Capítulo 3 Ameaças, vulnerabilidades e ataques à segurança cibernética

Prévia do material em texto

Capítulo 3: Ameaças, vulnerabilidades e ataques à segurança cibernética
As ameaças, as vulnerabilidades e os ataques são o foco central dos profissionais da segurança cibernética. Uma ameaça é a possibilidade de ocorrer um evento prejudicial, como um ataque. Uma vulnerabilidade é uma fraqueza que torna um alvo suscetível ao ataque. Um ataque é a exploração deliberada de uma fraqueza descoberta em sistemas informatizados, como alvos específicos ou meramente como alvos de oportunidade. Criminosos virtuais podem ter diferentes motivações para escolher um alvo de ataque. Os criminosos virtuais têm êxito ao procurar continuamente e identificar sistemas com vulnerabilidades evidentes. As vítimas comuns incluem sistemas desatualizados ou sem detecção de vírus e spam.
Este capítulo analisa os ataques mais comuns à segurança cibernética. Os profissionais de segurança cibernética devem compreender como funciona cada ataque, o que explora e como afeta a vítima. O capítulo começa explicando a ameaça de códigos maliciosos e malware e depois explica os tipos de disfarces envolvidos na engenharia social. Um ataque cibernético é qualquer tipo de manobra ofensiva usada por criminosos virtuais contra alvos como sistemas informatizados, redes de computadores ou outros dispositivos de computador. Os cibercriminosos iniciam manobras ofensivas contra redes com e sem fio.
O que é Malware?
Software mal-intencionado ou malware é um termo usado para descrever o software desenvolvido para interromper as operações do computador ou obter acesso a sistemas informatizados, sem o conhecimento ou permissão do usuário. Malware tornou-se um termo genérico usado para descrever todos os tipos de softwares hostis ou invasores. O termo malware inclui vírus de computador, worms, cavalos de Troia, ransomware, spyware, adware, scareware e outros programas mal-intencionados. O malware pode ser óbvio e simples de identificar ou pode ser muito furtivo e quase impossível de detectar.
Vírus, worms e cavalos de troia
Os criminosos virtuais miram os dispositivos finais do usuário por meio da instalação do malware. Clicar em Play (Reproduzir) para visualizar uma animação dos três tipos mais comuns de malware.
Vírus
Um vírus é um código malicioso executável que está anexado a outro arquivo executável, como um programa legítimo. A maioria dos vírus necessitam de inicialização do usuário final e podem ser ativados a uma hora ou data específica. Os vírus de computador geralmente são transmitidos através de uma das três formas: de mídia removível; de downloads na Internet; e de anexos de e-mail. Os vírus podem ser inofensivos e apenas exibir uma imagem ou podem ser destrutivos, como os que modificam ou excluem dados. Para evitar a detecção, o vírus sofre mutação. O simples ato de abrir um arquivo pode ativar um vírus. Um setor de boot, ou vírus de sistema de arquivo, infecta pen-drives USB e podem ser transmitidos para o disco de rígido do sistema. A execução de um programa específico pode ativar um vírus de programa. Uma vez ativo, o vírus de programa normalmente afetará outros programas no computador ou outros computadores na rede. O vírus Melissa foi um exemplo de transmissão de vírus por e-mail. O vírus Melissa afetou dezenas de milhares de usuários e causou uma estimativa de US$ 1,2 bilhão em danos. Clique aqui para obter mais informações sobre vírus.
Worms
Worms é um código malicioso que se replica ao explorar de forma independente vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer um programa do host para execução, os worms podem ser executados se modo autônomo. Exceto pela infecção inicial, os worms não necessitam mais da participação do usuário. Após afetar o host, um worm é pode ser transmitido muito rapidamente pela rede. Worms compartilham padrões similares. Todos eles têm habilitam uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma carga.
Os worms são responsáveis por alguns dos ataques mais devastadores na Internet. Por exemplo, em 2001, o worm Code Red infectou 658 servidores. Em 19 horas, o worm infectou mais de 300.000 servidores.
cavalo de troia
Um cavalo de Troia é um malware que realiza operações mal-intencionadas, sob o pretexto de uma operação desejada, como jogar um game online. Esse código malicioso explora os privilégios do usuário que o executa. Um cavalo de Troia difere de um vírus porque o cavalo de Troia se liga a arquivos não executáveis, como arquivos de imagem, arquivos de áudio ou jogos.
Bombas lógicas
Uma bomba lógica é um programa mal-intencionado que utiliza um gatilho para ativar o código malicioso. Por exemplo, os acionadores podem ser datas, horas, outros programas em execução ou a exclusão de uma conta de usuário. A bomba lógica permanece inativa até que o evento acionador aconteça. Assim que ativada, a bomba lógica implementa um código malicioso que danifica um computador. Uma bomba lógica pode sabotar os registros de banco de dados, apagar arquivos e atacar sistemas operacionais ou aplicativos. Recentemente, especialistas em segurança digital descobriram bombas lógicas que atacam e destroem os componentes de hardware em uma estação de trabalho ou servidor, incluindo as ventoinhas, CPU, memória, discos rígidos e fontes de alimentação. A bomba lógica sobrecarrega esses dispositivos até o superaquecimento ou falha.
Ransomware
O ransomware aprisiona um sistema de computador ou os dados nele encontrados até que a vítima faça um pagamento. O ransomware normalmente funciona criptografando os dados no computador com uma chave desconhecida ao usuário. O usuário deve pagar um resgate aos criminosos para remover a restrição.
Outras versões do ransomware podem lançar mão das vulnerabilidades de sistemas específicos para bloquear o sistema. O ransomware se propaga como um cavalo de Troia e resulta de um arquivo baixado ou de um ponto fraco no software.
A meta do criminoso é sempre o pagamento através de um sistema de pagamento indetectável. Depois que a vítima efetua o pagamento, o criminoso fornece um programa que descriptografa os arquivos ou envia um código de desbloqueio. Clique aqui para obter mais informações sobre ransomware.
Backdoors e Rootkits
Um backdoor refere-se ao programa ou código lançado por um criminoso que comprometeu um sistema. O backdoor ignora a autenticação normal usada para acessar o sistema. Alguns programas comuns de backdoor são o Netbus e Back Orifice, que permitem o acesso remoto a usuários do sistema não autorizados. A finalidade do backdoor é conceder aos criminosos virtuais o acesso futuro ao sistema, mesmo se a empresa corrigir a vulnerabilidade original usada para atacar o sistema. Em geral, os criminosos fazem com que usuários autorizados executem inconscientemente um programa Cavalo de Troia na máquina, para instalar um backdoor.
Um rootkit modifica o sistema operacional para criar um backdoor. Os invasores usam o backdoor para acessar o computador remotamente. A maioria dos rootkits utiliza as vulnerabilidades do software para escalonar privilégios e modificar arquivos de sistema. O escalonamento de privilégios utiliza os erros de programação ou falhas de projeto para conceder o acesso criminoso aos recursos e dados da rede. Também é comum os rootkits modificarem a computação forense do sistema e as ferramentas de monitoramento, o que os torna muito difíceis de ser detectados. Muitas vezes, um usuário deve apagar e reinstalar o sistema operacional de um computador infectado por um rootkit.
Defesa contra malware
Alguns passos simples podem ajudar a se proteger contra todas as formas de malware:
· Programa de antivírus - A maioria dos conjuntos de antivírus captura as formas mais comuns de malware. Contudo, os criminosos virtuais desenvolvem e implantam novas ameaças diariamente. Portanto, o segredo de uma solução antivírus eficaz é manter as assinaturas atualizadas. Uma assinatura é como uma impressão digital. Identifica as características de um código malicioso.
· Software atualizado - Muitas formas de malware atingemseus objetivos explorando as vulnerabilidades do software, no sistema operacional e nos aplicativos. Embora as vulnerabilidades do sistema operacional sejam a principal fonte de problemas, as vulnerabilidades dos aplicativos atuais representam o maior risco. Infelizmente, embora os fornecedores de sistemas operacionais estejam cada vez mais propensos a realizar correções, a maioria dos fornecedores de aplicativos não está.
Spam
O e-mail é um serviço universal usado por bilhões de pessoas em todo o mundo. Como um dos serviços mais populares, o e-mail se tornou uma grande vulnerabilidade para usuários e organizações. Spam, também conhecido como lixo eletrônico, é e-mail não solicitado, nem autorizado. Na maioria dos casos, o spam é um método de anúncio. Entretanto, o spam pode enviar links perigosos, malware ou conteúdo enganoso. O objetivo final é obter informações confidenciais, como o número na previdência social ou informações da conta no banco. A maioria dos spam vem de vários computadores em redes infectadas por um vírus ou worm. Esses computadores infectados enviam o máximo de lixo eletrônico possível.
Mesmo com essas funcionalidades de segurança implementadas, alguns spams ainda podem passar. Observe alguns dos indicadores mais comuns de Spam:
· Um e-mail sem assunto.
· Um e-mail solicitando uma atualização de uma conta.
· O texto do e-mail tem erros de ortografia ou uma pontuação estranha.
· Links no e-mail são longos e/ou incompreensíveis.
· Um e-mail parece uma correspondência de uma empresa idônea.
· Um e-mail que solicita que o usuário abra um anexo.
Clique aqui para obter informações adicionais sobre spam.
Se receber um e-mail que contém um ou mais desses indicadores, o usuário não deverá abrir o e-mail ou os anexos. É muito comum que a política de e-mail de uma empresa exija que um usuário que recebeu esse tipo de e-mail denuncie para a equipe de segurança digital. Quase todos os provedores de e-mail filtram spam. Infelizmente, o spam ainda consome a largura de banda e o servidor do destinatário ainda precisa processar a mensagem.
Spyware, Adware e Scareware
Spyware é o software que permite que um criminoso obtenha informações sobre as atividades do computador do usuário. O spyware frequentemente inclui rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar combater as medidas de segurança, o spyware quase sempre modifica as configurações de segurança. Muitas vezes, o spyware se junta ao software legítimo ou a cavalos de Troia. Muitos sites de shareware estão cheios de spyware.
Normalmente, o adware exibe pop-ups irritantes para gerar receita para seus autores. O malware pode analisar os interesses do usuário rastreando os sites visitados. Em seguida, ele pode enviar anúncios pop-ups relacionados a esses sites. Algumas versões do software instalam Adware automaticamente. Alguns tipos de adware só oferecem anúncios, mas também é comum que o adware venha com spyware.
O scareware persuade o usuário a executar uma ação específica por medo. O scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema operacional. Essas janelas transmitem mensagens falsificadas que afirmam que o sistema está em risco ou precisa da execução de um programa específico para retornar à operação normal. Na verdade, não há problemas e, se o usuário concordar e permitir a execução do programa mencionado, o malware infectará o sistema.
Phishing
Phishing é uma forma de fraude. Os criminosos virtuais usam e-mail, mensagem instantânea ou outras mídias sociais para coletar informações, como credenciais de logon ou informações da conta, ao colocar uma fachada de entidade ou pessoa confiável. O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento disfarçado de uma fonte legítima e confiável. A intenção da mensagem é enganar o destinatário para instalar o malware no dispositivo dele ou compartilhar informações pessoais ou financeiras. Um exemplo de phishing é um e-mail falsificado para parecer que veio de uma loja de varejo, solicitando que o usuário clique em um link para receber um prêmio. O link pode ir para um site falso que pede informações pessoais ou pode instalar um vírus.
Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear phishing usem e-mails para alcançar as vítimas, o spear phishing envia e-mails personalizados a uma pessoa específica. O criminoso pesquisas os interesses da vítima antes de enviar o e-mail. Por exemplo, um criminoso descobre que a vítima está interessada em carros, procurando um modelo específico de carro para comprar. O criminoso entra no mesmo fórum de discussão de carros utilizado pela vítima, forja uma oferta de venda de carro e envia um e-mail para o alvo. O e-mail contém um link para as fotos do carro. Ao clicar no link, a vítima instala inconscientemente o malware no computador. Clique aqui para saber mais sobre fraudes de e-mail.
Vishing, Smishing, Pharming e Whaling
Vishing é o phishing que usa a tecnologia de comunicação de voz. Os criminosos podem falsificar as chamadas de origens legítimas usando a tecnologia VoIP (voice over IP). As vítimas também podem receber uma mensagem gravada que pareça legítima. Os criminosos querem obter números de cartão de crédito ou outras informações para roubar a identidade da vítima. O vishing se vale do fato de que as pessoas confiam na rede telefônica.
Smishing (Short Message Service phishing) é o phishing que usa mensagens de texto em celulares. Os criminosos se passam por uma fonte legítima na tentativa de ganhar a confiança da vítima. Por exemplo, um ataque de smishing pode enviar à vítima o link de um site. Quando a vítima visita o site, o malware é instalado no telefone celular.
Pharming é a representação de um site legítimo na tentativa de enganar os usuários para inserir as credenciais. O pharming leva os usuários para um site falso que parece ser oficial. Então, as vítimas digitam as informações pessoais, achando que estão conectadas a um site legítimo.
Whaling é um ataque de phishing que buscam vítimas de alto perfil em uma empresa, como executivos seniores. Outras vítimas incluem políticos ou celebridades.
Clique aqui para ler um artigo de RSA sobre phishing, smishing, vishing e whaling.
Plugins de navegador e envenenamento de navegador
Asviolações de segurança podem afetar os navegadores da Web, exibindo anúncios de pop-up, coletando informações pessoais identificáveis ou instalando adware, vírus ou spyware. Um criminoso pode invadir um arquivo executável, os componentes ou plugins do navegador.
Plugins
Os plugins Flash e Shockwave da Adobe permitem a criação de animações gráficas e desenhos interessantes que melhoram muito o visual de uma página da Web. Os plugins exibem o conteúdo desenvolvido usando o software apropriado.
Até pouco tempo, os plugins tinham um registro de segurança considerável. À medida que o conteúdo baseado em Flash cresceu e se tornou mais popular, os criminosos examinaram os plugins e softwares Flash, determinaram vulnerabilidades e exploraram o Flash Player. A exploração com sucesso pode causar uma falha no sistema ou permitir que um criminoso assuma o controle do sistema afetado. Espera-se um aumento nas perdas de dados à medida que os criminosos continuem analisando as vulnerabilidades dos plugins e protocolos mais populares.
Envenenamento de SEO
Os mecanismos de busca, como o Google, classificam as páginas e apresentam resultados relevantes com base nas consultas da pesquisa dos usuários. Dependendo da relevância do conteúdo do site, ele pode aparecer mais alto ou mais baixo na lista de resultado da pesquisa. SEO, abreviação de Search Engine Optimization (Otimização de mecanismos de busca), é um conjunto de técnicas usadas para melhorar a classificação do site por um mecanismo de pesquisa. Embora muitas empresas legítimas se especializem na otimização de sites para melhor posicioná-las, o envenenamento de SEO usa a SEO para que um site mal-intencionado fique mais alto nos resultados da pesquisa.O objetivo mais comum do envenenamento de SEO é para aumentar o tráfego em sites maliciosos que podem hospedar malware ou executar engenharia social. Para forçar um site malicioso a obter uma classificação mais elevada nos resultados de pesquisa, os invasores utilizam termos de busca populares.
Sequestrador de navegador
Um sequestrador de navegador é o malware que altera as configurações do navegador de um computador para redirecionar o usuário para sites pagos pelos clientes de criminosos virtuais. Normalmente, os sequestradores de navegador são instalados sem a permissão do usuário e fazem parte de um download drive-by. Um download drive-by é um programa que é transferido para o computador automaticamente, quando um usuário visita um site da Web ou visualiza uma mensagem de e-mail HTML. Sempre leia atentamente os contratos do usuário ao baixar programas, para evitar esse tipo de malware.
Defesa contra ataques ao e-mail e navegador
Os métodos de controle de spam incluem filtrar e-mails, ensinar o usuário a tomar cuidado com e-mails desconhecidos e usar filtros de host/servidor.
É difícil impedir um spam, mas existem maneiras de diminuir seus efeitos. Por exemplo, a maioria dos ISPs filtram os spams, antes que eles atinjam a caixa de entrada do usuário. Muitos antivírus e programas de software de e-mail executam a filtragem de e-mail automaticamente. Isso significa que detectam e removem spam de uma caixa de entrada.
As empresas também devem conscientizar os funcionários sobre os perigos de se abrir anexos de e-mail que possam conter um vírus ou um worm. Não presuma que os anexos de e-mail são seguros, mesmo quando são enviados por um contato confiável. Um vírus pode estar tentando se espalhar usando o computador do remetente. Sempre varra anexos de e-mail, antes de abri-los.
O Anti-Phishing Working Group (APWG) é uma associação do setor voltada para eliminar o roubo de identidade e a fraude resultantes de phishing e spoofing de e-mail.
Manter todo o software atualizado assegura que o sistema tenha todos os mais recentes patches de segurança aplicados para eliminar as vulnerabilidades conhecidas. Clique aqui para saber mais sobre como evitar ataques ao navegador.
Engenharia social
Engenharia social é um meio totalmente não técnico de um criminoso coletar informações sobre a vítima. Engenharia social é um ataque que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais.
Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda, mas também miram nos pontos fracos. Por exemplo, um invasor pode chamar um funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O invasor pode recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do funcionário.
Há alguns tipos de ataques de Engenharia social:
Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa de obter acesso a dados confidenciais. Um exemplo envolve um invasor que finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
Something for Something (Quid pro quo) - Ocorre quando um invasor solicita informações pessoais de uma pessoa em troca de algo, como um presente.
Táticas de Engenharia social
Engenheiros sociais utilizam várias táticas. As táticas de engenharia social incluem:
· Autoridade – As pessoas são mais propensas a cooperar quando instruídas por "uma autoridade"
· Intimidação – Os criminosos intimidam a vítima a realizar uma ação
· Consenso/prova social – As pessoas realizarão essa ação se acharem que as outras pessoas aprovarão
· Escassez – As pessoas realizarão essa ação se acharem que existe uma quantidade limitada
· Urgência – As pessoas realizarão essa ação se acharem que existe um tempo limitado
· Familiaridade/gosto – Os criminosos criam empatia com a vítima para estabelecer um relacionamento
· Confiança – Os criminosos criam uma relação de confiança com uma vítima, que pode precisar de mais tempo para ser estabelecida
Clicar em cada tática na figura para ver um exemplo.
Os profissionais de segurança digital são responsáveis por ensinar os outros funcionários da empresa sobre as táticas dos engenheiros sociais. Clique aqui para saber mais sobre táticas de engenharia social.
Shoulder Surfing e busca de informações na lixeira
Um criminoso observa ou bisbilhota a vítima para obter PINs, códigos de acesso ou números de cartão de crédito. Um invasor pode estar perto da sua vítima ou pode usar binóculos ou câmeras de circuito fechado para descobrir informações. É por isso que uma pessoa só pode ler uma tela de ATM em determinados ângulos. Esses tipos de proteções dificultam muito o Shoulder Surfing.
"A lixeira de um homem é o tesouro de outro". Essa frase pode ser especialmente verdadeira no mundo da busca de informações na lixeira, que é o processo de revirar o lixo da vítima para ver quais informações uma empresa descartou. Considere a possibilidade de proteger a lixeira. Quaisquer informações confidenciais devem ser devidamente eliminadas através de trituração ou do uso de sacos de incineração, um recipiente que contém documentos confidenciais ou secretos para posterior destruição pelo fogo.
Representação e farsas
A representação é o ato de fingir ser outra pessoa. Por exemplo, um scam de telefone recente mirava nos contribuintes. Um criminoso, disfarçado de funcionário da Receita Federal, dizia para as vítimas que elas deviam dinheiro à Receita. As vítimas devem pagar imediatamente através de uma transferência bancária. O impostor ameaçou que a falta de pagamento resultará em prisão. Os criminosos também usam a representação para atacar os outros. Eles podem prejudicar a credibilidade das pessoas, usando publicações em site ou redes sociais.
Uma farsa é um ato com a finalidade de enganar ou ludibriar. Uma farsa virtual pode causar tanto problema quanto uma violação real. Uma farsa provoca uma reação do usuário. A reação pode criar um medo desnecessário e um comportamento irracional. Os usuários passam as farsas por e-mail e redes sociais. Clique aqui para acessar um site que relaciona mensagens de farsa.
Piggybacking e tailgating
Piggybacking ocorre quando um criminoso se identifica juntamente com uma pessoa autorizada, para entrar em um local protegido ou uma área restrita. Os criminosos usam vários métodos de piggyback:
· Parecem ser escoltados pela pessoa autorizada
· Juntam-se a uma grande multidão, fingindo ser um membro
· Escolhem uma vítima que é descuidada em relação às regras do estabelecimento
Tailgating é outro termo que descreve a mesma prática.
Uma armadilha evita o piggybacking, usando dois conjuntos de portas. Depois que os indivíduos entram pela porta externa, essa porta deve fechar antes que entrem na porta interna.
Disfarce on-line, no e-mail e na Web
Encaminhar e-mails de farsa e outras piadas, filmes engraçados e e-mails não relacionados ao trabalho durante o expediente pode violar a política de uso aceitável pela empresa e resultar em ações disciplinares. Clique aqui para acessar um site que publica rumores e o fato que confirma as informações.
Defesa contra disfarce
As empresas precisam promover a conscientização das táticas de engenharia social e orientar os funcionários corretamente sobre medidas de prevenção como as seguintes:
· Nunca fornecer informações confidenciais ou secretas por e-mail, sessões de bate-papo, pessoalmente ou por telefone às pessoas desconhecidas.
· Resistir à tentação de clicar em e-mails e links de site atraentes.
· Ficar de olho em downloads não iniciados ou automáticos.
· Estabelecer políticas e instruir os funcionários sobre essas políticas.
· Quando se trata de segurança, dar um sentido de apropriação aos funcionários.
· Não se submeter à pressão de pessoas desconhecidas.
Clique aqui para saber mais sobre conscientização de segurança digital
Negação de serviço
Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de negação de serviço (DoS) resulta emalgum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações. Existem dois tipos principais de ataque de negação de serviço (DoS):
· Quantidade exorbitante de tráfego – O invasor envia uma enorme quantidade de dados a uma taxa que a rede, o host ou o aplicativo não pode suportar. Isso causa uma desaceleração na transmissão ou resposta ou uma falha em um dispositivo ou serviço.
· Pacotes formatados maliciosamente – O invasor envia um pacote formatado maliciosamente para um host ou aplicativo e o receptor não consegue contê-lo. Por exemplo, um aplicativo não pode identificar os pacotes que contêm erros ou os pacotes formatados incorretamente encaminhados pelo invasor. Isso causa lentidão ou falha na execução do dispositivo receptor.
Os ataques de negação de serviço (DoS) são um grande risco porque podem facilmente interromper a comunicação e causar perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado.
O objetivo de um ataque de negação de serviço é negar acesso aos usuários autorizados, tornando a rede indisponível (lembre-se dos três princípios básicos de segurança: confidencialidade, integridade e disponibilidade). Clicar em Play (Reproduzir) na Figura 1 para visualizar a animação de um ataque de negação de serviço (DoS).
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), porém é originado por várias fontes coordenadas. Por exemplo, um ataque de negação de serviço distribuída (DDoS) pode ocorrer da seguinte maneira:
Um invasor cria uma rede de hosts infectados, denominada botnet, composta por zumbis. Os zumbis são os hosts infectados. O invasor usa um sistema de controle para controlar os zumbis. Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis. Quando está pronto, o hacker instrui os sistemas controlador para fazer com que o botnet de zumbis execute um ataque de negação de serviço distribuído (DDoS).
Clicar em Play (Reproduzir) na Figura 2 para visualizar as animações de um ataque de negação de serviço distribuída (DDoS). Um ataque de negação de serviço distribuída (DDoS) usa muitos zumbis para sobrecarregar uma vítima.
Sniffing
Sniffing é semelhante a espionar alguém. Eles ocorrem quando os invasores examinam todo o tráfego de rede à medida que passa pelo NIC, independentemente de se o tráfego é endereçado a eles ou não. Os criminosos conseguem fazer sniffing de rede com um aplicativo, dispositivo de hardware ou uma combinação dos dois. Como mostrado na figura, o sniffing visualiza todo o tráfego de rede ou atinge um protocolo específico, serviço ou até mesmo uma sequência de caracteres, como um login ou senha. Alguns sniffers de rede observam todo o tráfego e modificam o tráfego parcial ou totalmente.
Sniffing também tem seus benefícios. Os administradores de rede também podem usar sniffers para analisar o tráfego de rede, identificar problemas de largura de banda e solucionar outros problemas de rede.
A segurança física é importante para evitar a entrada de sniffers na rede interna.
Spoofing
Spoofing é um ataque de representação e tira proveito de uma relação de confiança entre os dois sistemas. Se os dois sistemas aceitam a autenticação de cada um deles, um indivíduo conectado a um sistema pode não passar novamente pelo processo de autenticação novamente para acessar outro sistema. Um invasor pode se aproveitar desse arranjo, enviando um pacote para um sistema que parece ter vindo de um sistema confiável. Como a relação de confiança é estabelecida, o sistema-alvo pode executar a tarefa solicitada sem autenticação.
Existem vários tipos de ataques de spoofing:
· O spoofing do endereço MAC ocorre quando um computador aceita pacotes de dados com base no endereço MAC de outro computador.
· O spoofing de IP envia pacotes IP com um endereço de origem falsificado para se disfarçar.
· O Address Resolution Protocol (ARP) é um protocolo que mapeia os endereços IP para endereços MAC para transmissão de dados. O spoofing de ARP envia mensagens falsificadas de ARP através de uma LAN para vincular o endereço MAC do criminoso ao endereço IP de um membro autorizado da rede.
· O Domain Name System (DNS) associa os nomes de domínio aos endereços IP. O spoofing do servidor DNS modifica o servidor DNS para redirecionar um nome de domínio específico para um endereço IP diferente, controlado pelo criminoso.
Man-in-the-middle
Um criminoso executa um ataque Man-in-the-middle (MitM), interceptando as comunicações entre computadores para roubar as informações que passam pela rede. O criminoso também pode optar por manipular as mensagens e transmitir informações falsas entre os hosts, já que os hosts não sabem que uma modificação de mensagens ocorreu. O MitM permite que o criminoso tenha o controle sobre um dispositivo sem o conhecimento do usuário.
Clicar nos passos na figura para aprender as noções básicas do ataque MitM.
Man-In-The-Mobile (MitMo) é uma variação do man-in-middle. O MitMo assume o controle de um dispositivo móvel. O dispositivo móvel infectado envia as informações confidenciais do usuário para os invasores. ZeuS, um exemplo de exploit com capacidades de MitMo, permite que os invasores capturem silenciosamente as mensagens de SMS de verificação de 2 passos enviadas para os usuários. Por exemplo, ao configurar um ID da Apple, o usuário deve fornecer um número de telefone habilitado para SMS para receber um código de verificação temporário via mensagem de texto, para comprovar a identidade do usuário. O malware espiona esse tipo de comunicação e retransmite as informações para os criminosos.
Um ataque de repetição ocorre quando um invasor captura uma parte de uma comunicação entre dois hosts e, então, retransmite a mensagem capturada mais tarde. Os ataques de repetição driblam os mecanismos de autenticação.
Ataques de Dia Zero
Um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de computador que tenta explorar as vulnerabilidades do software que são desconhecidas ou não divulgadas pelo fornecedor do software. O termo zero hora descreve o momento em que alguém descreve essas explorações. Durante o tempo que os fornecedores de software demoram para desenvolver e liberar um patch, a rede está vulnerável a essas explorações, como mostrado na figura. A defesa contra esses ataques rápidos requer que os profissionais de rede adotem uma visão mais sofisticada da arquitetura da rede. Não é mais possível conter as intrusões em alguns pontos da rede.
Keyboard Logging
O Keyboard Logging é um programa de software que grava ou registra os toques de teclas do usuário do sistema. Os criminosos podem implementar registradores de toque de tela no software instalado em um sistema de computador ou por meio de um hardware fisicamente conectado a um computador. O criminoso configura o software registrador de tecla para enviar um e-mail com o arquivos de log. Os toques de tela capturados no arquivo de log podem revelar nomes de usuários, senhas, sites visitados e outras informações confidenciais.
Os registradores de teclado podem ser um software comercial legítimo. Geralmente, os pais compram software registradores de tecla para rastrear os sites e o comportamento dos filhos que utilizam a Internet. Muitos aplicativos anti-spyware são capazes de detectar e remover registradores de tecla não autorizados. Embora o software de registro de tela seja legal, os criminosos usam o software para fins ilegais.
Defesa contra ataques
Uma empresa pode tomar uma série de medidas para se defender contra diversos ataques. Configurar firewalls para descartar todos os pacotes de fora da rede, com endereços que indiquem que foram originados dentro da rede. Essa situação não ocorre normalmente e isso indica que um criminoso virtual tentou executar um ataque de spoofing.
Para evitar ataques DoS e DDoS, assegure que os patches e upgrades sejam atuais, distribua a carga de trabalho entre os sistemas de servidor e bloqueie os pacotesexternos de Internet Control Message Protocol (ICMP) na borda da rede. Os dispositivos de rede usam pacotes ICMP para enviar mensagens de erro. Por exemplo, o comando ping usa pacotes ICMP para verificar se um dispositivo pode se comunicar com outro na rede.
Os sistemas podem impedir que a vítima sofra um ataque de repetição, criptografando o tráfego, fornecendo autenticação criptográfica e incluindo um carimbo de hora em cada parte da mensagem. Clique aqui para saber mais sobre as formas de evitar ataques virtuais.
Grayware e SMiShing
O grayware está se tornando uma área de problema na segurança móvel com a popularidade dos smartphones. Grayware inclui aplicativos que se comportam de modo incômodo ou indesejável. O grayware pode não ter malware reconhecível oculto nele, mas ainda pode ser um risco ao usuário. Por exemplo, o Grayware pode rastrear a localização do usuário. Os autores do Grayware geralmente mantêm a legitimidade, incluindo recursos do aplicativo nas letras miúdas do contrato de licença de software. Os usuários instalam muitos aplicativos móveis sem pensar realmente em seus recursos.
SMiShing é abreviação do SMS phishing. Ele usa o Serviço de mensagens curtas (SMS) para enviar mensagens de texto falsas. Os criminosos fazem com que o usuário acesse um site ou ligue para um telefone. As vítimas enganadas podem fornecer informações confidenciais, como os dados de cartão de crédito. O acesso a um site pode resultar em download de malware que invade o dispositivo, sem o conhecimento do usuário.
Access points não autorizados
Um access point não autorizado é um access point sem fio instalado em uma rede segura sem autorização explícita. Um access point não autorizado pode ser configurado de duas maneiras. A primeira é quando um funcionário bem intencionado que tenta ser útil, facilitando a conexão de dispositivos móveis. A segunda maneira é quando um criminoso obtém acesso físico a uma empresa e discretamente instala o access point não autorizado. Como não são autorizados, ambos representam riscos para a empresa.
Um access point não autorizado também pode se referir ao access point de um criminoso. Neste caso, o criminoso configura o access point como um dispositivo de MitM para capturar as informações de login dos usuários.
Um ataque de Evil Twin usa o access point do criminoso, aprimorado com antenas de maior potência e maior ganho, para parecer uma melhor opção de conexão para os usuários. Depois que os usuários se conectam ao access point do invasor, os criminosos podem analisar o tráfego e executar ataques de MitM.
Congestionamento de RF
Os sinais sem fio são suscetíveis à interferência eletromagnética (EMI), interferência de rádio frequência (RFI) e podem até ser suscetíveis a relâmpagos ou ruídos de luzes fluorescentes. Sinais sem fio também são suscetíveis a congestionamento deliberado. O congestionamento de radiofrequência (RF) interfere na transmissão de uma estação de rádio ou satélite, para que o sinal não alcance a estação de recepção.
A frequência, modulação e potência do interferidor de RF precisam ser iguais às do dispositivo que o criminoso deseja corromper, para congestionar com sucesso o sinal sem fio.
Bluejacking e Bluesnarfing
Bluetooth é um protocolo de curto alcance e baixa potência. O Bluetooth transmite dados em uma rede de área pessoal ou PAN e pode incluir dispositivos como telefones celulares, notebooks e impressoras. O Bluetooth já passou por várias versões. A configuração fácil é uma característica do Bluetooth, portanto, não há necessidade de endereços de rede. O Bluetooth usa emparelhamento para estabelecer a relação entre os dispositivos. Ao estabelecer o emparelhamento, ambos os dispositivos usam a mesma chave de acesso.
O Bluetooth tem vulnerabilidades, porém a vítima e o invasor precisam estar dentro do alcance um do outro, devido ao alcance limitado do Bluetooth.
· Bluejacking é o termo usado para enviar mensagens não autorizadas para outro dispositivo Bluetooth. Uma variação disso é enviar uma imagem chocante para o outro dispositivo.
· O bluesnarfing ocorre quando o invasor copia as informações da vítima no dispositivo dela. Essas informações podem incluir e-mails e listas de contato.
Ataques de WEP e WPA
Wired Equivalent Privacy (WEP) é um protocolo de segurança que tentou fornecer uma rede de área local sem fio (WLAN) com o mesmo nível de segurança de uma LAN com fio. Como as medidas de segurança físicas ajudam a proteger uma LAN com fio, o WEP procura fornecer proteção similar para dados transmitidos pela WLAN com criptografia.
O WEP usa uma chave de criptografia. Não há provisão para gerenciamento de tecla com WEP, então o número de pessoas que compartilham a chave continuará a crescer. Desde que todo mundo está usando a mesma chave, o criminoso tem acesso a uma grande quantidade de tráfego para ataques analíticos.
O WEP também tem vários problemas com o seu vetor de inicialização (IV), que é um dos componentes do sistema criptográfico:
· É um campo de 24 bits, que é muito pequeno.
· É um texto desprotegido, o que significa que é legível.
· É estático para que fluxos de chave idênticos se repitam em uma rede dinâmica.
O Wi-Fi Protected Access (WPA) e, em seguida, o WPA2 surgiram como protocolos melhorados para substituir o WEP. O WPA2 não tem os mesmos problemas de criptografia pois um invasor não pode recuperar a chave pela observação do tráfego. O WPA2 está suscetível ao ataque porque os criminosos virtuais podem analisar os pacotes transmitidos entre o access point e um usuário legítimo. Os criminosos virtuais usam um analisador de pacote e, em seguida, executa os ataques off-line na frase secreta.
Defesa contra ataques a dispositivos móveis e sem fio
Há várias etapas a serem seguidas para defesa contra os ataques ao dispositivo sem fio e móvel. A maioria dos produtos WLAN usa configurações padrão. Utilize os recursos de segurança básicos sem fio, como autenticação e criptografia, ao alterar as configurações padrão.
Colocação de access point restrito com a rede ao posicionar esses dispositivos fora do firewall ou dentro de uma zona desmilitarizada (DMZ) que contenha outros dispositivos não confiáveis como e-mail e servidores da Web.
As ferramentas WLAN, como NetStumbler, podem descobrir os access points e estações de trabalho não autorizados. Desenvolva uma política de convidado para abordar a necessidade de os convidados legítimos precisarem se conectar à Internet durante a visita. Para funcionários autorizados, utilize uma rede privada virtual de acesso remoto (VPN) para acesso WLAN.
Scripting através de sites
O Cross-site scripting (XSS) é uma vulnerabilidade encontrada nos aplicativos da Web. XSS permite que os criminosos injetem scripts em páginas da Web visualizadas por usuários. Esse script pode conter código malicioso.
O script entre o site tem três participantes: o criminoso, a vítima e o site. O criminoso virtual não mira diretamente em uma vítima. O criminoso explora a vulnerabilidade dentro de um site ou aplicativo da Web. Os criminosos injetam scripts no cliente em páginas da Web visualizadas pelos usuários, as vítimas. O script mal-intencionado inadvertidamente passa para o navegador do usuário. Um script mal-intencionado desse tipo pode acessar quaisquer cookies, tokens de sessão ou outras informações confidenciais. Se obtiverem o cookie de sessão da vítima, os criminosos poderão se passar pelo usuário
Injeção de código
Uma maneira de armazenar dados em um site é usar um banco de dados. Há vários tipos diferentes de bancos de dados, como SQL (Structured Query Language, Linguagem de Consulta Estruturada) ou Extensible Markup Language (XML). Ambos os ataques de injeção de XML e SQL exploram as vulnerabilidades no programa, como a não validação correta de consultas de banco de dados.
Injeção de XML
Ao usar um banco de dados XML, uma injeção de XML é um ataque que pode corromper os dados. Depois que o usuário dá a entrada, o sistema acessa os dados necessários através de uma consulta. O problema ocorre quando o sistema não examinacorretamente a solicitação de entrada fornecida pelo usuário. Os criminosos podem manipular a consulta, programando para atender às necessidades dos criminosos e acessar as informações no banco de dados.
Todos os dados confidenciais armazenados no banco de dados são acessíveis para os criminosos e eles podem efetuar quantas alterações desejarem no site. Um ataque de injeção XML ameaça a segurança do site.
Injeção de SQL
O criminoso virtual explora uma vulnerabilidade, inserindo uma instrução SQL mal-intencionada em um campo de entrada. Mais uma vez, o sistema não filtra a entrada do usuário corretamente para os caracteres em uma instrução SQL. Os criminosos usam a injeção de SQL em sites ou qualquer banco de dados SQL.
Os criminosos podem falsificar uma identidade, modificar os dados existentes, destruir os dados ou se tornar os administradores do servidor do banco de dados.
Buffer Overflow
Um buffer overflow ocorre quando os dados ultrapassam os limites de um buffer. Os buffers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos limites de um buffer, o aplicativo acessa a memória alocada a outros processos. Isso pode levar à queda do sistema, comprometimento de dados ou fornecer o escalonamento de privilégios.
O CERT/CC na Carnegie Mellon University estima que quase metade de todos os exploits de programas de computador é historicamente originada de alguma forma de saturação do buffer. A classificação genérica de buffer overflow inclui muitas variantes, como as saturações de buffer estático, erros de indexação, erros de string de formatação, incompatibilidades de tamanho de buffer de Unicode e ANSI e saturação de pilha.
Execuções de código remoto
As vulnerabilidades permitem que um criminoso virtual execute códigos maliciosos e assumam o controle de um sistema com os privilégios do usuário que opera o aplicativo. A execução de código remota permite que o criminoso execute qualquer comando em uma máquina de destino.
Veja, por exemplo, o Metasploit. Metasploit é uma ferramenta para o desenvolvimento e execução do código de exploit contra uma vítima remota. Meterpreter é um módulo de exploit dentro do Metasploit que oferece recursos avançados. O Meterpreter permite que os criminosos gravem suas próprias extensões como um objeto compartilhado. Os criminosos carregam e injetam esses arquivos em um processo em execução no alvo. O Meterpreter carrega e executa todas as extensões na memória, portanto, nunca envolvem o disco rígido. Isso também significa que esses arquivos não são detectados pelo antivírus. O Meterpreter tem um módulo para controlar a webcam do sistema remoto. Ao instalar o Meterpreter no sistema da vítima, o criminoso pode exibir e capturar imagens da webcam da vítima.
Controles ActiveX e Java
Ao navegar na Web, algumas páginas podem não funcionar corretamente, a menos que o usuário instale um controle ActiveX. Os controles ActiveX oferecem um recurso de plugin para o Internet Explorer. Os controles ActiveX são partes de software instalados pelos usuários para fornecer recursos estendidos. Terceiros escrevem alguns controles ActiveX e, portanto, podem ser mal-intencionados. Eles podem monitorar os hábitos de navegação, instalar malware ou registrar toques de tela. Os controles ActiveX também funcionam em outros aplicativos da Microsoft.
O Java opera por meio de um intérprete, o Java Virtual Machine (JVM, máquina virtual Java). O JVM ativa a funcionalidade do programa Java. O JVM coloca em sandboxes ou isola o código não confiável do restante do sistema operacional. Essas são vulnerabilidades, que permitem ao código não confiável ignorar as restrições impostas pelo sandbox. Também existem vulnerabilidades na biblioteca de classe do Java, que um aplicativo usa para sua segurança. Java é a segunda maior vulnerabilidade de segurança, juntamente com o plugin do Flash da Adobe.
Defesa contra ataques de aplicativo
A primeira linha de defesa contra um ataque de aplicativo é escrever um código sólido. Independentemente da linguagem usada, ou da origem da entrada externa, a prática de programação prudente é tratar todas as entradas externas como uma função hostil. Valide todas as entradas como se fossem hostis.
Mantenha todos os softwares atualizados, incluindo os sistemas operacionais e aplicativos, e não ignore os prompts de atualização. Nem todos os programas são atualizados automaticamente. No mínimo, selecione a opção de atualização manual. As atualizações manuais permitem aos usuários ver exatamente quais atualizações foram efetuadas.
Capítulo 3: Ameaças, vulnerabilidades e ataques à segurança cibernética
As ameaças, as vulnerabilidades e os ataques são o foco central dos profissionais da segurança cibernética. Este capítulo discute os vários ataques à segurança cibernética iniciados pelos criminosos virtuais. O capítulo explicou a ameaça do malware e do código malicioso. O capítulo discutiu os tipos de disfarces envolvidos na engenharia social. Contemplou também os tipos de ataques que as redes com e sem fio sofrem. Finalmente, o capítulo discutiu as vulnerabilidades apresentadas por ataques de aplicativo.
Compreender os tipos de ameaças possíveis permite que uma empresa identifique as vulnerabilidades que a tornam um alvo. A empresa pode então aprender a se defender contra o disfarce e manobras na segurança digital.
WEP