Segurana Ataques e Defesas

Anderson Menezes
Segurana - Ataques e Defesas - anderson.to@gmail.com

Segurana
Considerando o que segurana, segundo o dicionrio significa:

Condio ou estado de estar seguro ou protegido; Capacidade de manter seguro; Proteo contra a fuga ou escape; Profissional ou servio responsvel pela guarda e proteo de algo; Confiana em si mesmo.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Princpios Bsicos
Seguindo os princpios bsicos da Segurana da Informao 1. Confidencialidade; O responsvel pelo controle de acesso a informao apenas por aquelas pessoas ou entidades que tenham permisses a acessar tal informao; 2. Integridade; Garantir que a informao mantenha todas as suas caractersticas originais como determinadas pelo proprietrio da informao; 3. Disponibilidade; Define que a determinada informao esteja sempre disponvel para o acesso quando necessrio;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Princpios Bsicos
4. Autenticidade ; Garantir que a informao venha da origem informada, permitindo a comunicao segura, a garantia de que a informao a qual tem acesso correta e de fonte confivel; 5. Legalidade; a propriedade que define se determinada informao, ou operao, est de acordo com as leis vigentes do pas. As mesmas leis que regem um pas, podem ser completamente diferentes em outro, o que pode ocasionar um srie de problemas, caso o sistema de gesto no seja adaptvel.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Distrbios Comuns
Princpio Ataque Browsing Descrio Procurar informaes sem necessariamente saber seu tipo Olhar sobre o ombro da pessoa o que digitado Finger ser algum com a inteno de ter acesso a informao. Intercerptar a mensagem, altera-la e enviar ao seu destino original Modificar os logs de auditoria, normalmente com a inteo de ocutar os fatos Alterar arquivos criticos em um sistema para modificar sua funcionabilidade

Confidencialidade

Shouder surfing Engenharia Social

Modificar a Mensagem

Integridade

Alterao de Logs de Auditoria

Modificao de arquivos de configurao

Segurana - Ataques e Defesas - anderson.to@gmail.com

Distrbios Comuns
Princpio Ataque Desastres Naturais ou Provocados Disponibilidade Negao de Servio (DoS) Descrio Vandalismo, incndios, terremotos, terrorismo, vulcanismo Comprometimento de servios de importncia fundamental para processos Modificar dados de forma a ficarem inteis para outras pessoas

Comprometimento de informaes

Segurana - Ataques e Defesas - anderson.to@gmail.com

Terminologias de Segurana
1. Vulnerabilidade fragilidade que pode fornecer uma porta de entrada a um atacante; 2. Ameaa agente ou ao que se aproveita de uma vulnerabilidade; 3. Risco (Impacto X probabilidade) de ameaa ocorrer; 4. Ataque Incidncia da ameaa sobre a vulnerabilidade; 5. Exploit Programa capaz de explorar uma vulnerabilidade.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Ameaas
Dentre as ameaas fsicas podemos considerar:

Alagamentos; Raios; Acessos Indevidos; Desabamentos;

Dentre as ameaas lgicas, podemos contar as seguintes;

Infeco por vrus; Acesso remoto rede; Violao de Senhas;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Ataques
Assim como dividimos as ameaas em dois grandes grupos, os ataques tambm podem ser divididos da mesma maneira: Internos e Externos. Os ataques internos representam por volta de 70% dos ataques que ocorrem aos sistemas de rede. Mesmo que a maioria das pessoas acreditem que a maior parte dos ataques surjam de fontes externas, essa uma maneira errnea de encarar o problema.

Entre os ataques internos, encontramos em sua maioria, aqueles realizados por funcionrios de dentro da prpria organizao, que esto insatisfeitos ou os desavisados sobre as polticas de Segurana da Empresa.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Ataques
Analisando ataques externos, nos deparamos com a possibilidade de comprometimento cujo o objetivo estejam vinculados espionagem. Ex: Espionagem Industrial Outra possibilidade da origem de comprometimento de sistemas, pode ser a curiosidade ou simplesmente o desafio que representa para o Cracker. (sendo til ou no a informao para ele) Bons exemplos desse tipo de ataque A Arte de Invadir de Kevin Mitnik.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Exemplos
Exemplo de AMEAA:

Uma chuva de granizo em alta velocidade Exemplo de VULNERABILIDADE:

Uma sala de equipamentos com janelas de vidro Exemplo de ATAQUE:

A chuva de granizo contra as janelas de vidro

Segurana - Ataques e Defesas - anderson.to@gmail.com

Mecanismos de segurana

Mecanismos fsicos;
Portas, Trancas, Paredes, Blindagem, Guardas, Cmeras, Sistemas de Alarme, Sistemas de Deteco de Movimento, biometria. Os mecanismos fsicos de proteo, so barreiras que limitam o contato ou acesso direto a informao ou a infraestrutura (que garante a existncia da informao) que a suporta.

Mecanismos lgicos; - Criptografia, Firewall, Anti-Vrus, IDS (deteco de ataque), IPS (semelhante ao IDS), Proxy, antispam. Os mecanismos lgicos, so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Fases de um ataque
Levantamento de Informaes

Essa fase mais abrangente e baseado no que descoberto todo planejamento realizado e os vetores de ataques definidos. Ex: (nomes, telefones, endereo, redes sociais) Varredura

Nesta fase o atacante busca informaes mais detalhadas do alvo: Ex: (Qual SO?, Quais Servios ativos?, Quais Verses?, H IDS/IPS?, H honeypots? ...)

Segurana - Ataques e Defesas - anderson.to@gmail.com

Fases de um ataque
Ganhando acesso

Aqui dependendo dos vetores de ataque ele pode buscar acessos com:

Ataques de fora bruta local; Ataques de fora bruta remota; Captura de trfego de rede Ataque de engenharia Social; Ataques aplicaes WEB; Explorao de servios; Explorao de SO;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Fases de um ataque

Mantendo acesso; Limpando Rastros;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2012

Segurana - Ataques e Defesas - anderson.to@gmail.com

Tentativas de Fraudes - Janeiro a Maro de 2012

Segurana - Ataques e Defesas - anderson.to@gmail.com

Google Hacking Database

H um banco de dados virtual, com tags de busca de Google previamente criadas, para conseguir informaes especficas.

Google Hacking Database: http://jonnhy.ihockstuff.com/ghdb

Segurana - Ataques e Defesas - anderson.to@gmail.com

Google Hacking
No levantamento de informaes o Google a principal ferramenta para o levantamento de informaes de nosso alvo. o melhor sistema pblico pra utilizarmos em busca de informaes sobre qualquer coisa em relao ao nosso alvo:

Sites, propagandas, parceiros, redes sociais, grupos, etc.

Certamente vrios resultados retornaro com links onde podemos encontra nome completo, endereo, telefone, CPF, etc...

Segurana - Ataques e Defesas - anderson.to@gmail.com

Google Hacking
Ex:

site:gov.br ext:sql (busca por arquivo de base de dados em sites do governo) inurl:e-mail filetype:mdb (busca arquivos de e-mail em formato .mdb) Inurl:intranet + intext:telefone (busca telefones disponveis em intranets encontradas pelo google).

Segurana - Ataques e Defesas - anderson.to@gmail.com

Contramedidas

Possuir uma boa poltica referente publicaes de informaes na Internet; No deixar configuraes padres em Servidores Web, para os mesmos no consigam ser indentificados facilmente; Sempre analisar as informaes disponveis sobre a empresa em sites de busca; Alertar e treinar os funcionrios da empresa com relao a maneira com que um ataque de engenharia social pode acontecer, e as possveis informaes que o atacante poder usar nesse ataque.

Segurana - Ataques e Defesas - anderson.to@gmail.com

D-me seis horas para cortar uma rvore, e eu gastarei as primeiras quatro horas afiando o machado
Abraham Lincoln

Segurana - Ataques e Defesas - anderson.to@gmail.com

Engenharia Social
Podemos considerar a engenharia social como a arte de enganar pessoas para conseguir informaes, as quais no deviam ter acesso.

Empregados podem deixar escapar informaes sigilosas atravs de um contato via telefone ou mesmo conversando em locais pblicos: elevadores, corredores, bares. Uma empresa pode ter os melhores produtos de segurana que o dinheiro pode proporcionar. Porm, o fator humano , em geral, o ponto mais fraco da segurana.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Engenharia Social - TIPOS

Baseada em Pessoas As tcnicas de engenharia social baseada em pessoas possuem diversas caractersticas que so utilizadas para que o atacante consiga as informaes que deseja, dentre elas podemos citar :

Disfarces; Representaes; Uso de cargo de alto nvel; Observaes; Ataques a sistemas de help-desk;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Engenharia Social - TIPOS

Baseada em computadores Este ataque se baseia no desconhecimento do usurio com relao ao uso coreto da informtica: Exemplos

Cavalos de Tria anexados a e-mails; E-mails falsos; WebSites Falsos;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Formas de Ataque

Insider Attack Insiders so pessoas de dentro da prpria organizao.

Roubo de Identidade Atualmente, quando algum cria uma nova identidade baseando-se em informaes de outra pessoa.

Phishing Scam uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sigilosas, ou instalar programas maliciosos na mquina alvo

URL Obfuscation Tcnica utilizada para diminuir o tamanho das URL's muito grandes.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Formas de Ataques

Dumpster Diving o ato de vasculhar lixeiras em busca de informaes. Todos os dias so jogados no lixo de empresas vrios documentos sem utilidades, mas os atacantes podem utilizar essa informao para um ataque

Persuaso Os prprios hackers vem a engenharia social de um ponto de vista psicolgico, enfatizando como criar um ambiente psicolgico perfeito para um ataque. Os mtodos bsicos de persuaso so: personificao, insinuao, conformidade, difuso de responsabilidade e a velha amizade.

Segurana - Ataques e Defesas - anderson.to@gmail.com

Engenharia Social Reversa

Um mtodo mais avanado de conseguir informaes ilcitas com a engenharia social reversa. Isto ocorre quando o atacantes cria uma personalidade que aparece numa posio de autoridade, de moto que todos os usurios lhe pediro informaes. Os ataques de Engenharia Social Reversa se bem pesquisados, planejados e bem executados permetir extrair dos funcionrios informaes muito valiosas. Os trs mtodos de ataques de engenharia social reversa so, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, ento divulga que possui a soluo e se prope a solucionar o problema. Na expectativa de ver a falha corrigida, os funcionrios passam todas as informaes necessrias da rede. Aps atingir o seu objetivo, ele elimina a falha, a rede volta.

Segurana - Ataques e Defesas - anderson.to@gmail.com

No Tech Hacking
Todo e qualquer tipo de ataque que no tenha necessidade de aparatos tecnolgicos so considerados NO TECH HACKING.

Dumpster Diving (Vasculhar o lixo da empresa) Shoulder Surfing (Papagaio de Pirata) Lock picking (tcnicas de abrir fechaduras) Tailgating (Ouvir uma conversa ao telefone)

Segurana - Ataques e Defesas - anderson.to@gmail.com

Contramedidas

No trabalhe assuntos privados em locais pblicos; Faa descarte seguro de documentos; Fechaduras e trancas de boa qualidade; Bolsas e documentos pessoais em segurana; Teste constantemente seus dispositivos de segurana, cmeras e detectores de movimento; Tenha cuidado com o Papagaio de Pirata; Mantenha-se atento aos engenheiros sociais. Treine adequadamente os funcionrios, principalmente os da rea de segurana;

Segurana - Ataques e Defesas - anderson.to@gmail.com

Padres e Normas

ISO 27001 ISO 27002 BASILEIA II PCI-DSS ITIL COBIT NIST 800 Series

Segurana - Ataques e Defesas - anderson.to@gmail.com

Servios de Segurana da Informao

Criao de Polticas de Segurana; Implantao de CSIRT's; Hardening de Servidores; Anlises de Vulnerabilidades; Testes de Invaso; Anlise de Aplicao: Percia Computacional; Treinamento de Colaboradores; Auditoria em Sistemas e em Redes

Segurana - Ataques e Defesas - anderson.to@gmail.com

Anderson Menezes anderson.to@gmail.com 63-8407-4442/92631848

Se voc conhece a sim mesmo e ao seu inimigo, no precisar temer os resultados de mil batalhas (Sun Tzu)

Obrigado!
Segurana - Ataques e Defesas - anderson.to@gmail.com