COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME Mariano Sumrell Miranda APRESENTAÇÃO Mariano Sumrell Miranda [email protected] Winco Tec. e Sistemas Empresa com + 10 anos de desenvolvimento de tecnologia de segurança e conectividade Fabricante do Winconnection - Controle de Acesso à Internet, Filtro de Instant Messaging, Filtro de e-mail e servidor de e-mail Fabricante do Winco Edge Security - Filtro de Instant Messaging e Filtro de e-mail Distribuidor no Brasil do AVG - Alguns componentes do AVG feitos pela Winco AMEAÇAS NA INTERNET Antigamente Hackers eram motivados por: fama vencer desafios provar conceitos HACKERS HOJE Cybercrime atividade profissional (criminosa) Sofisticados e altamente organizados Atividades Espionagem industrial Sabotagem de concorrentes Roubo de Informações como cartões de créditos e senhas de banco Envio de SPAM Click Fraud Chantagem e extorsão - Sequestro de HD - Ameaça de parar o sistemas computacional CYBERCRIME Venda de produtos e serviços. Programa DDoS Bot: US$ 400 Envio de Spam: US$ 150 / milhão Info sobre cartões de crédito: US$ 0,10 a US$25 Web Exploit ToolKit (WET): US$ 20 a US$400 Aluguel/Venda de Botnets Informações Bancárias Senhas de contas de e-mail Aluguel de local para entrega de mercadorias Conversão para dinheiro CLASSIFICAÇÃO DE MALWARE Pela forma de propagação Pelo atividade realizada Vírus Worm Cavalo de Tróia Backdoor Spyware Keylogger e screenlogger Downloaders Etc Por Características Especiais Rootkit VÍRUS Se anexa a programas hospedeiros Altera início de programa para executar o código malicioso Código malicioso costuma infectar outros arquivos, inclusive pelo compartilhamento de rede Pode criar novos executáveis e, através da Registry do Windows forçar a sua execução na inicialização da máquina. WORM Não precisa de programa hospedeiro Se propaga pela rede Entra no computador explorando falhas de segurança (exploit) Sistema Operacional Aplicativo Exploit mais comum: buffer overflow CAVALO DE TRÓIA Exige a ação da vítima para se instalar: Executar um anexo de e-mail Fazer download de programa Técnica mais utilizada pelos hackers: Engenharia Social nas suas mais diversas formas ROOTKIT Programas que escondem a sua presença tornando impossível a sua detecção pelos mecanismos convencionais Costumam alterar chamadas (API) do sistema operacional: Acesso a Arquivos: não mostram os arquivos maliciosos Identificação de processos: não mostram os processos maliciosos Podem ser instalados no kernel (módulos carregáveis, device drivers) ou nas bibliotecas do S.O. (DLLs). HISTÓRIA 1982 – Primeiro vírus disseminado Elk Cloner – Infectava disquetes (boot sector) do Apple II A cada 50 boots apresentava um poema: Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it's Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner! HISTÓRIA 1983 – Primeiro vírus de laboratório documentado. Cunhado o termo “Vírus de computador”. 1986 – Primeiros vírus de PC: Brain, ping-pong Eram vírus de boot sector. 1987 – Primeiros vírus de arquivos. 1988 – Robert Morris lançou o primeiro “worm” da Internet derrubando 6.000 máquinas por 36 horas. 1995 – Primeiro vírus de macro. PING-PONG HISTÓRIA 1999 – Mass mailing worms (Melissa, I Love You, MyDoom) 2001 – Bots and worms (Code Red, Nimda) Code Red contaminou 350 mil servidores em 12 h 2004 – Ataques Web Windows XP SP2 – firewall ligado por default Portas Web (80 e 443) sempre abertas VETORES DE PROPAGAÇÃO Disquetes E-mails Worms explorando falhas de segurança Sites comprometidos AMEAÇAS NA NAVEGAÇÃO Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web Hoje se escondem em páginas de empresas idôneas que foram atacadas sem o conhecimento dos responsáveis. Para se esconder, ficam pouco tempo em cada página ou só se manifestam em 1 a cada N acessos. TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO ATAQUES NA NAVEGAÇÃO Páginas Maliciosas: Download de programas maliciosos (em geral com engenharia social) Exploit de falhas de segurança do browser Ataques em Active-X, Java ou JavaScript Necessidade de detecção antes de chegar no browser Proteção baseada em base de dados → Proteção Limitada Necessidade de verificação em tempo real 8 COMO OS SITES SÃO ATACADOS Explorando falhas de segurança do servidor Web Explorando falhas de segurança da aplicação Web Usando credenciais FTP utilizadas pelo dono do site para fazer upload Nome de Usuários e Senhas trafegam em aberto no FTP. BOTNETS Conjuntos de computadores “escravizados” por cybercriminosos Envio de SPAM Ataques (sabotagem, extorsão) Botnet = Robot network Máquinas comprometidas por vírus, worms ou cavalos de tróia. BOTNETS Se comunicam através de um componente IRC (Internet Relay Chat) que se conecta a um canal de um ou mais servidores IRC. Mais recentemente o Twitter foi usado para a comunicação. DoS – DENIAL OF SERVICE Ataque que faz com que determinado serviço pare de funcionar. DDoS - Distributed DoS Ataque feito de botnets. DoS Inundar um link Inundar servidor de e-mail SYN Flood Mantém conexões TCP semi-abertas, consumindo recursos até a exaustão dos mesmos. PING of Death - Ping com mais de 64K bytes que derrubava o Windows 95 e algumas versões do Linux. Enviar pacotes mal formados que fazem o servidor “crashar”. CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE Sniffers Em redes locais Se houver switches: ARP Poisoning Interceptando nos roteadores/redes no caminho Se for criptografado: Man In the Middle Pode ser aplicado em redes locais com ARP Poisoning SSL (SECURE SOCKET LAYER) Na conexão, cliente envia sua chave pública. Servidor responde com sua chave pública, criptografada pela chave pública do cliente. Cliente responde, pedindo uma chave de sessão (usada para criptografar o resto da comunicação). Servidor envia chave de sessão, criptografada pela chave pública do cliente. A partir desse momento toda a comunicação se dá com a chave de sessão (chave simétrica). MAN IN THE MIDDLE Se o cliente não tiver como verificar a chave do servidor, é possível interceptar a comunicação. C liente S erver H acker FINGIR SER OUTRA PESSOA Usando Login/Senha de outra pessoa Sniffer Tentativa e erro: - força bruta - dicionário Engenharia Social Fingir ser outra pessoa em mensagens de e-mail, MSN, sites sociais. FORÇAR A EXECUÇÃO DE CÓDIGO Vírus e Worms Usar Engenharia Social para induzir usuário a executar certo programa. Explorar Falhas de Segurança de Programas: Buffer Overflow Code/SQL Injection BUFFER OVERFLOW Programa lê dados de entrada assumindo que tem certo valor máximo. Se dados forem maiores que o esperado há um estouro de buffer. Estouro provoca sobreposição de dados de dados na stack (pilha). É inserido código malicioso na stack e endereço de retorno a alterado para a execução dos desse código. Ataque pode vir pela rede ou através de dados (imagens, videos, PDF, .doc) mal formados. SQL INJECTION Formulário com campos “usuario” e “senha”: Teste de login: - SELECT * from usuarios where usu = usuario and password = senha; Se em senha eu preencher: - senha; INSERT INTO usuarios (usu, passwd,priv) VALUES (mariano,qualquer, all) WEB2.0 E SEGURANÇA Maior interatividade sempre é uma porta sujeita a ser invadida Grande disponibilidade de informações pessoais. Terreno fértil para o uso de Engenharia Social MOBILIDADE E SEGURANÇA Smarthphones são computadores com CPU, memória, área de armazenamento, sistemas operacional e aplicativos e conectados à internet. Mesmos problemas de segurança que desktops e servidores. MOBILIDADE E SEGURANÇA Já existem vírus para celulares Podemos comprar na Internet programa que dá acesso à camera e microfone dos celulares, bem como acesso às conversas telefônicas. Assim como os notebooks, carregam uma série de informações. Precisamos proteger essas informações em casos de roubos e furtos. CLOUD COMPUTING E SEGURANÇA Segurança dos sistemas e dados a cargo do provedor de serviço “Que bom. Deixo a segurança a cargo de especialistas e menos uma preocupação para mim.” “Não gosto de perder o controle sobre os meus dados.” CLOUD COMPUTING E SEGURANÇA Os sistemas são acessados remotamente. Mais vulneráveis que datacenters isolados. É necessária especial atenção para autenticação e controle de acesso. As ferramentas de segurança podem utilizar serviços e informações na nuvem para proteger os seus usuários. OS ANTIVÍRUS FUNCIONAM? OS ANTIVÍRUS FUNCIONAM? Detecção por assinatura é muito eficiente mas tem problema da janela de tempo entre a difusão da ameaça na internet e o usuário ter a assinatura no seu computador. OS ANTIVÍRUS FUNCIONAM? Detecção por assinatura é muito eficiente mas tem o problema da janela de tempo entre a difusão da ameaça na internet e o usuário ter a assinatura no seu computador. Os antivírus precisam incorporar outras técnicas como análise comportamental (ex.: IDP do AVG) e bloqueio de sites comprometidos ANTIVÍRUS SÃO SUFICIENTES? Antivírus e outras ferramentas como firewall, antispam, filtros de conteúdo são apenas parte da solução Conscientização e comportamento são a outra parte. Uso de senhas fortes, não acreditar que ganhou na loteria se sequer apostou, fazer atualizações de segurança, etc. CASO ROBERT MOORE Preso em 2007. Parte de uma quadrilha que roubava serviços de VoIP e vendia a seus clientes. Invadiu centenas de empresas, sendo 15 de telecomunicação. Afirma que 70% das empresas que ele scaneou e 45 a 50% dos provedores de VoIP eram inseguros. Maior falha de segurança: senhas default. DÚVIDAS? OBRIGADO! Mariano Sumrell Miranda [email protected]