SEGURANÇA DA INFORMAÇÃO O novo cenário de ataques e defesa cibernética Francimara Viotti Setembro/2015 Ataques cibernéticos Ataques cibernéticos www.norse-corp.com Ataques cibernéticos - DDoS http://www.digitalattackmap.com/ Novos cenários Novos cenários Bring Your Own Device (BYOD) Funcionários utilizam seus próprios dispositivos e são totalmente responsáveis por escolher quais são eles. Este método é popular entre empresas menores ou aquelas com um modelo de pessoal temporário. Choose Your Own Device (CYOD) Os empregados recebem um conjunto de opções de dispositivos que a empresa aprovou. Dispositivos funcionam dentro do ambiente de TI da empresa, mas os funcionários são os donos dos dispositivos - ou porque pagaram por eles mesmos e pode mantêlos para sempre, ou porque a empresa forneceu um pagamentoe eles podem mantê-los enquanto durar o emprego. Company-issued, Personally-Enabled (COPE) Os funcionários recebem um dispositivo escolhido e pago pela empresa, mas eles também podem usá-lo para atividades pessoais. A empresa pode decidir quanto de escolha e liberdade funcionários podem ter.Este é o modelo mais próximo ao método tradicional de fornecimento de dispositivos. Novos Cenários Antigas ameaças evoluindo Novas ameaças Novas ameaças Ataques feitos com um objetivo específico, em lugar de uma ação oportunista em busca de informações aleatórias que possam levar a ganhos financeiros simplesmente. Muitas vezes esses ataques são guiados por organizações externas. Ataques APT são executados por ações humanas coordenadas, ao invés de serem executadas por meras peças de software automatizado, que é incapaz de responder inteligentemente a situações novas ou inesperadas. Novas ameaças Os agentes por trás desses ataques dispõem de um amplo espectro de técnicas de coleta de inteligência (informações sensíveis). Os agentes geralmente conseguem acessar e desenvolver ferramentas cada vez mais complexas, à medida em que isso se torna necessário. Eles frequentemente combinam múltiplas técnicas, ferramentas e métodos de ataque e normalmente incluem o uso de 0-day exploits e malwares dedicados especificamente ao ataque. Diferentemente das ameaças que necessitam acessar o sistema apenas por um breve período, um dos principais objetivos do agente desse tipo de ataque é obter um acesso de longa duração. O ataque persistente é realizado por uma interação e um monitoramento contínuo, até que se alcance o objetivo que foi predefinido. Ataques mais lentos e realizados em menor escala geralmente obtêm mais sucesso. Se o agente perde acesso ao seu alvo, ele geralmente irá simplesmente tentar obter acesso novamente — e muito frequentemente conseguirá. Ameaça - 1. fato, ação, gesto ou palavra que intimida ou atemoriza. 2.indício de acontecimento desfavorável ou maléfico; sinal. Novas ameaças APT – Advanced Persistent Threat Desde 2004, Mandiant investigou violações de segurança de computadores em centenas de organizações em todo o mundo. A maioria dessas violações são atribuídas a agentes denominados “Advanced Persistent Threat” (APT). Os primeiros detalhes sobre esses APT foram publicados no relatório M-Trends de Janeiro de 2010. Naquela época, a posição da Mandiant foi a de que "O governo chinês pode estar autorizando essa atividade, mas não há nenhuma maneira de determinar o tamanho do seu envolvimento." APT – Advanced Persistent Threat • Três anos depois, no relatório "APT1 Exposing One of China’s Cyber Espionage Units" a Mandiant afirmou "Temos os elementos necessários para alterar a nossa avaliação. Os detalhes que analisamos durante centenas de investigações nos convenceram que os grupos que realizam estas atividades são baseadas principalmente na China e que o Governo chinês está ciente deles." • "APT1 é uma organização de operadores que conduziu uma campanha de espionagem cibernética pelo mundo, contra uma ampla gama de vítimas, desde pelo menos 2006. De nossas observações, é um dos grupos de espionagem cibernética mais prolíficos em termos de grande quantidade de informações roubadas. A escala e o impacto das operações da APT1 nos obrigou a escrever este relatório." APT – Advanced Persistent Threat Stuxnet Desenvolvido e disseminado por Estados Unidos e Israel, o worm Stuxnet foi projetado para atuar em um ciberataque contra o Irã. O objetivo foi dificultar ou se possível impedir que o Irã produzisse armas nucleares e foi direcionado à usina nuclear iraniana de Natanz. Esse ataque pode ser considerado como um começo de uma possível guerra cibernética. Lockheed Martin Ataques executados com o uso de certificados subtraídos da RSA em 2011. Os invasores conseguiram acesso inicial enganando um usuário interno, que abriu uma planilha anexada a um e-mail que explorava uma vulnerabilidade do Adobe Flash. A partir daí, os invasores obtiveram mais privilégios de acesso, instalaram backdoors e obtiveram controle de mais recursos. Operação Aurora Ataque APT direcionado a inúmeras grandes empresas, tais como Google, Adobe, Rackspace e Juniper Networks. Outras empresas também estavam na mira, inclusive Yahoo!, Northrop Grumman, Morgan Stanley, Symantec e Dow Chemical. Acredita-se que o governo chinês tenha direcionado os ataques como parte de uma campanha coordenada de larga escala contra os Estados Unidos e outros países ocidentais. Data Breaches Target - Gigante do varejo americano - 110 M de clientes afetados - Phishing vindo através de parceiro com manutenção remota ( ? ) - Dados roubados à venda na Deepweb por $20 a $100 Janeiro 2014 - Em março de 2015, a Target foi condenada a pagar um total US$10milhões de dólares para os usuários que provarem que foram prejudicados pelo vazamento de dados. Março 2015 Data Breaches Em junho de 2015, o United States Office of Personnel Management (OPM) anunciou que tinha sido alvo de uma violação de dados. As estimativas iniciais indicavam que cerca de quatro milhões de registros pessoais dos funcionários públicos americanos haviam sido roubados. Posteriormente o FBI elevou o número para 18 milhões. Em 9 de julho, 2015, a estimativa do número de registros roubados tinha aumentado para 21,5 milhões. A violação de dados, que supostamente teve início em março de 2014, só foi notada pela OPM em abril de 2015. Esse vazamento foi considerados por funcionários federais como uma das maiores violações dos dados do governo na história dos Estados Unidos. As informações vazadas incluiam números de Seguro Social, nomes, datas, locais de nascimento, endereços, renda, etc. Em 11 de julho de 2015, Katherine Archuleta, diretora da OPM e ex-Diretora Política Nacional para campanha de reeleição de Barack Obama em 2012, Katherine Archuleta, pediu demissão. Data Breaches Ashley Madison é uma rede social de namoro on-line, voltado principalmente para pessoas que já estão em um relacionamento e foi lançado em 2001. O nome do site foi criado a partir de dois populares nomes femininos nos EUA: "Ashley" e "Madison". Seu slogan é"Life is short. Have an affair" (A vida é curta. Curta um caso) Data Breaches O ataque é revelada pelo especialista em segurança Brian Krebs em seu blog. Hackers autodenominados "Impact Team" dizem que vão liberar os dados confidenciais se o site não for encerrado Data Breaches A Avid Life Media, empresa sediada em Toronto, controladora do site, diz na mídia que está trabalhando com a aplicação da lei nos Estados Unidos e no Canadá, onde a empresa está sediada. "O criminoso ou criminosos, envolvidos neste ato, denomiram a si mesmos como juizes, jurados e carrascos, julgando-se aptos para impor uma noção pessoal da virtude em toda a sociedade." Data Breaches Primeiro vazamento de dados: os hackers publicam os nomes, números parciais de cartão de crédito, e-mail, endereços físicos e preferências sexuais de 32 milhões de clientes na chamado Dark Web, o que significa que são dados públicos, mas difíceis de serem encontrados por usuários comuns da Internet. Data Breaches Os dados roubados das pessoas que usaram o site Ashley Madison migram para a Web, tornando-se facilmente pesquisáveis em vários sites. Data Breaches Dois escritórios de advocacia canadenses dizem que entraram com um processo no valor $760.000.000 (dólares canadenses) contra a companhia Avid Life Media: o querelante principal é descrito como um "viúvo com deficiência" que se juntou brevemente ao site após a morte de sua esposa, mas nunca conheceu ninguém pessoalmente. Data Breaches E-mails e outras informações privadas de cerca de 15.000 funcionários do governo dos EUA estão expostos. Entre eles: vários advogados do Departamento de Justiça e um especialista em TI do Departamento de Segurança Interna que usaram contas de email pessoais, mas acessadas a partir dos computadores do governo. Data Breaches As contas do governo incluem alguns com e-mails ".mil". O adultério vai contra o Código de Conduta para os membros das forças armadas norte-americanas. O secretário de Defesa Ash Carter diz que o Pentágono está investigando. Data Breaches Informações contendo os emails de Noel Biderman, CEO da Empresa-Mãe da Ashley Madison, Avid Life, são liberadas, mas o arquivo foi corrompido e por isso não pode ser completamente acessado pelo público. Data Breaches Os hackers liberam seu terceiro lote de informações roubadas, corrigindo o arquivo que contém e-mails de Noel Biderman que tinha sido corrompido. Data Breaches A Avid Life Media tenta parar a propagação dos dados vazados. Ela emite avisos relativos aos direitos autorais para vários sites que hospedavam ou estavam ligados à publicação das informações roubadas, incluindo o Twitter. Data Breaches Várias pessoas diretamente afetadas pela violação de dados dizem à CNN Money que os documentos roubados e vazados contem informações que serão utilizadas em processos de divórcio. Clientes expostos estão preocupados com a possibilidade de serem demitidos de seus empregos. Data Breaches A polícia de Toronto investiga dois suicídios que podem estar ligados ao vazamento das informações. Nos Estados Unidos, um capitão da polícia de San Antonio acabou com a própria vida depois que suas informações foram expostas, mas o Departamento de Polícia de San Antonio não quis comentar se o fato está relacionado ao vazamento. Data Breaches Avid Life Media, está oferecendo US $ 500.000 (dólares canadenses) para qualquer pessoa com informações que levem à identificação dos hackers. Data Breaches O site The Daily Dot divulga que o site Ashley Madison planejava lançar um app que permitiria aos usuários postar imagens da esposa e receber lances por elas. Os e-mails vazados de Noel Biderman revelam que ele havia recebido uma versão trial do aplicativo Data Breaches Noel Biderman, CEO da empresa-mãe da Ashley Madison, Avid Life Media Inc., deixa o cargo. Data Breaches John McAfee Data Breaches Data Breaches February 6, 2015 Hackers roubaram informações de dezenas de milhões de clientes da Anthem Inc. clientes, em uma violação de dados em massa que está entre os maiores da história corporativa. Anteriormente conhecido como Wellpoint, Anthem (ANTM) é a segunda maior seguradora de saúde nos Estados Unidos. A empresa opera planos incluindo Anthem Blue Cross, Anthem Blue Cross e Blue Shield Amerigroup e Healthlink As informações roubadas incluem nomes, aniversários, IDs médicos, números de seguro social, endereços, endereços de e-mail e informações de emprego, incluindo os dados de renda. O banco de dados comprometido continha cerca de 80 milhões de registros de clientes. Anthem está trabalhando com AllClear ID, um fornecedor líder de proteção de identidade e de confiança, para oferecer 24 meses de serviços de reparação de roubo de identidade e de monitoramento de crédito para indivíduos afetados. Data Breaches Ameaças e vulnerabilidades Ameaças e vulnerabilidades Ameaças e vulnerabilidades Ameaças e vulnerabilidades Desafios Gartner Group Digital Business • Esse conceito considera o papel de quatro forças convergentes que se reforçam mutuamente, de modo a tornarem-se padrões que alavancam o cenário de negócios na atualidade. • Embora essas forças sejam inovadoras e disruptivas por si, sua atuação conjunta revoluciona a economia e a sociedade, transformando radicalmente os velhos modelos de negócios e criando novas lideranças. O Nexus é, na realidade, a base para a tecnologia do futuro. Desafios Gartner Group O Nexus das Forças (The Nexus of Forces) • Como o mundo pode mudar? • Como detectar essas mudanças? • Como lidar com essas mudanças? Desafios Grupos de Aliança Vizinhança Vigiada Risco Regulado Controle Parental Gartner Group Cenário Risco Regulado • Governos reconhecendo a Internet como uma Infraestrutura Crítica • ONU está criando encontros sobre segurança cibernética • Governos treinando grupos de contra-ataque Cenário Grupos de Aliança • Fragmentação da autoridade • Criação de meios de proteção pelo próprio grupo. Ex.: GTI Bancos Febraban • Cloud and Cyber security alliances Cenário Vizinhança Vigiada • • • • Crescimento das milícias Extremo anarquico hacktivismo Ataques visando uma pessoa específica Islamic Internet Efforts – países islâmicos querendo fechar a Internet para proteger pessoas boas da más. Cenário Controle Parental • O indivíduo é o alvo e o Governo tenta proteger o indivíduo • Direitos e Deveres do Indivíduo na proteção do seu equipamento • Ex.:Do not call list – Empresas de call center não podem ligar se o indivíduo solicitar (SP) Gartner Group Cenário PCI Brasil Marco Civil da Internet Lei Azeredo Lei Carolina Dieckmann Código Civil Gartner Group Desafios • Reciclar e renovar os quadros técnicos e estruturas organizacionais de segurança. • Incentivar a liderança de riscos e fazer com as que a tomada de decisão da gestão de risco se torne generalizada em todas a organização, colocando o ser humano no centro do mundo de gestão de riscos digital. • Explorar as novas oportunidades e os riscos que o negócio digital e modelos de entrega alternativos trazem. Desafios “Em que casos devemos regular novas tecnologias poderosas por causa dos potenciais perigos que representam, e em casos que não? Ou devemos aceitar algumas consequências negativas devido ao impacto extremamente positivo? “ Referências • • • • • • • • • www.cert.br www.digitalattackmap.com www.norse-corp.com http://thehackernews.com http://blogs.estadao.com.br http://edition.cnn.com http://money.cnn.com http://www.decisionreport.com.br Gartner Group – 3º Seminário de Segurança da Informação – Febraban – Nov 2014 Obrigada! Francimara Viotti [email protected]