Apresentação Senac - FLISOL - TO 2012

Segurança – Ataques e Defesas

Anderson Menezes
Segurança - Ataques e Defesas - anderson.to@gmail.com

Segurança
Considerando o que é segurança, segundo o
dicionário significa:
● Condição ou estado de estar seguro ou protegido;
● Capacidade de manter seguro;
● Proteção contra a fuga ou escape;
● Profissional ou serviço responsável pela guarda e
proteção de algo;
● Confiança em si mesmo.


Princípios Básicos
Seguindo os princípios básicos da Segurança da Informação
1. Confidencialidade;
O responsável pelo controle de acesso a informação apenas por aquelas
pessoas ou entidades que tenham permissões a acessar tal informação;
2. Integridade;
Garantir que a informação mantenha todas as suas características originais
como determinadas pelo proprietário da informação;
3. Disponibilidade;
Define que a determinada informação esteja sempre disponível para o
acesso quando necessário;


Princípios Básicos
4. Autenticidade é;
Garantir que a informação venha da origem informada, permitindo a
comunicação segura, é a garantia de que a informação a qual tem acesso é
correta e de fonte confiável;
5. Legalidade;
É a propriedade que define se determinada informação, ou operação, está
de acordo com as leis vigentes do país. As mesmas leis que regem um país,
podem ser completamente diferentes em outro, o que pode ocasionar um
série de problemas, caso o sistema de gestão não seja adaptável.


Distúrbios Comuns
Princípio Ataque Descrição
Browsing Procurar informações sem
necessariamente saber seu
tipo
Confidencialidade Shouder surfing Olhar sobre o ombro da
pessoa o que é digitado
Engenharia Social Finger ser alguém com a
intenção de ter acesso a
informação.
Modificar a Mensagem Intercerptar a mensagem,
altera-la e enviar ao seu
destino original
Integridade Alteração de Logs de Auditoria Modificar os logs de auditoria,
normalmente com a inteção
de ocutar os fatos
Modificação de arquivos de Alterar arquivos criticos em
configuração um sistema para modificar sua
funcionabilidade


Distúrbios Comuns
Princípio Ataque Descrição
Desastres Naturais ou Vandalismo, incêndios,
Provocados terremotos, terrorismo,
vulcanismo
Disponibilidade Negação de Serviço (DoS) Comprometimento de serviços
de importância fundamental
para processos
Comprometimento de Modificar dados de forma a
informações ficarem inúteis para outras
pessoas


Terminologias de Segurança
1. Vulnerabilidade – fragilidade que pode fornecer uma porta de entrada a
um atacante;
2. Ameaça – agente ou ação que se aproveita de uma vulnerabilidade;
3. Risco – (Impacto X probabilidade) de ameaça ocorrer;
4. Ataque – Incidência da ameaça sobre a vulnerabilidade;
5. Exploit – Programa capaz de explorar uma vulnerabilidade.


Ameaças
Dentre as ameaças físicas podemos considerar:
● Alagamentos;
● Raios;
● Acessos Indevidos;
● Desabamentos;

Dentre as ameaças lógicas, podemos contar as seguintes;
● Infecção por vírus;
● Acesso remoto à rede;
● Violação de Senhas;


Ataques
Assim como dividimos as ameaças em dois grandes grupos, os ataques também
podem ser divididos da mesma maneira:
Internos e Externos.
Os ataques internos representam por volta de 70% dos ataques que ocorrem aos
sistemas de rede. Mesmo que a maioria das pessoas acreditem que a maior parte dos
ataques surjam de fontes externas, essa é uma maneira errônea de encarar o
problema.

Entre os ataques internos, encontramos em sua maioria, aqueles realizados por
funcionários de dentro da própria organização, que estão insatisfeitos ou os
desavisados sobre as políticas de Segurança da Empresa.


Ataques
Analisando ataques externos, nos deparamos com a possibilidade de
comprometimento cujo o objetivo estejam vinculados à espionagem.

Ex: Espionagem Industrial

Outra possibilidade da origem de comprometimento de sistemas, pode
ser a curiosidade ou simplesmente o desafio que representa para o
Cracker. (sendo útil ou não a informação para ele)

Bons exemplos desse tipo de ataque “A Arte de Invadir” de Kevin Mitnik.


Exemplos
Exemplo de AMEAÇA:
● “Uma chuva de granizo em alta velocidade”

Exemplo de VULNERABILIDADE:
● “Uma sala de equipamentos com janelas de vidro”

Exemplo de ATAQUE:
● “A chuva de granizo contra as janelas de vidro”


Mecanismos de segurança
● Mecanismos físicos;
Portas, Trancas, Paredes, Blindagem, Guardas, Câmeras, Sistemas de Alarme, Sistemas de
Detecção de Movimento, biometria.

Os mecanismos físicos de proteção, são barreiras que limitam o contato ou acesso direto a
informação ou a infraestrutura (que garante a existência da informação) que a suporta.
● Mecanismos lógicos;

- Criptografia, Firewall, Anti-Vírus, IDS (detecção de ataque), IPS (semelhante ao IDS), Proxy, anti-
spam.

Os mecanismos lógicos, são barreiras que impedem ou limitam o acesso a informação, que está
em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração
não autorizada por elemento mal intencionado.


Fases de um ataque
Levantamento de Informações
● Essa fase é mais abrangente e baseado no que é descoberto todo
planejamento é realizado e os vetores de ataques definidos.
Ex: (nomes, telefones, endereço, redes sociais)

Varredura
● Nesta fase o atacante busca informações mais detalhadas do alvo:
Ex: (Qual SO?, Quais Serviços ativos?, Quais Versões?, Há
IDS/IPS?, Há honeypots? ...)


Fases de um ataque
Ganhando acesso
● Aqui dependendo dos vetores de ataque ele pode buscar acessos
com:
● Ataques de força bruta local;
● Ataques de força bruta remota;
● Captura de tráfego de rede
● Ataque de engenharia Social;
● Ataques à aplicações WEB;
● Exploração de serviços;
● Exploração de SO;


Fases de um ataque
● Mantendo acesso;
● Limpando Rastros;


Incidentes Reportados ao CERT.br -- Janeiro
a Março de 2012


Tentativas de Fraudes - Janeiro a Março de 2012


Google Hacking Database
Há um banco de dados virtual, com tags de busca de Google previamente
criadas, para conseguir informações específicas.
● Google Hacking Database: http://jonnhy.ihockstuff.com/ghdb


Google Hacking
No levantamento de informações o Google é a principal ferramenta
para o levantamento de informações de nosso alvo. É o melhor
sistema público pra utilizarmos em busca de informações sobre
qualquer coisa em relação ao nosso alvo:
● Sites, propagandas, parceiros, redes sociais, grupos, etc.

Certamente vários resultados retornarão com links onde podemos
encontra nome completo, endereço, telefone, CPF, etc...


Google Hacking
Ex:
● site:gov.br ext:sql (busca por arquivo de base de dados em sites do
governo)
● inurl:e-mail filetype:mdb (busca arquivos de e-mail em formato .mdb)
● Inurl:intranet + intext:”telefone” (busca telefones disponíveis em intranets
encontradas pelo google).


Contramedidas
● Possuir uma boa política referente à publicações de informações na
Internet;
● Não deixar configurações padrões em Servidores Web, para os
mesmos não consigam ser indentificados facilmente;
● Sempre analisar as informações disponíveis sobre a empresa em
sites de busca;
● Alertar e treinar os funcionários da empresa com relação a maneira
com que um ataque de engenharia social pode acontecer, e as
possíveis informações que o atacante poderá usar nesse ataque.


Dê-me seis horas para cortar uma
árvore, e eu gastarei as primeiras
quatro horas afiando o machado”
Abraham Lincoln


Engenharia Social
Podemos considerar a engenharia social como a
arte de enganar pessoas para conseguir
informações, as quais não deviam ter acesso.

Empregados podem deixar escapar informações sigilosas através de um
contato via telefone ou mesmo conversando em locais públicos: elevadores,
corredores, bares.
Uma empresa pode ter os melhores produtos de segurança que o
dinheiro pode proporcionar. Porém, o fator humano é, em geral, o ponto mais
fraco da segurança.


Engenharia Social - TIPOS
● Baseada em Pessoas
As técnicas de engenharia social baseada em pessoas possuem diversas
características que são utilizadas para que o atacante consiga as
informações que deseja, dentre elas podemos citar :
● Disfarces;
● Representações;
● Uso de cargo de alto nível;
● Observações;
● Ataques a sistemas de help-desk;


Engenharia Social - TIPOS
● Baseada em computadores
Este ataque se baseia no desconhecimento do usuário com relação ao uso
coreto da informática:
Exemplos
● Cavalos de Tróia anexados a e-mails;
● E-mails falsos;
● WebSites Falsos;


Formas de Ataque
● Insider Attack
Insiders são pessoas de dentro da própria organização.
● Roubo de Identidade
Atualmente, quando alguém cria uma nova identidade baseando-se em
informações de outra pessoa.
● Phishing Scam
É uma forma de fraude eletrônica, caracterizada por tentativas de adquirir
informações sigilosas, ou instalar programas maliciosos na máquina alvo
● URL Obfuscation
Técnica utilizada para diminuir o tamanho das URL's muito grandes.


Formas de Ataques
● Dumpster Diving
É o ato de vasculhar lixeiras em busca de informações. Todos os dias são
jogados no lixo de empresas vários documentos sem utilidades, mas os
atacantes podem utilizar essa informação para um ataque
● Persuasão
Os próprios hackers vêem a engenharia social de um ponto de vista
psicológico, enfatizando como criar um ambiente psicológico perfeito para
um ataque. Os métodos básicos de persuasão são: personificação,
insinuação, conformidade, difusão de responsabilidade e a velha amizade.


Engenharia Social Reversa
Um método mais avançado de conseguir informações ilícitas é com a
engenharia social reversa. Isto ocorre quando o atacantes cria uma
personalidade que aparece numa posição de autoridade, de moto que todos
os usuários lhe pedirão informações.
Os ataques de Engenharia Social Reversa se bem pesquisados, planejados
e bem executados permetirá extrair dos funcionários informações muito
valiosas.
Os três métodos de ataques de engenharia social reversa são, sabotagem,
propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede,
então divulga que possui a solução e se propõe a solucionar o problema. Na
expectativa de ver a falha corrigida, os funcionários passam todas as
informações necessárias da rede. Após atingir o seu objetivo, ele elimina a
falha, a rede volta.


No Tech Hacking
Todo e qualquer tipo de ataque que não tenha necessidade de aparatos
tecnológicos são considerados “NO TECH HACKING”.
● Dumpster Diving – (Vasculhar o lixo da empresa)
● Shoulder Surfing – (Papagaio de Pirata)
● Lock picking – (técnicas de abrir fechaduras)
● Tailgating – (Ouvir uma conversa ao telefone)


Contramedidas
● Não trabalhe assuntos privados em locais públicos;
● Faça descarte seguro de documentos;
● Fechaduras e trancas de boa qualidade;
● Bolsas e documentos pessoais em segurança;
● Teste constantemente seus dispositivos de segurança, câmeras e detectores
de movimento;
● Tenha cuidado com o “Papagaio de Pirata”;
● Mantenha-se atento aos engenheiros sociais.
● Treine adequadamente os funcionários, principalmente os da área de
segurança;


Padrões e Normas
● ISO 27001
● ISO 27002
● BASILEIA II
● PCI-DSS
● ITIL
● COBIT
● NIST 800 Series


Serviços de Segurança da Informação
● Criação de Políticas de Segurança;
● Implantação de CSIRT's;
● Hardening de Servidores;
● Análises de Vulnerabilidades;
● Testes de Invasão;
● Análise de Aplicação:
● Perícia Computacional;
● Treinamento de Colaboradores;
● Auditoria em Sistemas e em Redes


Anderson Menezes
anderson.to@gmail.com
63-8407-4442/92631848

“Se você conhece a sim mesmo e ao seu
inimigo, não precisará temer os resultados
de mil batalhas” (Sun Tzu)

Obrigado!

Apresentação Senac - FLISOL - TO 2012

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Apresentação Senac - FLISOL - TO 2012

Similaire à Apresentação Senac - FLISOL - TO 2012 (20)

Dernier

Dernier (20)

Apresentação Senac - FLISOL - TO 2012