Segurança Cibernética - Resumo do Capítulo 3

Prévia do material em texto

© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 1
Capítulo 3:
Ameaças, vulnerabilidades 
e ataques à segurança 
cibernética
Cybersecurity Essentials v1.0
Presentation_ID 2© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Capítulo 3 - Seções e Objetivos
3.1 Malware e Código malicioso
Diferencia os tipos de malware e código malicioso.
3.2 Fraude
Descreva a tática, as técnicas e os procedimentos usados 
por criminosos virtuais.
3.3 Ataques
Compara os diferentes métodos usados em engenharia 
social.
Comparar diferentes tipos de ataques cibernéticos.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 3
3.1 Malware e Código 
malicioso
Presentation_ID 4© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e Código malicioso
Tipos de Malware
Os criminosos virtuais tem como alvo os dispositivos finais do 
usuário por meio da instalação do malware.
Vírus - um vírus é o código executável mal-intencionado anexado a 
outro arquivo executável, como um programa legítimo. A maioria dos 
vírus necessitam de inicialização do usuário final e podem ser 
ativados a uma hora ou data específica.
Worms - worms são códigos maliciosos que se replicam ao explorar, 
de forma independente, vulnerabilidades em redes. Os worms 
normalmente deixam a rede mais lenta. Enquanto um vírus requer 
um programa host para execução, os worms podem ser executados 
de modo autônomo. Exceto pela infecção inicial, os worms não 
precisam mais da participação do usuário.
Cavalo de Troia - um cavalo de Troia é um malware que realiza 
operações mal-intencionadas sob o pretexto de uma operação 
desejada, como um jogo on-line. Esse código malicioso explora os 
privilégios do usuário que o executa. Um cavalo de Troia difere de 
um vírus porque o cavalo de Troia se liga a arquivos não 
executáveis, como arquivos de imagem, arquivos de áudio ou jogos.
Presentation_ID 5© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e Código malicioso
Tipos de Malware (Cont.)
▪ Bomba lógica - uma bomba lógica é um programa mal-
intencionado que utiliza um gatilho para despertar o código 
malicioso. Por exemplo, os acionadores podem ser datas, horas, 
outros programas em execução ou a exclusão de uma conta de 
usuário. A bomba lógica permanece inativa até que o evento 
acionador aconteça. Assim que ativada, a bomba lógica 
implementa um código malicioso que danifica o computador.
▪ Ransomware - Ransomware mantém um sistema de 
computador, ou os dados que ele contém, refém até o alvo fazer 
um pagamento. O ransomware normalmente funciona 
criptografando os dados no computador com uma chave 
desconhecida ao usuário.
▪ Backdoors e Rootkits - uma backdoor ou rootkit se refere ao 
programa ou código introduzido por um criminoso que tenha 
comprometido um sistema. O backdoor ignora a autenticação 
normal usada para acessar o sistema. Um rootkit modifica o 
sistema operacional para criar um backdoor. Os invasores usam 
o backdoor para acessar o computador remotamente.
Presentation_ID 6© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e código malicioso
Ataques ao e-mail e navegador (cont.)
O e-mail é um serviço universal usado por bilhões de 
pessoas em todo o mundo. Como um dos serviços mais 
populares, o e-mail se tornou uma grande vulnerabilidade 
para usuários e empresas. 
Spam - também conhecido como lixo eletrônico, é um e-
mail não solicitado, nem autorizado. Na maioria dos 
casos, o spam é um método de anúncio. Entretanto, o 
spam pode enviar links perigosos, malware ou conteúdo 
enganoso. 
Spyware - spyware é um software que permite que um 
criminoso obtenha informações sobre as atividades do 
computador do usuário. O spyware frequentemente inclui 
rastreadores de atividade, coleta de toque de tela e 
captura de dados. Para tentar combater as medidas de 
segurança, o spyware quase sempre modifica as 
configurações de segurança.
Presentation_ID 7© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e código malicioso
Ataques ao e-mail e navegador (cont.)
Adware - adware normalmente exibe pop-ups 
irritantes para gerar receita para seus autores. O 
malware pode analisar os interesses do usuário 
rastreando os sites visitados. Em seguida, ele pode 
enviar anúncios pop-ups relacionados a esses sites.
Scareware - scareware induz o usuário a executar 
uma ação específica com base no medo. O 
scareware simula janelas pop-up que se assemelham 
às janelas de diálogo do sistema operacional.
Presentation_ID 8© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e código malicioso
Ataques ao e-mail e navegador (cont.)
Phishing - phishing é uma forma de fraude. Os 
criminosos virtuais usam e-mail, mensagem 
instantânea ou outras mídias sociais para coletar 
informações, como credenciais de logon ou 
informações da conta, ao colocar uma fachada de 
entidade ou pessoa confiável. O phishing ocorre 
quando uma parte mal-intencionada envia um e-
mail fraudulento disfarçado de uma fonte legítima 
e confiável. A intenção da mensagem é enganar o 
destinatário para instalar o malware no dispositivo 
dele ou compartilhar informações pessoais ou 
financeiras.
Spear phishing - spear phishing é um ataque de 
phishing altamente direcionado. Embora o 
phishing e o spear phishing usem e-mails para 
alcançar as vítimas, o spear phishing envia e-mails 
personalizados a uma pessoa específica.
Presentation_ID 9© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e código malicioso
Ataques ao e-mail e navegador (cont.)
Vishing - vishing é o phishing que usa a tecnologia de 
comunicação por voz. Os criminosos podem falsificar 
as chamadas de origens legítimas usando a 
tecnologia VoIP (voice over IP). As vítimas também 
podem receber uma mensagem gravada que pareça 
legítima.
Pharming - pPharming é a imitação de um site 
legítimo na tentativa de enganar os usuários para que 
insiram suas credenciais.
Whaling - whaling é um ataque de phishing 
direcionado a alvos de alto nível dentro de uma 
empresa, como executivos seniores.
Presentation_ID 10© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Malware e código malicioso
Ataques ao e-mail e navegador (cont.)
Plugins - os plugins Flash e Shockwave da Adobe viabilizam o desenvolvimento de 
animações gráficas e desenhos animados interessantes que melhoram 
consideravelmente a aparência de uma página da Web. Os plugins exibem o 
conteúdo desenvolvido usando o software apropriado.
Envenenamento de SEO - mecanismos de pesquisa como o Google funcionam 
com a classificação de páginas e apresentando resultados relevantes com base em 
consultas de pesquisa dos usuários. Dependendo da relevância do conteúdo do site, 
ele pode aparecer mais alto ou mais baixo na lista de resultado da pesquisa. SEO, 
abreviação de Search Engine Optimization (Otimização de mecanismo de pesquisa), 
é um conjunto de técnicas usadas para melhorar a classificação do site por um 
mecanismo de pesquisa. Embora muitas empresas legítimas se especializem na 
otimização de sites para melhor posicioná-las, o envenenamento de SEO usa a SEO 
para que um site mal-intencionado ocupe uma posição mais alta nos resultados da 
pesquisa.
Sequestrador de navegador - um sequestrador de navegador é o malware que 
altera as configurações do navegador de um computador para redirecionar o usuário 
para sites pagos pelos clientes de criminosos virtuais. Sequestradores de navegador 
geralmente fazem a instalação sem a permissão do usuário e, normalmente, fazem 
parte de um download drive-by.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 11
3.2 Fraude
Presentation_ID 12© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencialda Cisco
Fraude
A arte de enganar
Engenharia Social - é um meio completamente não técnico de 
um criminoso coletar informações sobre um alvo. Engenharia 
Social é um ataque que tenta manipular indivíduos para realizar 
ações ou divulgar informações confidenciais.
Geralmente, os engenheiros sociais dependem da boa vontade 
das pessoas em ajudar, mas também exploram seus pontos 
fracos. Há alguns tipos de ataques de Engenharia Social:
Pretexting - acontece quando um invasor liga para um indivíduo 
e mente na tentativa de obter acesso a dados privilegiados. Um 
exemplo envolve um invasor que finge precisar de dados 
pessoais ou financeiros para confirmar a identidade do 
destinatário.
Uma coisa por outra coisa (recompensa) - é quando um 
invasor solicita informações pessoais de alguém em troca de 
algo, como um presente.
Presentation_ID 13© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Fraude
Tipos de fraude
Navegação bisbilhoteira (Shoulder Surfing) e busca na 
lixeira - refere-se a descobrir senhas, códigos de acesso 
ou números de cartão de crédito. Um invasor pode estar 
perto da sua vítima ou pode usar binóculos ou câmeras de 
circuito fechado para descobrir informações.
Imitação e trote - imitação é a ação de fingir ser outra 
pessoa. Por exemplo, um scam de telefone recente tinha 
como alvo oscontribuintes. Um criminoso, disfarçado de 
funcionário da Receita Federal, dizia para as vítimas que 
elas deviam dinheiro à Receita.
Carona e tailgating - a carona ocorre quando um 
criminoso acompanha uma pessoa autorizada para 
conseguir entrar em um local seguro ou uma área restrita. 
Tailgating é outro termo que descreve a mesma prática.
Truques on-line, por e-mail e na Web - encaminhar trotes 
por e-mails, piadas, filmes engraçados e e-mails não 
relacionados ao trabalho durante o expediente pode violar a 
política de uso aceitável da empresa e resultar em ações 
disciplinares.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 14
3.3 Ataques
Presentation_ID 15© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Tipos de ataques cibernéticos
Ataques de negação de serviço (DoS) - são um tipo de ataque de rede. Um ataque de 
negação de serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, 
dispositivos ou aplicações. Os ataques de negação de serviço (DoS) são um grande risco 
porque podem facilmente interromper a comunicação e causar perda considerável de 
tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um 
invasor não capacitado.
Sniffing - sniffing é semelhante a escutar alguém às escondidas. Eles ocorrem quando os 
invasores examinam todo o tráfego de rede à medida que passa pela placa de rede, 
independentemente de se o tráfego é endereçado a eles ou não. Os criminosos 
conseguem vasculhar a rede com um aplicativo, dispositivo de hardware ou uma 
combinação dos dois. 
Spoofing - sspoofing é um ataque de imitação, em que se aproveita de uma relação de 
confiança entre dois sistemas. Se os dois sistemas aceitam a autenticação de cada um 
deles, um indivíduo conectado a um sistema pode não passar novamente pelo processo de 
autenticação novamente para acessar outro sistema.
Presentation_ID 16© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Tipos de ataques cibernéticos
Ataque indireto - um criminoso executa um ataque indireto (Man-in-the-
Middle, MitM) interceptando comunicações entre computadores para 
roubar informações que cruzam a rede. O criminoso também pode optar 
por manipular as mensagens e transmitir informações falsas entre os 
hosts, já que os hosts não sabem que uma modificação de mensagens 
ocorreu. O MitM permite que o criminoso controle o dispositivo sem o 
conhecimento do usuário.
Ataques de dia zero - um ataque de dia zero, às vezes conhecido 
como uma ameaça de dia zero, é um ataque de computador que tenta 
explorar as vulnerabilidades do software que são desconhecidas ou não 
divulgadas pelo fornecedor do software. O termo zero hora descreve o 
momento em que alguém descreve essas explorações.
Registro de teclado - é um software que grava ou registra os toques de 
teclas do usuário do sistema. Os criminosos podem implementar 
registradores de toque de tela no software instalado em um sistema de 
computador ou por meio de um hardware fisicamente conectado a um 
computador. O criminoso configura o software registrador de tecla para 
enviar um e-mail com o arquivo de log. Os toques de tela capturados no 
arquivo de log podem revelar nomes de usuários, senhas, sites 
acessados e outras informações confidenciais.
Presentation_ID 17© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques sem fio e móveis (cont.)
Grayware e SMiShing
▪ Grayware inclui aplicativos que se comportam de modo incômodo ou 
indesejável. O grayware pode não ter malware reconhecível oculto, mas pode 
ser um risco ao usuário. O grayware está se tornando um problema na 
segurança móvel com a popularidade dos smartphones.
▪ SMiShing é abreviação do SMS phishing. Ele usa o Serviço de mensagens 
curtas (SMS) para enviar mensagens de texto falsas. Os criminosos fazem 
com que o usuário acesse um site ou ligue para um telefone. As vítimas 
enganadas podem fornecer informações confidenciais, como dados de cartão 
de crédito. O acesso a um site pode resultar em download de malware que 
invade o dispositivo, sem o conhecimento do usuário.
Presentation_ID 18© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques sem fio e móveis (cont.)
Access points não autorizados - um access point não 
autorizado é um access point sem fio instalado em uma rede 
segura sem autorização explícita. Um access point não 
autorizado pode ser configurado de duas maneiras. 
Congestionamento de RF - sinais sem fio são suscetíveis à 
interferência eletromagnética (EMI), interferência de rádio 
frequência (RFI) e podem até ser suscetíveis a ruídos ou 
reatores de luzes fluorescentes. Sinais sem fio também são 
suscetíveis a congestionamento deliberado. O 
congestionamento de radiofrequência (RF) interfere na 
transmissão de uma estação de rádio ou satélite, para que o 
sinal não alcance a estação de recepção.
Bluejacking e Bluesnarfing - bluejacking é o termo usado 
para enviar mensagens não autorizadas para outro dispositivo 
Bluetooth. O bluesnarfing ocorre quando o invasor copia as 
informações da vítima no dispositivo dela. Essas informações 
podem incluir e-mails e listas de contato.
Presentation_ID 19© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques sem fio e móveis (cont.)
Ataques de WEP e WPA
Wired Equivalent Privacy (WEP) é um protocolo de segurança que tentou fornecer uma 
rede local sem fio (WLAN) com o mesmo nível de segurança que uma LAN com fio. Como 
as medidas de segurança físicas ajudam a proteger uma LAN com fio, o WEP procura 
fornecer proteção similar para dados transmitidos pela WLAN com criptografia.
▪ O WEP usa uma chave de criptografia.
▪ Não há provisão para gerenciamento de chave com WEP, então o número de pessoas 
que compartilham a chave continuará crescendo.
WiFi Protected Access (WPA) e, depois, WPA2 surgiram como protocolos melhorados 
para substituir o WEP. O WPA2 não tem os mesmos problemas de criptografia pois um 
invasor não pode recuperar a chave pela observação do tráfego.
▪ O WPA2 é suscetível ao ataque porque os criminosos virtuais podem analisar os pacotes 
transmitidos entre o access point e um usuário legítimo.
▪ Os criminosos virtuais usam um sniffer de pacote e, em seguida, executam os ataques 
off-line na senha.
Presentation_ID 20© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques sem fio e móveis (cont.)
Defesa contra ataques de dispositivo sem fio e móvel
Há várias etapas quedevem ser seguidas para se defender contra ataques ao 
dispositivo sem fio e móvel.
▪ A maioria dos produtos WLAN usa configuração padrão. Utilize os recursos de 
segurança básicos sem fio, como autenticação e criptografia, ao alterar as 
configuração padrão.
▪ Restringir a colocação do ponto de acesso na rede ao posicionar esses 
dispositivos fora do firewall ou dentro de uma zona desmilitarizada (DMZ) que 
contenha outros dispositivos não confiáveis como servidores de e-mail e Web.
▪ As ferramentas WLAN, como NetStumbler, podem descobrir access points e 
estações de trabalho não autorizados. Desenvolva uma política de convidado 
para abordar a necessidade de os convidados legítimos precisarem se conectar 
à Internet durante a visita. Para funcionários autorizados, utilize uma rede 
privada virtual de acesso remoto (VPN) para acessar a WLAN.
Presentation_ID 21© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques de aplicativos
Script entre sites (XSS) - é uma vulnerabilidade encontrada em aplicativos da 
Web. XSS permite que os criminosos injetem scripts em páginas da Web 
visualizadas por usuários. Esse script pode ter código malicioso. O script entre 
sites tem três participantes: o criminoso, a vítima e o site. O criminoso virtual não 
mira diretamente em uma vítima. O criminoso explora a vulnerabilidade em um 
site ou aplicativo da Web. Os criminosos injetam scripts no cliente em páginas da 
Web visualizadas pelos usuários, as vítimas.
Ataques por injeção de código - uma maneira de armazenar dados em um site 
é usar um banco de dados. Há vários tipos diferentes de bancos de dados, como 
Structured Query Language (SQL) ou Extensible Markup Language (XML). Ambos 
os ataques de injeção de XML e SQL exploram as vulnerabilidades no programa, 
como a não validação correta de consultas de banco de dados.
Saturação do buffer - uma saturação do buffer ocorre quando dados ultrapassam 
os limites de um buffer. Os buffers são áreas de memórias alocadas a um 
aplicativo. Ao alterar os dados além dos limites de um buffer, o aplicativo acessa a 
memória alocada a outros processos. Isso pode levar à queda do sistema, 
comprometimento de dados ou fornecer o escalonamento de privilégios.
Presentation_ID 22© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques de aplicativos
Vulnerabilidades de execuções de código remoto permitem que um criminoso 
virtual execute um código malicioso e assuma o controle de um sistema com os 
privilégios do usuário executando a aplicação. A execução de código remota 
permite que o criminoso execute qualquer comando em uma máquina de destino.
Controles ActiveX e Java oferecem recursos de plugin para o Internet Explorer.
▪ Os controles ActiveX são partes de softwares instalados pelos usuários para 
fornecer recursos estendidos. Terceiros escrevem alguns controles ActiveX e, 
portanto, podem ser mal-intencionados. Eles podem monitorar os hábitos de 
navegação, instalar malware ou registrar toques de tela. Os controles Active X 
também funcionam em outros aplicativos da Microsoft.
▪ O Java opera por meio de um intérprete, o Java Virtual Machine (JVM). O JVM 
ativa a funcionalidade do programa Java. O JVM coloca em sandboxes ou isola 
o código não confiável do restante do sistema operacional. Essas 
vulnerabilidades permitem ao código não confiável ignorar as restrições 
impostas pelo sandbox.
Presentation_ID 23© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ataques
Ataques de aplicativos
Defesa contra ataques de aplicativo
▪ A primeira linha de defesa contra um ataque de aplicativo é escrever um código 
sólido.
▪ Independentemente da linguagem usada, ou da origem da entrada externa, a 
prática de programação recomendada é tratar todas as entradas externas como 
uma função hostil.
▪ Valide todas as entradas como se fossem hostis.
▪ Mantenha todos os softwares, inclusive os sistemas operacionais e aplicativos, 
atualizados e não ignore as atualizações solicitadas.
▪ Nem todos os programas atualizam automaticamente, então, no mínimo, 
selecione sempre a opção de atualização manual.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 24
3.4 Resumo do Capítulo
Presentation_ID 25© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
As ameaças, as vulnerabilidades e os ataques são o foco central dos especialistas 
em segurança cibernética.
▪ Este capítulo discutiu os vários ataques à segurança cibernética iniciados pelos 
criminosos virtuais.
▪ O capítulo explicou a ameaça do malware e do código malicioso.
▪ O capítulo discutiu os tipos de disfarces envolvidos na engenharia social. 
Explicou os tipos de ataques que as redes com e sem fio sofrem.
▪ Finalmente, o capítulo discutiu as vulnerabilidades apresentadas por ataques de 
aplicativo.
Compreender os tipos de ameaças possíveis permite que uma empresa identifique 
as vulnerabilidades que a tornam um alvo. Assim, a empresa pode aprender a se 
defender de truques e manobras contra a segurança cibernética.
Resumo do capítulo
Resumo
Presentation_ID 26© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Presentation_ID 27© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco