Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO UNIDADE 2: VULNERABILIDADES, AMEAÇAS E ATAQUES Prof Sérgio Cardoso ssilva@unicarioca.edu.br 2 2.3 TIPOS DE AMEAÇAS Prof Sergio Cardoso - Segurança da Informação - Unidade II 2 3 Ameaça ▪ Ameaças Físicas: Falhas dos Equipamentos e Instalações ▪ Ameaças Lógicas: Vulnerabilidades em softwares, como bugs ▪ Exemplos: ➢Vírus, trojan horse, relâmpagos, terremotos, ataques a bomba, deterioração dos meios de armazenamento, fraude, roubo, invasão … Prof Sergio Cardoso - Segurança da Informação - Unidade II 3 4 Ameaças a segurança ▪ Dois principais tipos: ➢ Intrusos ❑ Mascarado (masquerader) o Indivíduo não autorizado a usar o computador e que penetra os controles de acesso para explorar a conta de um usuário legitimo. o Individuo externo ❑ Infrator (misfeasor) o Usuário legítimo que acessa recursos não autorizados ou faz mal uso de seus privilégios o Indivíduo interno ❑ Usuário clandestino (clandestine user) o Individuo que se apodera do controle do supervisor do sistema para escapar de auditorias o Individuo externo ou interno Prof Sergio Cardoso - Segurança da Informação - Unidade II 4 5 Ameaças a segurança ▪ Dois principais tipos: ➢ Malware (vírus) ❑ Vírus ❑ Worm ❑ Cavalo de Tróia (Trojan horse) ❑ Sniffer ❑ Spyware ❑ Adware ❑ Port Scanner ❑ Exploit ❑ Etc... Prof Sergio Cardoso - Segurança da Informação - Unidade II 5 6 Tipos de Ameaças e Intrusos Prof Sergio Cardoso - Segurança da Informação - Unidade II 6 7 Tipos de intrusos ▪ Hacker ➢ Usuário avançado, que possui um exímio conhecimento em informática ▪ Cracker ➢ Usuário que quebra sistemas de segurança de acesso a servidores. O cracker também burla os sistemas anticópia e antipirataria de alguns programas (cria “cracks”) Prof Sergio Cardoso - Segurança da Informação - Unidade II 7 8 Principais problemas de segurança ▪ Phishing ➢ Disfarçar-se como um site bem conhecido, como o de um banco, para obter informações pessoais de um usuário, como número de conta e código de acesso. ▪ Misrepresentation (falsificação) ➢ Fazer afirmações falsas ou exageradas sobre produtos ou serviços, ou entregar produtos falsos ou de qualidade inferior. ▪ Scams (golpes) ➢ Várias formas de trapaça destinadas a enganar usuários ingênuos para fazê-los investir dinheiro ou cometer algum crime. Prof Sergio Cardoso - Segurança da Informação - Unidade II 8 Fonte: COMER, Douglas E. Redes de Computadores e Internet, 6th edição. Bookman, 01/01/2016. 9 Principais problemas de segurança ▪ Denial of service (negação de serviço) ➢ Bloquear intencionalmente um determinado site da Internet para impedir ou dificultar atividades de negócios e comércio ▪ Perda do controle ➢ Um intruso ganha o controle do computador de um usuário e usa o computador para cometer um crime ▪ Perda de dados ➢ Perda de propriedade intelectual ou outra informação valiosa da empresa Prof Sergio Cardoso - Segurança da Informação - Unidade II 9 Fonte: COMER, Douglas E. Redes de Computadores e Internet, 6th edição. Bookman, 01/01/2016. 10 Malware ▪ Malware: Programa criado com objetivos prejudiciais, comprometendo, assim a segurança dos sistemas de informação ➢ Dos mais variados tipos... ❑ Vírus ❑ Worm (verme) ❑ Bomba lógica ❑ Cavalo de tróia (Trojan) ❑ Backdoor ❑ Exploit ❑ Downloaders ❑ Auto-rooter ❑ Kit (gerador de vírus) ❑ Programas de spam ❑ Flooders ❑ Spyware (keyloggers e screenloggers) ❑ Adware ❑ Rootkit ❑ Zumbi ❑ Port Scanner ❑ Sniffer ❑ Ransomware Prof Sergio Cardoso - Segurança da Informação - Unidade II 10 11 Malware ▪ Vírus ➢ Um programa (ou parte de um programa) que: ❑ Necessita de um hospedeiro para existir (um vírus se “anexa” ao conteúdo de um arquivo para viver) ❑ Consegue se replicar (copiar) sozinho para outros arquivos (hospedeiros) ➢ Quando um arquivo for infectado por um vírus de computador... ❑ ... é copiado para o disco rígido do computador do usuário, este micro não é infectado. ❑ ...é aberto no computador do usuário, este vírus torna-se ativo naquele computador e fará o que foi programado para fazer. Prof Sergio Cardoso - Segurança da Informação - Unidade II 11 12 Malware ▪ Worm ➢ Programa que propaga cópias de si mesmo a outros computadores ❑ Um programa que usa a estrutura das redes para se copiar de micro para micro, degradando a velocidade da comunicação nesta estrutura ➢ Não precisa de hospedeiro, pois ele próprio é o arquivo que se copia, nem precisa ser acionado pelo usuário, pois se utiliza de falhas nos protocolos e serviços da rede para se espalhar ➢ O processo de propagação e infecção dos worms ocorre da seguinte maneira: a) Identificação dos computadores alvos b) Envio das cópias c) Ativação das cópias d) Reinício do processo (Infecção de novas máquinas) Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 12 13 Malware ▪ Bomba lógica ➢ Dispara uma ação quando ocorre uma determinada condição ▪ Cavalo de Tróia (Trojan Horse) ➢ Programa que contém funcionalidade adicional inesperada ❑ Programa que se apresenta como algo inofensivo (um jogo, um cartão de Natal, etc.) mas, esconde objetivos maliciosos, como apagar dados, roubar informações e, mais comumente, abrir portas de comunicação para que se possa invadir o computador que o executou ▪ Backdoor (trapdoor) ➢ Brecha intencional, não documentada, em programa legítimo, que permite o acesso ao sistema por parte de seus criadores ou mantenedores ➢ Modificação de um programa que permite o acesso não autorizado à alguma funcionalidade Prof Sergio Cardoso - Segurança da Informação - Unidade II 13 14 Malware ▪ Exploit ➢ Um programa construído para tirar vantagem de alguma falha, ou vulnerabilidade, conhecida em um sistema de informações ➢ Um Exploit é construído por um hacker (ou cracker) para permitir que usuários menos “conhecedores” possam invadir ou prejudicar o funcionamento de computadores. É um programa para “script kiddies” (amadores) ▪ Downloaders ➢ Programa que instala outros itens em uma máquina sob ataque. Normalmente, um downloader é enviado por email ▪ Auto-rooter ➢ Ferramentas utilizadas para invasão de novas máquinas remotamente ➢ Permite que um hacker obtenha acesso remoto ao computador afetado, para executar as seguintes ações, entre outras: formatar a unidade de disco rígido, adicionar novos usuários, etc. Prof Sergio Cardoso - Segurança da Informação - Unidade II 14 15 Malware ▪ Kit (gerador de vírus) ➢ Conjunto de ferramentas para gerar novos vírus automaticamente ▪ Programas de spam ➢ Envio em massa de mensagens de e-mail não autorizadas pelos destinatários Prof Sergio Cardoso - Segurança da Informação - Unidade II 15 16 Malware ▪ Flooders ➢ Usados para atacar sistemas de computador em rede com um grande volume de tráfego para executar um ataque de negação de serviço ▪ Spyware ➢ Um programa que monitora e registra os “hábitos” de navegação e acesso à Internet do micro infectado ❑ Um spyware para conter keyloggers (capturadores de teclado) e screenloggers (capturadores de tela) para “copiar” o que o usuário está fazendo no computador. ▪ Adware ➢ um programa que fica “fazendo anúncios de propaganda” no micro infectado ❑ Pode ser um programa lícito, acompanhando outros programas como programas mensageiros instantâneos ou programas de compartilhamento de arquivos ❑ Fica “abrindo páginas” ou mostrando imagens e links de cassinos, lojas, etc. Prof Sergio Cardoso - Segurança da Informação - Unidade II 16 17 Malware Prof Sergio Cardoso - Segurança da Informação - Unidade II 17 18 Malware ▪ Rootkit➢ é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. ➢ O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para: ❑ remover evidências em arquivos de logs; ❑ instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; ❑ esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc; ❑ mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; ❑ capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego. Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 18 19 Malware ▪ Zumbi ➢ Programa ativado em uma máquina infectada, que é preparado para desferir ataques a outras máquinas ▪ Port Scanner ➢ Um programa que vasculha um computador alvo à procura de portas (serviços) abertas para que, através delas, se possa perpetrar uma invasão àquele micro ❑ Um port scanner, na verdade, envia sucessivos pacotes a várias portas diferentes, esperando receber um pacote de resposta por uma delas Prof Sergio Cardoso - Segurança da Informação - Unidade II 19 20 Malware ▪ Sniffer ➢ Um programa que é instalado na máquina do atacante e serve para capturar os quadros da rede que chegam àquela máquina, mesmo os que não estão oficialmente direcionados a ela ➢ A placa de rede passa a operar em “modo promíscuo”, não rejeitando nenhum quadro que chegou Prof Sergio Cardoso - Segurança da Informação - Unidade II 20 21 Malware ▪ Ransomware ➢ é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. ➢ O pagamento do resgate geralmente é feito, normalmente, via bitcoins. ➢ Existem dois tipos de ransomware: ❑ Ransomware Locker: impede que você acesse o equipamento infectado. ❑ Ransomware Crypto: impede que você acesse aos dados armazenados no equipamento infectado, geralmente usando criptografia. Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 21 22 TIPOS DE ATAQUES Prof Sergio Cardoso - Segurança da Informação - Unidade II 22 23 Ataque ▪ Ação realizada contra um sistema de informações com intenção de obter, tornar indisponível e danificar informações Prof Sergio Cardoso - Segurança da Informação - Unidade II 23 24 Ataques na Internet ▪ Motivações para o ataque: ➢ Demonstração de poder ➢ Prestígio ➢ Motivações financeiras ➢ Motivações ideológicas ➢ Motivações comerciais Prof Sergio Cardoso - Segurança da Informação - Unidade II 24 25 Técnicas usadas em ataques ▪ Escutas telefônicas ➢ Fazer uma cópia dos pacotes à medida que eles passam pela rede a fim de obter informações ▪ Repetição ➢ Enviar pacotes capturados de uma sessão anterior ❑ por exemplo, um pacote de senha obtido de um login anterior ▪ Buffer overflow ➢ Enviar mais dados do que um receptor espera para forçá-lo a armazenar os valores em variáveis fora do buffer ▪ Spoofing de endereço ➢ Falsificar o endereço IP de origem em um pacote fingindo ser o transmissor para enganar um receptor no processamento do pacote Prof Sergio Cardoso - Segurança da Informação - Unidade II 25 Fonte: COMER, Douglas E. Redes de Computadores e Internet, 6th edição. Bookman, 01/01/2016. 26 Técnicas usadas em ataques ▪ Quebra de senha ➢ Criar sistemas automatizados que quebrem a senha ou a chave de criptografia visando obter acesso não autorizado ▪ Varredura de portas (port scanning) ➢ Tentar conexão com cada porta possível buscando encontrar uma vulnerabilidade ▪ SYN Flood ➢ Enviar um fluxo de segmentos TCP do tipo SYN buscando exaurir o total de conexões TCP possíveis em um receptor ▪ Intercepção de pacotes ➢ Remover um pacote da Internet a fim de substituí-lo num ataque do tipo man-in-the- middle (MITM) Prof Sergio Cardoso - Segurança da Informação - Unidade II 26 Fonte: COMER, Douglas E. Redes de Computadores e Internet, 6th edição. Bookman, 01/01/2016. 27 Técnicas usadas em ataques ▪ Spoofing de nome ➢ Usar uma URL muito similar a de algum site bem conhecido, porém com um pequeno erro de ortografia, para receber o direcionamento de DNS quando o usuário digitar o nome errado sem querer. ➢ Outra forma é atacar o servidor DNS para ele efetuar uma tradução incorreta de nome para IP ▪ DoS e DDoS (ataque de negação de serviço) ➢ Inundar um site com pacotes para impedir que ele opere normalmente ▪ SYN Flood ➢ Enviar um fluxo de segmentos TCP do tipo SYN buscando exaurir o total de conexões TCP possíveis em um receptor Prof Sergio Cardoso - Segurança da Informação - Unidade II 27 Fonte: COMER, Douglas E. Redes de Computadores e Internet, 6th edição. Bookman, 01/01/2016. 28 DoS (Denial-of-Service – Negação de Serviço) ▪ Não é o nome de uma técnica de ataque, mas de uma série de técnicas ➢ Todo ataque DoS tem como objetivo fazer o computador vítima deixar de responder às requisições verdadeiras, ou seja, atentar contra a disponibilidade do sistema. ➢ Tirar o servidor da tomada é um exemplo de ataque de DoS... ▪ DDoS pode ser classificado pelo tipo de recurso consumido ➢ Ataque de recurso interno ❑ Synflood ➢ Ataque de recurso de consumo de banda ❑ Ataque distribuído de ICMP Prof Sergio Cardoso - Segurança da Informação - Unidade II 28 29 synflood Prof Sergio Cardoso - Segurança da Informação - Unidade II 29 30 Ataque distribuído de ICMP Prof Sergio Cardoso - Segurança da Informação - Unidade II 30 31 DDoS ▪ Outra forma de classificar os ataques DDoS ➢ Direto ➢ Refletor Prof Sergio Cardoso - Segurança da Informação - Unidade II 31 32 DDoS direto Prof Sergio Cardoso - Segurança da Informação - Unidade II 32 33 DDoS refletor Prof Sergio Cardoso - Segurança da Informação - Unidade II 33 34 Bot e botnet ▪ Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. ▪ Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. ▪ A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. ▪ Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. ▪ Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 34 35 Furto de identidade (Identity theft) ▪ O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. ▪ Alguns casos de furto de identidade podem ser considerados como crime contra a fé pública, tipificados como falsa identidade Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 35 36 Fraude de antecipação de recursos (Advance fee fraud) ▪ A fraude de antecipação de recursos, ou advance fee fraud, é aquela na qual um golpista procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a promessade futuramente receber algum tipo de benefício. Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 36 37 Ataque Smurf ▪ O atacante usa um endereço IP disfarçado na origem (spoofing) para enviar solicitações ping ao endereço que corresponde a todas as máquinas da rede (broadcast) ▪ Entretanto, todas respostas serão destinadas a uma única máquina com endereço IP verdadeiro da rede, com isso todas as estações da rede enviarão pacotes de resposta a essa máquina Prof Sergio Cardoso - Segurança da Informação - Unidade II 37 38 Ping of Death (Ping da Morte) ▪ É um tipo de ataque de Buffer Overflow que consiste em enviar um pacote ICMP (comando PING) com tamanho superior à 64KB (65536 bytes) ➢ A maioria dos sistemas operacionais travava ou reiniciava o computador quando recebia esse tipo de pacote ➢ Hoje, os principais sistemas de informação são imunes a esse ataque Prof Sergio Cardoso - Segurança da Informação - Unidade II 38 39 Pharming (Envenenamento de Cache DNS) ▪ É um golpe que consiste em alterar os registros de IPs baseados em um servidor DNS para que apontem para um determinado IP que não é o real – Exemplo: Alterar, em um DNS, o IP associado ao endereço www.bb.com.br para que aponte para o IP de um site réplica do BB Prof Sergio Cardoso - Segurança da Informação - Unidade II 39 40 Desfiguração de página (Defacement) ▪ Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da página Web de um site. ▪ As principais formas que um atacante, neste caso também chamado de defacer, pode utilizar para desfigurar uma página Web são: ➢ explorar erros da aplicação Web; ➢ explorar vulnerabilidades do servidor de aplicação Web; ➢ explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação Web; ➢ invadir o servidor onde a aplicação Web está hospedada e alterar diretamente os arquivos que compõem o site; ➢ furtar senhas de acesso à interface Web usada para administração remota. Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 40 41 Força bruta (Brute force) ▪ Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Fonte: Cartilha Cert.br Prof Sergio Cardoso - Segurança da Informação - Unidade II 41 42 Engenharia Social ▪ É uma técnica que consiste em enganar usuários usando técnicas de persuasão ➢ Através deste recurso valioso, é possível ter acesso a informações importantes para a rede, como senhas de usuários, horários de realização de operações específicas na rede... Prof Sergio Cardoso - Segurança da Informação - Unidade II 42 43 Engenharia Social ▪ Particularidades e exemplos da Engenharia Social: ❑ Explorar fraquezas humanas e sociais ❑ Usar falsa identidade ❑ Explorar boa vontade e boa fé das pessoas ❑ Usar psicologia e técnicas de intimidação ❑ Se fazer passar por um alto funcionário ❑ Analisar documentos em cima da mesa ou do computador de pessoas distraídas ❑ Namorar alguém da organização ❑ Se disfarçar de técnico ou entregador de flores ou pizzas ❑ Inserir bugs de propósito para, ao corrigir, ter acesso aos computadores Prof Sergio Cardoso - Segurança da Informação - Unidade II 43