Escolar Documentos
Profissional Documentos
Cultura Documentos
Apresentacao Senac
Apresentacao Senac
Anderson Menezes
Segurana - Ataques e Defesas - anderson.to@gmail.com
Segurana
Considerando o que segurana, segundo o dicionrio significa:
Condio ou estado de estar seguro ou protegido; Capacidade de manter seguro; Proteo contra a fuga ou escape; Profissional ou servio responsvel pela guarda e proteo de algo; Confiana em si mesmo.
Princpios Bsicos
Seguindo os princpios bsicos da Segurana da Informao 1. Confidencialidade; O responsvel pelo controle de acesso a informao apenas por aquelas pessoas ou entidades que tenham permisses a acessar tal informao; 2. Integridade; Garantir que a informao mantenha todas as suas caractersticas originais como determinadas pelo proprietrio da informao; 3. Disponibilidade; Define que a determinada informao esteja sempre disponvel para o acesso quando necessrio;
Princpios Bsicos
4. Autenticidade ; Garantir que a informao venha da origem informada, permitindo a comunicao segura, a garantia de que a informao a qual tem acesso correta e de fonte confivel; 5. Legalidade; a propriedade que define se determinada informao, ou operao, est de acordo com as leis vigentes do pas. As mesmas leis que regem um pas, podem ser completamente diferentes em outro, o que pode ocasionar um srie de problemas, caso o sistema de gesto no seja adaptvel.
Distrbios Comuns
Princpio Ataque Browsing Descrio Procurar informaes sem necessariamente saber seu tipo Olhar sobre o ombro da pessoa o que digitado Finger ser algum com a inteno de ter acesso a informao. Intercerptar a mensagem, altera-la e enviar ao seu destino original Modificar os logs de auditoria, normalmente com a inteo de ocutar os fatos Alterar arquivos criticos em um sistema para modificar sua funcionabilidade
Confidencialidade
Modificar a Mensagem
Integridade
Distrbios Comuns
Princpio Ataque Desastres Naturais ou Provocados Disponibilidade Negao de Servio (DoS) Descrio Vandalismo, incndios, terremotos, terrorismo, vulcanismo Comprometimento de servios de importncia fundamental para processos Modificar dados de forma a ficarem inteis para outras pessoas
Comprometimento de informaes
Terminologias de Segurana
1. Vulnerabilidade fragilidade que pode fornecer uma porta de entrada a um atacante; 2. Ameaa agente ou ao que se aproveita de uma vulnerabilidade; 3. Risco (Impacto X probabilidade) de ameaa ocorrer; 4. Ataque Incidncia da ameaa sobre a vulnerabilidade; 5. Exploit Programa capaz de explorar uma vulnerabilidade.
Ameaas
Dentre as ameaas fsicas podemos considerar:
Ataques
Assim como dividimos as ameaas em dois grandes grupos, os ataques tambm podem ser divididos da mesma maneira: Internos e Externos. Os ataques internos representam por volta de 70% dos ataques que ocorrem aos sistemas de rede. Mesmo que a maioria das pessoas acreditem que a maior parte dos ataques surjam de fontes externas, essa uma maneira errnea de encarar o problema.
Entre os ataques internos, encontramos em sua maioria, aqueles realizados por funcionrios de dentro da prpria organizao, que esto insatisfeitos ou os desavisados sobre as polticas de Segurana da Empresa.
Ataques
Analisando ataques externos, nos deparamos com a possibilidade de comprometimento cujo o objetivo estejam vinculados espionagem. Ex: Espionagem Industrial Outra possibilidade da origem de comprometimento de sistemas, pode ser a curiosidade ou simplesmente o desafio que representa para o Cracker. (sendo til ou no a informao para ele) Bons exemplos desse tipo de ataque A Arte de Invadir de Kevin Mitnik.
Exemplos
Exemplo de AMEAA:
Mecanismos de segurana
Mecanismos fsicos;
Portas, Trancas, Paredes, Blindagem, Guardas, Cmeras, Sistemas de Alarme, Sistemas de Deteco de Movimento, biometria. Os mecanismos fsicos de proteo, so barreiras que limitam o contato ou acesso direto a informao ou a infraestrutura (que garante a existncia da informao) que a suporta.
Mecanismos lgicos; - Criptografia, Firewall, Anti-Vrus, IDS (deteco de ataque), IPS (semelhante ao IDS), Proxy, antispam. Os mecanismos lgicos, so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
Fases de um ataque
Levantamento de Informaes
Essa fase mais abrangente e baseado no que descoberto todo planejamento realizado e os vetores de ataques definidos. Ex: (nomes, telefones, endereo, redes sociais) Varredura
Nesta fase o atacante busca informaes mais detalhadas do alvo: Ex: (Qual SO?, Quais Servios ativos?, Quais Verses?, H IDS/IPS?, H honeypots? ...)
Fases de um ataque
Ganhando acesso
Aqui dependendo dos vetores de ataque ele pode buscar acessos com:
Ataques de fora bruta local; Ataques de fora bruta remota; Captura de trfego de rede Ataque de engenharia Social; Ataques aplicaes WEB; Explorao de servios; Explorao de SO;
Fases de um ataque
Google Hacking
No levantamento de informaes o Google a principal ferramenta para o levantamento de informaes de nosso alvo. o melhor sistema pblico pra utilizarmos em busca de informaes sobre qualquer coisa em relao ao nosso alvo:
Certamente vrios resultados retornaro com links onde podemos encontra nome completo, endereo, telefone, CPF, etc...
Google Hacking
Ex:
site:gov.br ext:sql (busca por arquivo de base de dados em sites do governo) inurl:e-mail filetype:mdb (busca arquivos de e-mail em formato .mdb) Inurl:intranet + intext:telefone (busca telefones disponveis em intranets encontradas pelo google).
Contramedidas
Possuir uma boa poltica referente publicaes de informaes na Internet; No deixar configuraes padres em Servidores Web, para os mesmos no consigam ser indentificados facilmente; Sempre analisar as informaes disponveis sobre a empresa em sites de busca; Alertar e treinar os funcionrios da empresa com relao a maneira com que um ataque de engenharia social pode acontecer, e as possveis informaes que o atacante poder usar nesse ataque.
D-me seis horas para cortar uma rvore, e eu gastarei as primeiras quatro horas afiando o machado
Abraham Lincoln
Engenharia Social
Podemos considerar a engenharia social como a arte de enganar pessoas para conseguir informaes, as quais no deviam ter acesso.
Empregados podem deixar escapar informaes sigilosas atravs de um contato via telefone ou mesmo conversando em locais pblicos: elevadores, corredores, bares. Uma empresa pode ter os melhores produtos de segurana que o dinheiro pode proporcionar. Porm, o fator humano , em geral, o ponto mais fraco da segurana.
Baseada em Pessoas As tcnicas de engenharia social baseada em pessoas possuem diversas caractersticas que so utilizadas para que o atacante consiga as informaes que deseja, dentre elas podemos citar :
Disfarces; Representaes; Uso de cargo de alto nvel; Observaes; Ataques a sistemas de help-desk;
Baseada em computadores Este ataque se baseia no desconhecimento do usurio com relao ao uso coreto da informtica: Exemplos
Formas de Ataque
Roubo de Identidade Atualmente, quando algum cria uma nova identidade baseando-se em informaes de outra pessoa.
Phishing Scam uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sigilosas, ou instalar programas maliciosos na mquina alvo
URL Obfuscation Tcnica utilizada para diminuir o tamanho das URL's muito grandes.
Formas de Ataques
Dumpster Diving o ato de vasculhar lixeiras em busca de informaes. Todos os dias so jogados no lixo de empresas vrios documentos sem utilidades, mas os atacantes podem utilizar essa informao para um ataque
Persuaso Os prprios hackers vem a engenharia social de um ponto de vista psicolgico, enfatizando como criar um ambiente psicolgico perfeito para um ataque. Os mtodos bsicos de persuaso so: personificao, insinuao, conformidade, difuso de responsabilidade e a velha amizade.
No Tech Hacking
Todo e qualquer tipo de ataque que no tenha necessidade de aparatos tecnolgicos so considerados NO TECH HACKING.
Dumpster Diving (Vasculhar o lixo da empresa) Shoulder Surfing (Papagaio de Pirata) Lock picking (tcnicas de abrir fechaduras) Tailgating (Ouvir uma conversa ao telefone)
Contramedidas
No trabalhe assuntos privados em locais pblicos; Faa descarte seguro de documentos; Fechaduras e trancas de boa qualidade; Bolsas e documentos pessoais em segurana; Teste constantemente seus dispositivos de segurana, cmeras e detectores de movimento; Tenha cuidado com o Papagaio de Pirata; Mantenha-se atento aos engenheiros sociais. Treine adequadamente os funcionrios, principalmente os da rea de segurana;
Padres e Normas
ISO 27001 ISO 27002 BASILEIA II PCI-DSS ITIL COBIT NIST 800 Series
Criao de Polticas de Segurana; Implantao de CSIRT's; Hardening de Servidores; Anlises de Vulnerabilidades; Testes de Invaso; Anlise de Aplicao: Percia Computacional; Treinamento de Colaboradores; Auditoria em Sistemas e em Redes
Obrigado!
Segurana - Ataques e Defesas - anderson.to@gmail.com