Você está na página 1de 61

Malware e Segurana de Aplicaes

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Termo de iseno de responsabilidade


A TI Safe no se responsabiliza pelo mau uso das informaes aqui prestadas
Aproveite este material para ampliar seus conhecimentos em Segurana da
Informao e us-los com responsabilidade.

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Sobre a TI Safe

Misso

Fornecer produtos e servios de


qualidade para a Segurana da
Informao

Viso

Ser referncia de excelncia em


servios de Segurana da Informao

Equipe tcnica altamente qualificada

Apoio de grandes marcas do mercado

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

No precisa copiar...

www.tisafe.com/ppt

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Agenda

Introduo a Sistemas da Informao


Vulnerabilidades em Aplicaes
Malware
Assegurando Aplicaes
Perspectivas

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Agenda

Introduo a Sistemas da Informao

Componentes do Computador
Camadas de Operao
Linguagens de Programao
Requisitos de Segurana

Vulnerabilidades em Aplicaes
Malware
Assegurando Aplicaes
Perspectivas

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Componentes do Computador

Hardware

Placa Me
Processador
Memria
Discos

Software
Sistema operacional
Aplicativos

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Camadas de privilgio de processamento

Camada 3 Aplicaes

MS Office

Camada 2 Sist. de arquivos

Ntfs.sys

Camada 0 Kernel SO

Kernel do Windows

System Memory Management

Silcio

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Linguagens de Programao

Baixo nvel
Assemblers

Orientadas a procedimentos
Fortran, Algol, Cobol, C, Pascal

Funcionais
Lisp, Miranda, ML, Haskell

Lgicas
Prolog, Mercury

Orientadas a Objeto
Simula-67, Smalltalk, C#, Java, UML

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Requisitos de Segurana

Confidencialidade
Informaes sensveis a salvo

Integridade
Sistemas e dados sem alteraes
indevidas

Disponibilidade
Sistemas e dados disponveis sempre
que necessrio

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Agenda

Introduo a Sistemas da Informao


Vulnerabilidades em Aplicaes

Exemplos Prticos
Buffer overflow
Trapdoor e backdoor
Engenharia Social
Ataque de input malformado
Reutilizao de memria
Contedo executvel
Tempo de verificao/ uso (TOC/TOU)

Malware
Assegurando Aplicaes
Perspectivas

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Exemplos prticos

Usurio mal-intencionado que visualiza dados confidenciais de uma folha


de pagamentos
Carregamento de pginas Web e cdigos falsos
Negao de Servio (DoS Denial of Service)
Manipulao de dados antes da insero no banco de dados
Elevao de privilgios a partir de um processo/ servio
Spoofing

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Buffer Overflow

Consiste na escrita alm do buffer de memria definido, sobrescrevendo o


que estava em execuo
Um dos problemas mais antigos em programao
Um atacante pode utilizar essa vulnerabilidade para alterar o diretrio de
execuo ou escrever dados e outras reas, usando o sistema operacional
Cdigos maliciosos podem ser executados para usurpar privilgios
administrativos no programa ou sistema
Podem ser explorados de diversas formas, como por exemplo:
Cavalos de tria em linguagem de mquina em uma pgina Web
Aplicar paches de kernel

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Trapdoor e Backdoor

Mecanismos ocultos que ignoram as medidas de controle de acesso


Exemplo:
Durante o desenvolvimento, comum
deixar um backdoor para ter acesso
irrestrito execuo do programa.
Quando o sistema lanado, muitas
vezes esquecem do backdoor gerado
no desenvolvimento

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Engenharia Social

Pode conceder permisses administrativas


em poucas conversas
Pode ser utilizada para a distribuio de
malware em uma empresa

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Input malformado

Consiste em entrar com comandos (ex. URLs ou SQL) fora do usual, como,
por exemplo, utilizando converses ASCII ou HTML
Isso pode permitir a passagem por firewalls ou filtros de restries de
direitos
Exemplo:
ao invs de definir como link: http://www.playboy.com.br
defina: http://www.playboy.com.br
Ferramenta de traduo on-line: http://www.paulschou.com/tools/xlate/

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Reutilizao de Memria

O sistema operacional verifica se a


memria fsica foi zerada antes de
permitir que outro processo utilize o
mesmo endereo
O principal problema est na
reutilizao de memria em disco,
como o pagefile.sys, que pode vir a
abrigar, em claro, dados sensveis
Com o objeto na memria, outro
processo pode tentar reutilizar
tambm

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Contedo Executvel

Software transmitido pela rede, para ser executado localmente


Muitas vezes, um e-mail ou um download pode conter um contedo
executvel indesejvel

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Tempo de verificao/uso (TOC/TOU)

Time of Check/ Time of Use


Ataque bem comum em sistemas com longos timeouts
Exemplos:
Funcionrio demitido:

logado pela manh


demitido na hora do almoo
credenciais canceladas
a perda de acesso s ocorre no prximo logon

Dois computadores se comunicando na rede


A rede cai
Antes do timeout, o invasor sequestra a sesso
de uma das mquinas
Resoluo por sistemas de autenticao frequente

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Agenda

Introduo a Sistemas da Informao


Vulnerabilidades em Aplicaes
Malware
Definio
Tipos de Malware
Proteo contra Malware

Assegurando Aplicaes
Perspectivas

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Definio

Malware, ou software malicioso, um termo relativamente novo para o


mundo da Tecnologia da Informao.
Agrupa todo software ou programa criado com a inteno de abrigar
funes para:
penetrar em sistemas
quebrar regras de segurana
servir de base para operaes
ilegais e/ou prejudiciais

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Exemplos de Malware

Vrus

Worms

Abrem o computador para processar


por terceiros

Spyware e Adware

Fingem executar uma tarefa, enquanto


executam outra, indesejada

Zumbis DDoS

Fazem uma certa engenharia social,


geralmente vm como falsos alertas de
vrus e solicitam aes do usurio

Trojans

Propagam independente das aes do


usurio

Hoaxes

Funes de cpia e disperso

Originalmente, suportavam o
desenvolvimento de programas

Pranks

Implicam com o usurio

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Mitos sobre deteco de Malware

Um boot com o CD do AV resolve!


Basta analisar o trfego da rede para detectar malware!
s procurar pelos processos ocultos!
Vamos usar a ltima tecnologia em AV e tudo vai dar certo

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Mitos sobre deteco de Malware

Um boot com o CD do AV resolve!


No funciona para rootkits permanentes
No se aplica para malware instalado na BIOS ou em ROM das PCIs

Basta analisar o trfego da rede para detectar malware!


Vrias tcnicas de esteganografia podem ocultar as atividades de rede

s procurar pelos processos ocultos!


Malware criado invisvel sempre ser

Vamos usar a ltima tecnologia em AV e tudo vai dar certo


AVs so reativos, podem perder um tempo precioso em pr-processamento
Mesmo que o AV rode no modo kernel, h formas de burlar a seguranam em
sistemas Unix e Windows (inclusive Vista)

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Como o Malware se instala?

Exploit
Senha roubada
Funcionrio insatisfeito
Falta de percia do usurio (clicar no anexo...)

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Tipos de Malware

Tipo 0: no modifica SO (no intrusivo)


Tipo I: modifica componentes que jamais deveriam ter sido modificados
(codificao de kernel, BIOS, registros MBR, etc),
Tipo II: malware que altera dados, como arquivos e bancos de dados
Tipo III: no modifica SO nem aplicaes, mas intercepta e controla o
sistema ainda no h deteco para esse tipo de malware!

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Sistema Operacional

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Malware Tipo 0

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Malware Tipo I

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Malware Tipo II

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Malware Tipo III

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Proteo contra Malware

Treinamento de usurios

No d duplo clique nos anexos


Quando enviar um anexo, descreva com clareza o seu contedo
No instale software cegamente, como se fosse padro da empresa
Desabilite Windows Scripting Host, ActiveX, VBScript e JavaScript
Evite e-mails no formato HTML
Use mais de um scanner, verifique tudo

Scanners
Vasculham padres conhecidos, assinaturas

Monitores de Atividade
Verificam processos, podem indicar atividades suspeitas

Verificao de modificaes
possvel verificar se os arquivos de sistema foram alterados, usando
ferramentas de mercado

Estabelecer Polticas Antimalware

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Agenda

Introduo a Sistemas da Informao


Vulnerabilidades em Aplicaes
Malware
Assegurando Aplicaes

Cofre de Banco
Ciclos de vida no desenvolvimento de sistemas (SDLC)

Mtodos para o desenvolvimento de software


Programao orientada a objeto e sua segurana
Segurana em Java
Mecanismos de proteo de software

Decomposio, STRIDE e DREAD

Kernels de segurana
Gerenciamento de privilgios
Controles contra Buffer Overflow
Proteo de memria
Controles contra parmetros incorretos
Criptografia
Tcnicas de proteo de senhas
Controles de segurana granular
Backup
Tabela de problemas e solues

Auditoria

Perspectivas

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Cofre de Banco

Guarda na porta
Porta giratria com controle ativo
Guardas internos
CFTV
Alguns caixas no tm acesso ao cofre
O cofre tem camadas de defesa
Arquitetura
Horrios especficos de atividade
Compartimentalizao interna exige outros mecanismos de autenticao

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Ciclos de vida no desenvolvimento de sistemas


(SDLC)

Systems Development Life Cycle (SDLC)


Ferramenta de gerenciamento de projetos utilizada para planejar, executar e
controlar o desenvolvimento de um software
Inclui analistas de sistemas, engenheiros de software, programadores e usurios
finais durante o desenvolvimento do projeto

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Fases da SDLC

As fases bsicas que compem a SDLC so

Planejamento do projeto
Definio de requerimentos funcionais
Especificaes tcnicas do sistema
Estabelecimento de documentao
Homologao
Transio para a produo (instalao)

Duas outras fases podem ser adicionadas


Manuteno
Revises e reposio

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

SDLC

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Mecanismos de Proteo de Software

Kernel de segurana
Gerenciamento de privilgios
Controles contra Buffer Overflow
Proteo de memria
Controles contra parmetros incorretos
Criptografia
Tcnicas de proteo de senhas
Controles de segurana granular
Backup
Tabela de problemas e solues

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Kernel de segurana

Um kernel de segurana resposvel por reforar e estabelecer segurana


de aplicaes
O kernel deve atender a trs condies
bsicas para ser classificado como seguro:
Integridade
Isolamento
Verificabilidade

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Privilgios de processamento

Voltando...
Camada 3 Aplicaes

MS Office

Camada 2 Sist. de arquivos

Ntfs.sys

Camada 0 Kernel SO

Kernel do Windows

System Memory Management

Silcio

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Controles contra Buffer Overflow

Os programas so incapazes de detectar se os dados de entrada so


maiores que o buffer;
Os programadores devem implantar mecanismos de segurana:
Paches para o sistema de gerenciamento de memria
Alterao do cdigo
Interao com hardware especfico

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Proteo de Memria

Controlar o acesso memria principal


Particionar a memria para a execuo de processos
Separar endereos privados para cada processo
ACLs para a manipulao de objetos na memria

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Controles contra parmetros incorretos

Implementar checagem de parmetros


na entrada dos dados

Caracteres invlidos
Tamanho indevido
Tipo de dado
Formato

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Criptografia

Ferramenta poderosa, pode ser considerada como ltima linha de defesa


Oferecem confidencialidade
Mantm a integridade

Telecomunicaes
Armazenamento de senhas
Assinatura de cdigos e sistemas
Cascata de verificao

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Tcnicas de proteo de senhas

Mecanismo conveniente
Controlam acessos
Recursos
Sistemas
Arquivos

Mascarar
Forar senhas complexas
Fazer armazenamento seguro

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Controles de segurana granular

Implementar regras de menor privilgio


Fazer o seguro como default
Conferir os acessos fsicos

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Controles de Backup

Sistemas operacionais
Aplicativos
Cpias de software operacional

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Auditoria

Manter as trilhas de desenvolvimento


Fazer log daquilo que necessrio
Gerenciar logs com carinho

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Requisitos de Segurana

Confidencialidade
Integridade
Disponibilidade

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Requisitos de Segurana

Confidencialidade
Ameaas:
Spoofing de identidade
Revelao de informaes
Elevao de privilgio
Resolues:
Autenticao adequada
Proteo de dados sensveis
Sem armazenamento de
segredos
Aprimoramento de protocolos
de comunicao
Criptografia
Execuo em menor privilgio
Integridade
Disponibilidade

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Requisitos de Segurana

Confidencialidade
Integridade
Ameaas:
Adulterao de dados
Repdio
Resolues:
Autorizao apropriada
Hashes
Cdigos de autenticao
de mensagens
Assinaturas digitais
Registros de data/hora
Trilhas de auditoria
Disponibilidade

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Requisitos de Segurana

Confidencialidade
Integridade
Disponibilidade
Ameaas:
Spoofing de identidade
DoS
Resolues:
Autenticao adequada
Autorizao apropriada
Filtragem
Controle da taxa de
transmisso
Qualidade do Servio

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Cofre de Banco - reviso


Segurana em 1 lugar

Guarda na porta
Porta giratria com controle ativo
Guardas internos
CFTV
Alguns caixas no tm acesso ao cofre
O cofre tem camadas de defesa

Controle de Acesso reforado


Segurana em profundidade
Restrio de permisses

Arquitetura
Horrios especficos de atividade
Compartimentalizao interna exige outros mecanismos de autenticao

Compartimentalizao

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Agenda

Introduo a Sistemas da Informao


Vulnerabilidades em Aplicaes
Malware
Assegurando Aplicaes
Perspectivas
90/10
Tom & Jerry: h soluo?

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Previses 2007

Gartner: 10 Key Predictions for 2007:


#5: By the end of 2007, 75 percent of enterprises will be infected with
undetected, financially motivated, targeted malware that evaded their
traditional perimeter and host defenses. (source: eWeek)
http://www.eweek.com/article2/0,1895,2072416,00.asp

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Regra 90/10 para a felicidade

Building Security Software, de John Viega e Gary McGraw


Conceito 90/10: evite 90% das falhas com 10 linhas-guia

Proteja o elo mais fraco


Pratique segurana em profundidade
Programe falhas/ erre com segurana
Siga os princpios de reduo de privilgios
Compartimentalize
Mantenha a simplicidade
Promova a privacidade
Lembre-se que difcil esconder segredos
Seja relutante a acreditar
Use os recursos ao seu alcance

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Tom & Jerry: h soluo?

A disputa entre o desenvolvimento de


sistemas seguros e a explorao de
vulnerabilidades lembra uma corrida
de gato e rato
Blue Pill: Malware tipo III
Red Pill: a resposta

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Concluses

A segurana caminha para o estabelecimento de sistemas inteligentes, que


atuam na preveno, no somente na reao
Conhecer as vulnerabilidades o primeiro passo para o desenvolvimento
de aplicaes seguras
Apesar da eterna disputa gato-rato, a segurana em aplicaes
essencialmente dependente dos processos de produo, no somente de
regras de sintaxe

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Links interessantes

http://www.ruxcon.org.au/
http://www.invisiblethings.org/
http://www.microsoft.com/technet/sysinternals/default.mspx
http://www.owasp.org/index.php/Main_Page
http://www.webappsec.org/
http://www.oracle.com/technology/oramag/webcolumns/2003/techarticles/ne
wman_hackproof_pt2.html

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Participe do nosso frum de segurana

Acesse www.tisafe.com/forum e cadastre-se

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Contato

Eletrnico
www.tisafe.com
contato@tisafe.com
Skype: ti-safe (somente voz)

Telefones
Rio de Janeiro: (21) 3005-4318 / (21) 2577-0658
So Paulo: (11) 2122-4236
Florianpolis: (48) 4062-0172
Belo Horizonte: (31) 2626-4319
Porto Alegre: (51) 2626-1253

www.tisafe.com

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.