COMO FUNCIONAM AS AMEAÇAS
DA INTERNET E O CYBERCRIME
Mariano Sumrell Miranda
APRESENTAÇÃO

Mariano Sumrell Miranda
[email protected]

Winco Tec. e Sistemas



Empresa com + 10 anos de desenvolvimento de tecnologia de
segurança e conectividade
Fabricante do Winconnection
- Controle de Acesso à Internet, Filtro de Instant Messaging,
Filtro de e-mail e servidor de e-mail
Fabricante do Winco Edge Security
- Filtro de Instant Messaging e Filtro de e-mail

Distribuidor no Brasil do AVG
- Alguns componentes do AVG feitos pela Winco
AMEAÇAS NA INTERNET

Antigamente Hackers eram motivados por:

fama

vencer desafios

provar conceitos
HACKERS HOJE

Cybercrime atividade profissional (criminosa)


Sofisticados e altamente organizados
Atividades

Espionagem industrial

Sabotagem de concorrentes

Roubo de Informações como cartões de créditos e senhas de banco

Envio de SPAM

Click Fraud

Chantagem e extorsão
- Sequestro de HD
- Ameaça de parar o sistemas computacional
CYBERCRIME

Venda de produtos e serviços.

Programa DDoS Bot: US$ 400

Envio de Spam: US$ 150 / milhão

Info sobre cartões de crédito: US$ 0,10 a US$25

Web Exploit ToolKit (WET): US$ 20 a US$400

Aluguel/Venda de Botnets

Informações Bancárias

Senhas de contas de e-mail

Aluguel de local para entrega de mercadorias

Conversão para dinheiro
CLASSIFICAÇÃO DE
MALWARE

Pela forma de propagação




Pelo atividade realizada






Vírus
Worm
Cavalo de Tróia
Backdoor
Spyware
Keylogger e screenlogger
Downloaders
Etc
Por Características Especiais

Rootkit
VÍRUS




Se anexa a programas hospedeiros
Altera início de programa para executar o código
malicioso
Código malicioso costuma infectar outros arquivos,
inclusive pelo compartilhamento de rede
Pode criar novos executáveis e, através da Registry do
Windows forçar a sua execução na inicialização da
máquina.
WORM
Não precisa de programa hospedeiro
 Se propaga pela rede
 Entra no computador explorando falhas de segurança (exploit)




Sistema Operacional
Aplicativo
Exploit mais comum: buffer overflow
CAVALO DE TRÓIA

Exige a ação da vítima para se instalar:



Executar um anexo de e-mail
Fazer download de programa
Técnica mais utilizada pelos hackers:

Engenharia Social nas suas mais diversas formas
ROOTKIT

Programas que escondem a sua presença
tornando impossível a sua detecção pelos
mecanismos convencionais


Costumam alterar chamadas (API) do sistema operacional:

Acesso a Arquivos: não mostram os arquivos maliciosos

Identificação de processos: não mostram os processos maliciosos
Podem ser instalados no kernel (módulos carregáveis,
device drivers) ou nas bibliotecas do S.O. (DLLs).
HISTÓRIA

1982 – Primeiro vírus disseminado

Elk Cloner – Infectava disquetes (boot sector) do Apple II

A cada 50 boots apresentava um poema:
Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!
HISTÓRIA
1983 – Primeiro vírus de laboratório documentado.
Cunhado o termo “Vírus de computador”.
 1986 – Primeiros vírus de PC: Brain, ping-pong


Eram vírus de boot sector.

1987 – Primeiros vírus de arquivos.

1988 – Robert Morris lançou o primeiro “worm” da
Internet derrubando 6.000 máquinas por 36 horas.

1995 – Primeiro vírus de macro.
PING-PONG
HISTÓRIA
1999 – Mass mailing worms
(Melissa, I Love You, MyDoom)


2001 – Bots and worms (Code Red, Nimda)


Code Red contaminou 350 mil servidores em 12 h
2004 – Ataques Web

Windows XP SP2 – firewall ligado por default

Portas Web (80 e 443) sempre abertas
VETORES DE PROPAGAÇÃO
 Disquetes
 E-mails
 Worms explorando falhas de segurança
 Sites comprometidos
AMEAÇAS NA NAVEGAÇÃO
 Antigamente, sites pornográficos e de jogatina eram
as principais formas de ataque pela Web
 Hoje se escondem em páginas de empresas idôneas
que foram atacadas sem o conhecimento dos
responsáveis.
 Para se esconder, ficam pouco tempo em cada página
ou só se manifestam em 1 a cada N acessos.
TEMPO DE VIDA DE DOMÍNIO
COM CÓDIGO MALICIOSO
ATAQUES NA NAVEGAÇÃO

Páginas Maliciosas:

Download de programas maliciosos
(em geral com engenharia social)

Exploit de falhas de segurança do browser

Ataques em Active-X, Java ou JavaScript

Necessidade de detecção antes de chegar no browser

Proteção baseada em base de dados → Proteção Limitada

Necessidade de verificação em tempo real 8
COMO OS SITES SÃO
ATACADOS

Explorando falhas de segurança do servidor Web

Explorando falhas de segurança da aplicação Web

Usando credenciais FTP utilizadas pelo dono do site
para fazer upload

Nome de Usuários e Senhas trafegam em aberto no FTP.
BOTNETS

Conjuntos de computadores “escravizados” por
cybercriminosos

Envio de SPAM

Ataques (sabotagem, extorsão)

Botnet = Robot network

Máquinas comprometidas por vírus, worms ou
cavalos de tróia.
BOTNETS

Se comunicam através de um componente IRC
(Internet Relay Chat) que se conecta a um canal de um
ou mais servidores IRC.

Mais recentemente o Twitter foi usado para a comunicação.
DoS – DENIAL OF SERVICE

Ataque que faz com que determinado serviço pare
de funcionar.

DDoS - Distributed DoS

Ataque feito de botnets.
DoS

Inundar um link

Inundar servidor de e-mail

SYN Flood


Mantém conexões TCP semi-abertas, consumindo recursos até a
exaustão dos mesmos.
PING of Death - Ping com mais de 64K bytes que derrubava
o Windows 95 e algumas versões do Linux.

Enviar pacotes mal formados que fazem o servidor “crashar”.
CAPTURA DE INFORMAÇÕES
TRAFEGANDO NA REDE

Sniffers

Em redes locais

Se houver switches: ARP Poisoning

Interceptando nos roteadores/redes no caminho

Se for criptografado: Man In the Middle

Pode ser aplicado em redes locais com ARP Poisoning
SSL (SECURE SOCKET LAYER)





Na conexão, cliente envia sua chave pública.
Servidor responde com sua chave pública, criptografada
pela chave pública do cliente.
Cliente responde, pedindo uma chave de sessão (usada
para criptografar o resto da comunicação).
Servidor envia chave de sessão, criptografada pela chave
pública do cliente.
A partir desse momento toda a comunicação se dá com a
chave de sessão (chave simétrica).
MAN IN THE MIDDLE
 Se o cliente não tiver como verificar a chave do
servidor, é possível interceptar a comunicação.
C
liente
S
erver
H
acker
FINGIR SER OUTRA PESSOA

Usando Login/Senha de outra pessoa

Sniffer

Tentativa e erro:
- força bruta
- dicionário

Engenharia Social

Fingir ser outra pessoa em mensagens de e-mail,
MSN, sites sociais.
FORÇAR A EXECUÇÃO
DE CÓDIGO

Vírus e Worms

Usar Engenharia Social para induzir usuário a executar
certo programa.

Explorar Falhas de Segurança de Programas:


Buffer Overflow
Code/SQL Injection
BUFFER OVERFLOW
Programa lê dados de entrada assumindo que tem certo valor
máximo.

Se dados forem maiores que o esperado há um estouro de
buffer.

Estouro provoca sobreposição de dados de dados na stack
(pilha).

É inserido código malicioso na stack e endereço de retorno a
alterado para a execução dos desse código.

Ataque pode vir pela rede ou através de dados (imagens,
videos, PDF, .doc) mal formados.

SQL INJECTION

Formulário com campos “usuario” e “senha”:

Teste de login:
- SELECT * from usuarios where usu = usuario and password =
senha;

Se em senha eu preencher:
- senha; INSERT INTO usuarios (usu, passwd,priv) VALUES
(mariano,qualquer, all)
WEB2.0 E SEGURANÇA
Maior interatividade sempre é uma porta sujeita a ser
invadida


Grande disponibilidade de informações pessoais.

Terreno fértil para o uso de Engenharia Social
MOBILIDADE E SEGURANÇA

Smarthphones são computadores com CPU, memória,
área de armazenamento, sistemas operacional e
aplicativos e conectados à internet.

Mesmos problemas de segurança que desktops
e servidores.
MOBILIDADE E SEGURANÇA


Já existem vírus para celulares
Podemos comprar na Internet programa que dá
acesso
à camera e microfone dos celulares, bem como acesso
às conversas telefônicas.

Assim como os notebooks, carregam uma série de
informações. Precisamos proteger essas informações
em casos de roubos e furtos.
CLOUD COMPUTING E
SEGURANÇA

Segurança dos sistemas e dados a cargo do
provedor de serviço
“Que bom. Deixo a segurança a cargo de especialistas e menos
uma preocupação para mim.”
“Não gosto de perder o controle sobre os meus dados.”
CLOUD COMPUTING E
SEGURANÇA

Os sistemas são acessados remotamente. Mais
vulneráveis que datacenters isolados.

É necessária especial atenção para autenticação e
controle de acesso.

As ferramentas de segurança podem utilizar serviços
e informações na nuvem para proteger os seus
usuários.
OS ANTIVÍRUS FUNCIONAM?
OS ANTIVÍRUS FUNCIONAM?

Detecção por assinatura é muito eficiente mas tem
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
OS ANTIVÍRUS FUNCIONAM?

Detecção por assinatura é muito eficiente mas tem o
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.

Os antivírus precisam incorporar outras técnicas como
análise comportamental (ex.: IDP do AVG) e bloqueio
de sites comprometidos
ANTIVÍRUS SÃO
SUFICIENTES?

Antivírus e outras ferramentas como firewall, antispam,
filtros de conteúdo são apenas parte da solução

Conscientização e comportamento são a outra parte.

Uso de senhas fortes, não acreditar que ganhou na loteria se
sequer apostou, fazer atualizações de segurança, etc.
CASO ROBERT MOORE

Preso em 2007.
Parte de uma quadrilha que roubava serviços de VoIP e
vendia a seus clientes.

Invadiu centenas de empresas, sendo 15 de
telecomunicação.

Afirma que 70% das empresas que ele scaneou e 45 a
50% dos provedores de VoIP eram inseguros.


Maior falha de segurança: senhas default.
DÚVIDAS?
OBRIGADO!
Mariano Sumrell Miranda
[email protected]