Cyber War A Nova Guerra



Documentos relacionados
Firewall. Alunos: Hélio Cândido Andersson Sales

PARANÁ GOVERNO DO ESTADO

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

UNIVERSIDADE FEDERAL DE PELOTAS

Firewall. Qual a utilidade em instalar um firewall pessoal?

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Revisão 7 Junho de 2007

SUMÁRIO 1. AULA 6 ENDEREÇAMENTO IP:... 2

Auxiliar de instalação (Português Brasileiro) Primeiros passos


Curso de Informática Básica

10 DICAS DE TECNOLOGIA PARA AUMENTAR SUA PRODUTIVIDADE NO TRABALHO

Manual do Usuário Certificação

Como medir a velocidade da Internet?

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda

Ataques DoS e DDoS. Alessandro Santos Germer Rafael Ambiel Faccioli Roberto Röseling Badô. 1. Introdução

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Manual de Instalação ( Client / Server ) Versão 1.0

Sistemas para Internet 06 Ataques na Internet

MANUAL DE CONFIGURAÇÃO DO BACKUP

DDoS: como funciona um ataque distribuído por negação de serviço

Manual do usuário. Mobile Auto Download

F-Secure Anti-Virus for Mac 2015

MANUAL DE CONFIGURAÇÃO

Segurança de Redes & Internet

Introdução ao Modelos de Duas Camadas Cliente Servidor

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar

Atualizaça o do Maker

A segurança na utilização da Internet é um tema muito debatido nos dias atuais devido à grande quantidade de ladrões virtuais.

Manual Replicação Manual VPN

Segurança em Computadores. GTI SEDU

Novidades do AVG 2013

Despachante Express - Software para o despachante documentalista veicular DESPACHANTE EXPRESS MANUAL DO USUÁRIO VERSÃO 1.1

Entendendo como funciona o NAT

Características de Firewalls

Capítulo 5 Métodos de Defesa

Manual de Atualização Versão

Follow-Up Acompanhamento Eletrônico de Processos (versão 3.0) Manual do Sistema. 1. Como acessar o sistema Requisitos mínimos e compatibilidade

Vírus é um programa. Sendo que este programa de computadores é criado para prejudicar o equipamento ou sabotar os dados nele existente.

DNS DOMAIN NAME SERVER

CONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS

Via Prática Firewall Box Gateway O acesso à Internet

Nettion Security & Net View. Mais que um software, gestão em Internet.

Operador de Computador. Informática Básica

Principais Benefícios. ESET Endpoint Security

IMPLEMENTAÇÃO DE SOCKETS E THREADS NO DESENVOLVIMENTO DE SISTEMAS CLIENTE / SERVIDOR: UM ESTUDO EM VB.NET

SCPIWeb. SCPIWebDespRec Aplicação Web para Consulta de Despesas e Receitas ( Lei Complementar nº 131 de 27 Maio de 2009 )

FileMaker Pro 14. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 14

LICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER

INSTRUMENTO NORMATIVO 004 IN004

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

Guia do Administrador de Licenças de Usuários Autorizados do IBM SPSS Modeler

Manual UNICURITIBA VIRTUAL para Professores

Sistema de Chamados Protega

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Manual de Instalação do Agente Citsmart

DNS DOMAIN NAME SERVER

Manual para participantes. Sala virtual multiplataforma

Passo a Passo da instalação da VPN

Arquitetura de Rede de Computadores

Fox Gerenciador de Sistemas

FileMaker Pro 13. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 13

Omega Tecnologia Manual Omega Hosting

Códigos Maliciosos. Prof. MSc. Edilberto Silva

1. DHCP a. Reserva de IP

Capítulo 1: Introdução...3

Rotina de Discovery e Inventário

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

Microsoft Lync Manual de Instalação e Uso

MANUAL DE INSTALAÇÃO 1) ORACLE VIRTUALBOX ; 2) MICROSOFT WINDOWS ; 3) SUMÁRIOS GENEPLUS.

Comm5 Tecnologia Manual de utilização da família MI. Manual de Utilização. Família MI

Escaneando seu computador com o Avira AntiVir 10

Aula 12 Lista de verificação de segurança para o Windows 7

O QUE VOCÊ PRECISA SABER SOBRE DOMÍNIOS

Ricardo Lino Olonca. Novatec

NOME: MATHEUS RECUERO T2 ANTIVIRUS PANDA

Ameaças e Contramedidas de Host

CSAU Guia: Manual do CSAU 10.0 como implementar e utilizar.

GUIA PRÁTICO DE INSTALAÇÃO

Manual Portal Ambipar

MANUAL DE INSTALAÇÃO E CONFIGURAÇÃO. Motor Periférico Versão 8.0

Atualização Mandatória de Versão do Amadeus Pro Web (2.0P431BR) 25 de junho de 2007 Gerência de Produtos & Operações Amadeus Brasil

gladiador INTERNET CONTROLADA

Manual de uso do aplicativo Filho Sem Fila

Informática - Prof. Frank Mattos

COMO FUNCIONA UM ANTIVÍRUS E QUAIS SUAS PRINCIPAIS FALHAS

BEM VINDO (A) À ACTVS SOFTWARE E APOIO A GESTÃO

CONFIGURAÇÃO MINIMA EXIGIDA:

Introdução ao Active Directory AD

Transcrição:

Cyber War A Nova Guerra Parte II As Ações Por Leonardo SANTOS Silva (0/007) 1 - Introdução No primeiro artigo, conhecemos o conceito por trás da cultura dos hackers e vimos suas organizações de acordo com seus ataques. Neste segundo artigo, veremos como geralmente está estruturada uma rede corporativa, como são os ataques que estão ocorrendo no Brasil e como alguns especialistas já consideram que a guerra cibernética já começou. - As redes corporativas Normalmente, as estruturas das redes corporativas são muito parecidas, no que diz respeito à sua implantação conceitual. Página 1 de 11

Internet Rede Desmilitarizada Roteador Roteador Rede Interna Célula de Segurança DNS Autoritativo 1 FLB DNS Autoritativo IDS MQ Series MQ Series BD Aplicação Web Firewall Figura 1 Estrutura típica de segurança em ambientes corporativos Todo acesso proveniente e destinado à internet passa por uma área chamada Zona Desmilitarizada, ou DMZ. Nesta área o tráfego de dados é analisado por equipamentos como Firewall, Firewall Load Balance (FLB), Detector de Intruso (IDS) e Sistema de Prevenção de Intruso (IPS). Caso os dados de entrada não contenham nenhum comportamento ameaçador, eles são autorizados a seguir para outros servidores ou estações, estejam elas localizadas na DMZ ou na rede interna. Quando existe a necessidade de saída de dados, geralmente verificase se o solicitante (usuário ou uma estação) possui privilégios suficientes para que a informação seja enviada para fora da empresa. Caso a autorização exista (geralmente gravada no Firewall), a conexão externa é estabelecida e a comunicação (envio e recebimento de dados) é iniciada. Dentro da rede interna também existe alguns mecanismos de defesa, geralmente antivírus, firewall nas estações (conhecidos como Firewall de Host) e controles de acesso. Esses componentes, de uma maneira genérica, criam as camadas de proteção que as empresas possuem para se protegerem do mundo externo. Nesse contexto estão presentes 3 atores que compõem e sustentam os serviços disponibilizados: Página de 11

Tecnologia; Processos; Pessoas. Qualquer falha em um destes componentes pode levar a um desequilíbrio na balança e provocar prejuízos, sejam eles financeiros, operacionais ou de imagem. 3 - As redes Zumbis e a Preparação do Campo de Batalha BotNETs Primeiramente, é necessário definir um termo muito utilizado na área de segurança da informação para descrever a família de programas maliciosos que são criados para causar algum mal nos computadores: Artefatos Maliciosos. Esses artefatos incluem, mas não se limitam a vírus, cavalos de troia, worms (vermes), hoax e discadores. Todos eles realizam tarefas distintas nas máquinas clientes, entre elas, se duplicar, se atualizar, enviar e receber informações, criptografar arquivos, abrir portas para outras invasões, etc. O grande objetivo dos hackers é infectar o maior número de computadores possível. Diversos meios são usados, entre os mais comuns estão: Envio de e-mails com artefatos maliciosos; Endereços de internet suspeitos que instalam programas sem a autorização do usuário; Duplicação pelas pastas compartilhadas nas redes corporativas; Pendrivers, CD s ou DVD s obtidos de maneira suspeita. Figura Uma das formas mais comum de infecção é por e-mails Uma vez que o artefato malicioso esteja instalado no computador da vítima, várias ações podem ser realizadas, dependendo da característica do programa: Roubo de senhas bancárias ou informações pessoais; Levantamento do comportamento do usuário; Criptografia de arquivos para solicitação de um resgate posterior; Destruição de dados; Criação de uma rede de ataque. Página 3 de 11

Esse último, a criação de uma rede de ataque, foi a primeira arma que possibilitou o ataque em massa que o Brasil presenciou nos últimos dias. Um artefato malicioso é instalado na máquina contaminada. Por padrão, essa máquina infectada (chamada de Zumbi) se conecta em um programa de comunicação chamado IRC (Internet Relay Chat), de onde recebe diversas ordens, enviadas por um usuário mestre. As ordens geralmente são: attack - Realiza um ataque de negação de serviço (DoS) em um site ou endereço IP específico. stop - Para o ataque DoS em um alvo específico. stopall - Para o ataque DoS em todos os alvos. update - Download e instala uma versão atualizada do artefato malicioso. info - Envia as informações do sistema infectado: o endereço IP; o Nome do computador; o Dominio; o Nome de Usuário; o Sistema Operacional. status - Mostra o status do ataque sendo realizado pelo zumbi. Essas redes de máquinas zumbis infectadas são chamadas de BotNet. Geralmente um grupo controla uma BotNet, com o objetivo de vender os serviços de ataques. Grandes redes chagam a possuir mais de.000 máquinas zumbis e seus ataques são vendidos por US$ 9,00 a hora i. Figura 3 A BotNet sempre recebe as ordens de ataque de um Mestre Página 4 de 11

Figura 4 Configuração da BotNet Chimera, que é instalado junto com programas de MP3 gratuitos na Internet 4 - DDoS Atingem os Web Sites do Governo Brasileiro Os ataques que atingiram algumas páginas da Internet do governo brasileiro e da Petrobrás são conhecidas como Negação de Serviço Distribuído, ou DDoS do inglês (Distribuited Denail of Service). Sua característica, como o próprio nome diz, é negar a um usuário a utilização de um serviço. Mas antes de explicar como funciona esse tipo de ataque, é preciso passar algumas noções básicas. 1 3 Quando um computador qualquer faz uma requisição a um servidor (uma página web, um correio eletrônico, etc), três etapas são estabelecidas para que se inicie essa comunicação: Figura 5 O processo de início de comunicação entre o cliente e o servidor 1. O solicitante envia uma mensagem requisitando uma conexão. Algo como um Olá, sou fulano de Tal; podemos conversar?. O servidor responde a solicitação identificando-se também: Olá Fulano, sou o Ciclano. Podemos conversar sim. E aguarda a terceira parte da comunicação. Se depois de um Página 5 de 11

determinado tempo a terceira parte não vier, o servidor envia mais uma requisição, enquanto a conexão está aberta. 3. O solicitante envia uma última mensagem, como se dissesse: Ok, vamos começar a conversa. A partir daí, os dados são recebidos e enviados. Esse é o processo normal de comunicação entre um cliente e um servidor. Mas essa comunicação não ocorre uma vez por cliente, como se fosse em série. Ela acontece com vários clientes simultâneos, já que o Servidor é capaz de conversar com vários Clientes ao mesmo tempo. 1 3 1 3 1 3 1 3 Figura 6 Capacidade do servidor de receber solicitações de comunicação Entretanto, esse número de clientes que o servidor consegue suportar é limitado. Seja pela capacidade do próprio servidor ou pelo tamanho da banda de internet, chega a um momento em que, vários clientes falando ao mesmo tempo fazem com que o servidor passe a não responder todas as solicitações a ele enviadas, congestionando o canal de comunicação. Esta situação torna-se perigosamente mais alarmante quando o tráfego que chega aos servidores é proveniente de várias redes BotNet. Essas redes são configuradas para enviar apenas a primeira parte da comunicação com o servidor. Assim, o alvo de um ataque DDoS recebe milhares de milhões de solicitações de Olá, sou fulano de Tal; podemos conversar?. Nesse momento, novas solicitações, sejam elas de redes de ataques BotNet ou usuários autênticos, são ignoradas, pois a fila de espera do servidor para responder é muito longa. Página 6 de 11

Figura 7 Várias solicitações de comunicação acima da capacidade Na ilustração acima, podemos imaginar várias redes de ataque a um serviço na Internet (Setas em vermelho), enquanto as requisições autênticas (seta verde) terão as respostas necessárias. Aparentemente essa é a forma na qual os sites da Presidência da República, do Portal Transparência, da Receita Federal e da Petrobrás foram atingidos. Nenhum dado foi furtado, mas durante a onda de ataque, nenhuma pessoa poderia conseguir as informações necessárias nesses sites. Uma observação importante é que os atacantes sabiam exatamente onde atacar, pois já haviam feito o mapeamento da rede interna dos sites atacados. Figura 8 Mapeamento do portal Brasil.gov.br com o endereço dos alvos Página 7 de 11

A imagem acima foi obtida no endereço http://imgpaste.com/i/osxds.png e o mapeamento da rede da Petrobrás segue o seguinte endereço: http://imgpaste.com/i/ockll.png 5 - StuxNET, o Artefato de Guerra Apesar de acompanharmos casos como o recente ataque a órgãos públicos e privados, no Brasil e no mundo, existe outro tipo de conflito que não é muito explorado, o pelo menos não muito noticiado: quando estados soberanos atacam outros estados. A Estônia é um pais que, como o Brasil, tem grande parte de seus serviços disponíveis na rede. Eleições, sistemas bancários, sistemas do governo, entre outros. Por volta de abril e maio de 007, este governo do Leste Europeu viveu seus dias de escuridão por causa de um ataque DDoS. A rede central do pais foi atacada de tal forma e com tantos pontos de origem que ela simplesmente não conseguia responder a todas as requisições que eram feitas. Com isso, todos os serviços daquele pais que necessitavam da rede de computadores para serem executados, ficaram inativos. Supôs-se na época que os ataques foram coordenados por Moscou, uma vez que as instruções de ataque estavam em russo ii. Mas se foi um ataque orquestrado pelo Kremlin, ninguém conseguiu provar ao certo. Mais recentemente, um ataque meticulosamente planejado, acertou as centrífugas nucleares do Irã iii, atrasando o projeto de enriquecimento do urânio em pelo menos 10 anos. O que fez deste ataque uma obra prima no meio da segurança da informação foi sua especificidade. Ele foi criado para atacar um componente específico de uma usina nuclear. E tudo isso, personificado na figura de um vírus de computador (W3_StuxNet). Apesar de ter sido descoberto em Julho de 010, investigações mais precisas descobriram Figura 9 O Presidente Iraniano visitas as centrifugas, posteriormente danificadas pelo ataque do vírus StuxNet que ele estava ativo a pelo menos um ano antes de sua identificação. Página 8 de 11

As centrífugas eram responsáveis pela separação do Urânio 38 do 35 (este último responsável pela produção da energia nuclear. O processo é repetido em várias centrífugas até que o U35 possa ser usado. Figura 10 Centrífugas de enriquecimento de urânio A ação do StuxNet é composta de alguns passos que, apesar de parecerem simples, mostram que foi preciso uma equipe especializada em várias matérias para a sua criação: 1. Sua disseminação foi feita por pendrivers perdidos em lugares estratégicos;. Quando a pessoa conectava o pendrive no computador, o vírus automaticamente se replicava e infectava o computador; 3. Ele se espalha pela rede através de pastas compartilhadas e do protocolo de impressão para outros computadores; 4. Faz uma série de verificações no computador instalado; 5. Se atualiza com servidores; 6. Se conecta a um Controlador Lógico Programado (PLC) Somente se esse PLC for um SIEMENS 6ES7-315-; 7. Altera a programação desses PLC s. Após isso ele entra em um ciclo e execução, de acordo com a figura abaixo. Página 9 de 11

Coleta de Eventos De 13 dias a 3 meses Aguarda horas 1 3 Reinicio do ciclo Aguarda 5 horas Erro 0 Aguarda de 15 a 50 minutos 5 Executa Figura 11 Ciclo de atuação do StuxNet 4 Assim, o vírus aumentava ou diminuía a velocidade de rotação das centrífugas, fazendo com que a separação do U35 e U38 não funcionasse corretamente. 6 Mitigação Existe um ditado na área de segurança da informação que diz que nenhum sistema é 100% seguro. Ao levarmos isso em consideração, sempre devemos ficar alertas para os fatos recentes. Ninguém precisa ser um especialista em tecnologia para se manter mais seguro quando acessa a Internet. Algumas pequenas ações ajudam muito na prevenção de incidentes de segurança, entre elas: Possua um antivírus confiável e principalmente, atualizado diariamente. A cada dia, novas pragas virtuais são criadas e para identifica-las, o antivírus deve estar atualizado; Utilize o Firewall do seu Sistema Operacional ou Antivírus. Normalmente, os sistemas Operacionais (Windows, Linux, Mac OS, etc) em suas versões mais recentes, possuem Firewall nativo. Programas de antivírus mais completos, também possuem um firewall mais completo que as versões dos sistemas operacionais. Esses programas conseguem impedir que atacantes invadam seu computador e que informações sejam roubadas, ou que o computador realize um ataque de DoS; Mantenha seu sistema operacional e principais aplicativos atualizados. Os principais fornecedores (Microsoft, diversas distribuições de Linux, Apple) geralmente disponibilizam essas atualizações na internet e de forma gratuita. Até mesmo dentro Página 10 de 11

do Sistema Operacional, existe a possibilidade de pesquisar quais as atualizações que estão faltando e instala-las automaticamente; Desconfie de e-mails enviados de maneira genérica (seu nome consta no nosso cadastro, você foi sorteado, sua mulher está te traindo) e solicitando que você abra um arquivo ou clique em um link específico. Também desconfie de programas gratuitos na internet. Muitos deles incluem artefatos maliciosos escondidos que são instalados sem a sua autorização e consentimento. São ações pequenas, simples e individuais, mas que garantem uma maior segurança na utilização da Internet. 7 - Conclusão Há uma guerra sendo travada. Grupos independentes ou patrocinados por estados estão em movimento e já mostraram do que são capazes. Essa nova guerra assemelha-se com o que foi visto no Vietnã quando forças Norte Americanas combateram um exército menos numeroso. O combate era assimétrico e mesmo assim, o governo de Washington sofreu uma de suas maiores derrotas na história. Da mesma forma que o Brasil treina seus combatentes para uma guerra assimétrica na Amazônia (CIGS), o Pentágono e a OTAN já estão há tempos se preparando para um confronto futuro baseado no campo de batalha virtual. Sobre o Autor Leonardo Santos Silva (LeoSantos@LeonardoSantos.com.br) é Administrador, com MBA em Gestão Executiva e Adesguiano da turma de 007. Já atuou em diversas empresas como especialista em Segurança da Informação, possuindo vários certificados na área e realizando análises de risco, criando Plano de Continuidade de Negócios, Política de Segurança da Informação, Infraestrutura de Chaves Públicas, Análises Criptográficas e Defesa em Perímetro. http://www.leonardosantos.com.br i http://www.zdnet.com/blog/security/study-finds-the-average-price-for-renting-a-botnet/658 ii http://info.abril.com.br/aberto/infonews/05007/1805007-4.shl iii http://tecnologia.terra.com.br/noticias/0,,oi479771-ei1884,00- Virus+Stuxnet+e+ameaca+a+industriaschave+de+todo+o+mundo.html Página 11 de 11

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback