MATC99 Segurana e Auditoria

de Sistemas de Informao
Malware, scam e fraudes
Italo Valcy <italo@dcc.ufba.br>

Italo Valcy Seg e Auditoria de SI, 2013.1

Fraudes
Fraudes na Internet
Engenharia social
Phishing / Scam

Cdigo malicioso

Italo Valcy Seg e Auditoria de SI, 2013.1

Engenharia social
Mtodo de ataque, onde algum faz uso da
persuaso, muitas vezes abusando da
ingenuidade ou confiana do usurio, para
obter informaes que podem ser utilizadas
para ter acesso no autorizado a computadores
ou informaes.

Italo Valcy Seg e Auditoria de SI, 2013.1

Engenharia social: exemplos

E-mail do suporte tcnico do banco dizendo
que o arquivo em anexo resolve um problema
de segurana do home banking.
Ligao de telefone dizendo ser o provedor da
internet e informando que precisa da senha
para corrigir um problema na conexo;
Salas de bate-papo para atrair crianas

Italo Valcy Seg e Auditoria de SI, 2013.1

Scam (golpe)
qualquer esquema ou ao enganosa
e/ou fraudulenta que, normalmente, tem
como finalidade obter vantagens
financeiras.

Italo Valcy Seg e Auditoria de SI, 2013.1

Scam
Tipos

Furto de identidade: uma pessoa tenta se

passar por outra (falsa identidade)
Fraude de antecipao de recursos: atacante
induz a vtima a fornecer informaes
confidenciais ou realizar pagamento antecipado
Phishing: atacante tenta obter dados pessoais
e financeiros, usando engenharia social em
meio eletrnico
Pharming: tipo especfico de phishing usando
poluio ou redirecionamento DNS
Italo Valcy Seg e Auditoria de SI, 2013.1

Phishing ou Phishing/Scam
Phishing vem da analogia com "fishing". Iscas
usadas para pescar senhas e dados
financeiros.
Mensagem que procura induzir a instalao de
cdigos maliciosos.
Mensagem que apresentam no prprio
contedo formulrios para enviar dados.
Comprometimento do servio DNS.

Italo Valcy Seg e Auditoria de SI, 2013.1

Catlogo de fraudes do CAIS

Catlogo de e-mails relacionados a fraudes na
Internet, reportados por usurios colaboradores
http://www.rnp.br/cais/fraudes.php
artefatos@cais.rnp.br
phishing@cais.rnp.br

Base dados para consulta de fraudes

binrios maliciosos
URLs maliciosas
imagens de sites de phishing

Italo Valcy Seg e Auditoria de SI, 2013.1

Catlogo de fraudes do CAIS

Italo Valcy Seg e Auditoria de SI, 2013.1

Como se proteger
Realizar transaes apenas em sites de
instituies confiveis.
Certifica-se que o endereo apresentado no
browser corresponde ao site que voc deseja
visitar.
Validao DNS

Certifica-se que o site faz uso de conexo

segura.
Antes de aceitar certificado digital, verific-lo
junto ao administrador do site
Italo Valcy Seg e Auditoria de SI, 2013.1

Validao DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

Validao DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

Validao DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC
Extenso do protocolo DNS para adicionar
mecanismos de segurana
Permite que se possa verificar as informaes
recebidas, invs de confiar em sua validade
Suas verificaes ocorrem antes de diversas
aplicaes de segurana (SSL, HTTP, etc.)
Usa criptografia de chave pblica / privada

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC
Beto

Alice

Chave de
ciframento
Texto em
claro

Texto em
claro

Algoritmo de
ciframento

Chave de
deciframento

Canal
inseguro

Algoritmo de
deciframento

Cifras simtricas

Chave de ciframento <=> Chave de decriframento

Cifras assimtricas

Chave pblica + Chave privada

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC
Funciona a partir da adio de quatro novos
tipos de registros no DNS:
DNSKEY: Divulgar a chave pblica
RRSIG: Assinar os registros
NSEC/NSEC3: Garantir a no existncia de um
registro/tipo
DS: Criar o canal de confiana (chain of trust)

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

SSL e Certificados digitais

Italo Valcy Seg e Auditoria de SI, 2013.1

SSL e Certificados digitais

SSL: Prover servios de autenticao do servidor,
comunicao secreta e integridade dos dados;
Definio da chave secreta: Cript. Assimtrica
Criptografia dos dados: Cript. Simtrica

Requer a existncia de uma autoridade certificadora

confivel para garantia das propriedades do SSL
Comprometimento das CA's (o risco das maas podres)
Dificuldade na insero de novas CA's na lista de CA's confiveis
dos sistemas (e.g. browsers, S.O.'s)

Italo Valcy Seg e Auditoria de SI, 2013.1

SSL e Certificados digitais

DANE: DNS-based Authentication of Named
Entities
Objetivo: usar o DNS (e DNSSEC) para
fornecer aos clientes informaes adicionais
sobre as credenciais criptogrficas associadas
com um domnio

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE
O problema em imagens...
Nota: imagens a partir de
DANE, the next big thing
after DNSSEC, Marco
Davids/SIDN:

https://www.ncsc.nl/english/conference/conference-2013/speakers/sidn.html
Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Ataque-me!

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE
Genuine certificate matches the TLSA, fake certificate does not

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE
Genuine certificate matches the TLSA, fake certificate does not

Italo Valcy Seg e Auditoria de SI, 2013.1

Cdigos maliciosos

Italo Valcy Seg e Auditoria de SI, 2013.1

Cdigo malicioso (malware)

Programas desenvolvidos para executar aes
danosas e atividades maliciosas no
computador
Formas de infeco/comprometimento:
Explorao de vulnerabilidades
Auto-execuo de mdias removveis
Acesso pginas web maliciosas a partir de
navegadores vulnerveis

Italo Valcy Seg e Auditoria de SI, 2013.1

Cdigo malicioso (malware)

Principais tipos de malware:
Vrus
Worm
Bot/botnet
Spyware
Backdoor
Cavalo de troia (trojan)
Rootkit

Leitura: http://cartilha.cert.br/malware/
Italo Valcy Seg e Auditoria de SI, 2013.1

Cdigo malicioso (malware)

Anlise de malware:
Desenvolver regras para NIDS
Baseado em IP / DNS (Predio de DGA's)

Desenvolver vacinas
Entender o comportamento e funcionamento
Realizar resposta a incidentes mais efetivamente
Desenvolver patchs de correo
Ganhar o controle do cdigo malicioso e utiliz-lo
para outros fins

Italo Valcy Seg e Auditoria de SI, 2013.1

Anlise de malware
Ferramentas de apoio (hexdump, objdump,
gdb, strace, systemtap, tcpdump, etc)
Sandboxes
Anubis
Malware Analyzer
Truman
TWMAN
Cuckoo

Italo Valcy Seg e Auditoria de SI, 2013.1

Anlise de malware
Ferramentas online (malware scan):
http://www.virustotal.com/
http://virscan.org/

Anlise do comportamento do malware:

http://www.uploadmalware.com/
http://anubis.iseclab.org/
http://camas.comodo.com/

Italo Valcy Seg e Auditoria de SI, 2013.1

Anlise de malware
Onde obter mais informaes:
http://iseclab.org/papers/forecast_acsac11.pdf
http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.ph
p/ceseg:2011-sbseg-mc1.pdf

Italo Valcy Seg e Auditoria de SI, 2013.1

Exerccio
Exer01
analisar os dois malwares contidos no pacote fornecido
pelo professor (relatrio VirusTotal e VirScan, alm de
execuo em ambiente virtual VirtualBox + Windows
XP)
Trafego de rede
Arquivos modificados no sistema
Arquivos baixados
Etc.

analisar as duas fraudes contidas no mesmo pacote

fornecido pelo professor.
Anlise similar ao do catlogo de fraudes

Italo Valcy Seg e Auditoria de SI, 2013.1

Referncias
Dcea, Marcos UFS. Conceitos em Segurana
da Informao. Slides
Smola, Marcos. A Importncia da Gesto da
Segurana da Informao. Slides.
Guia de Referncia Sobre Ataques Via Internet.
Febraban. 2000.

Italo Valcy Seg e Auditoria de SI, 2013.1

37 / 7