforços para comprometer recursos específicos. 21 Scanning de Vulnerabilidades Como visto anteriormente, um port scanner é capaz de identificar as portas e serviços disponíveis em um sistema computacional, mas essas informações ainda não são suficientes para comprometer a segurança de um sistema. Para isso, precisa-se encontrar alguma vulnerabilidade nessas portas e serviços, tarefa do scanning de vulnerabilidades. 22 11
Denial of Service Os ataques de DoS (Denial of Service) ou negação de serviço consistem na obtenção de perda de desempenho proposital de serviços ou sistemas, de forma a impossibilitar o seu uso pelas pessoas que possuem permissão para acessá-los. 23 Ataques no Nível da Aplicação Os ataques no nível da aplicação envolvem basicamente a exploração de vulnerabilidades em aplicativos e protocolos na camada de aplicação da pilha de protocolos TCP/IP, isto é, a camada mais próxima do usuário. 24 12
Malware Código malicioso Programas desenvolvidos com o objetivo de causar danos 25 Vírus Programa ou parte de um programa Propagação por infecção de arquivos ou programas Depende da execução do programa ou arquivo infectado para entrar em funcionamento 26 13
Worms Programa capaz de se propagar automaticamente Não precisa ser executado para se propagar Explora vulnerabilidade ou falhas de configuração dos sistemas 27 Cavalo de Tróia Trojan horse Programa normalmente recebido como presente Além de executar o que se propõe inicialmente, executa funções maliciosas 28 14
Spyware Software que tem o objetivo de espionar as ações do usuário Normalmente enviam as informações coletas para terceiros Pode ser utilizado como Adware (Advertising software) 29 Backdoors Programas que permitem ao atacante retornar ao sistema de forma mais fácil Evitam que o atacante tenha que reutilizar as técnicas de invasão utilizadas da primeira vez Muitas vezes, permite que o atacante retorne ao sistema sem ser notado 30 15
Keyloggers Programa capaz de guardar as teclas pressionadas por um usuário Propicia o roubo de senhas Normalmente possuem um mecanismo para envio das informações a terceiros 31 Bot Programa capaz de se propagar automaticamente Explora vulnerabilidades ou falhas de configuração Uma vez dentro do sistema, pode ser controlado remotamente Está geralmente ligado a uma botnet 32 16
Rootkits Conjunto de programas capazes de esconder as atividades de um invasor do sistema Após instalado, propicia ao atacante acesso privilegiado e possibilidade de retorno ao sistema 33 Buffer Overflow Estouro de buffer Normalmente relacionado ao armazenamento de uma quantidade de informação maior do que o previsto Leva a uma condição de falha, muitas vezes não prevista, no sistema 34 17
SQL Injection Inserção de trechos de código sql ao invés de dados Pode causar a execução indevida de comandos pelo SGBD 35 Cross-site Scripting (XSS) Inserção de script como entrada em web sites Possibilita a execução de script malicioso em páginas de terceiros 36 18
Anatomia de um Ataque Conhecer a forma de ataque utilizada pelos atacantes auxilia na proteção dos ativos É possível tomar a melhor contramedida quando se tem informações sobre o tipo de ataque esperado 37 Anatomia de um Ataque Os passos básicos de uma metodologia de ataque são: Pesquisar e avaliar Explorar e penetrar Escalar privilégios Manter acesso Negar serviço 38 19
Pesquisar e Avaliar Primeiramente o atacante pesquisa um alvo, colhendo informações relevantes sobre o mesmo, tais como serviços fornecidos, protocolos utilizados, etc. De posse dessas informações, ele começa uma avaliação com o objetivo de identificar vulnerabilidades que possam ser exploradas 39 Explorar e Penetrar Após identificado o alvo, o atacante começa a explorar as possíveis falhas a fim de penetrar no sistema A penetração pode ocorrer por uma rede, host ou aplicação 40 20
Escalar Privilégios Ao comprometer um ativo (rede, host ou aplicação), o próximo passo é elevar privilégios, isto é, conseguir controlar uma conta de usuário com privilégios especiais, como por exemplo, a conta Administrador ou Root A utilização de contas de usuários restritos não confere grande capacidade de causar danos aos ativos 41 Manter Acesso Muitas vezes, um ataque completo, dura vários dias, portanto, é necessário providenciar acesso fácil posteriormente O atacante também pode voltar a penetrar no sistema a fim de apagar seus rastros 42 21
Negar Serviço Muitos ataques têm como objetivo final prejudicar um serviço, impossibilitando que os usuários o acessem É possível que o atacante, na impossibilidade de escalar privilégios, opte por simplesmente prejudicar o serviço oferecido aos usuários 43 Anatomia de um Ataque Pesquisar e Avaliar Explorar e Penetrar Escalar Privilégios Manter o Acesso Negação de Serviço 44 22
Bibliografia [1] Segurança de Redes, Carvalho, Luciano Gonçalves, Ciência Moderna, 2005. [2] Gestão da Segurança da Informação: Uma Visão Executiva, Sêmola, Marcos, Campus, 2003. [3] NBR/ISO/IEC 17799 Tecnologia da Informação: Código de Prática para a Gestão da Segurança da Informação. [4] Jornal Folha de São Paulo, http://www.folha.uol.com.br [5] Jornal O Globo, http://oglobo.globo.com/jornal/ [6] Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br, http://www.cert.br 45 23