Anonimidade

e Privacidade
E o que voc tem a ver com isso?

Felipe Ferraz

Roteiro
[Q1] Denies e conceitos

Anonimidade (anonimicidade) e Privacidade

A@tude (valores) e Comportamento (aes)
Propriedade e Informao
Qual a maldade que existe em uma faca?

[Q2] Valores atuais

O que mudou?

Na tecnologia
Nos nossos conceitos

Mo@vao econmica

Estabelecimento de pers para propaganda direcionada

Mo@vao pol@ca

Controle do estado sobre o indivduo

Roteiro
[Q3]Um momento para reexo
Quanto de sua vida esta exposta e disponvel na Internet?
Orkut, YouTube, Skype;
Curriculum.com, Catho Online, Vagas.com;
Blogs pessoais, Forums de discusso, Grupos de e-mails
Lojas online como Americanas.com, Submarino.com, ...
Repositrios estrangeiros: FaceBook, MySpace, Friendster, Twifer,
Monster.com

E no mundo real?
Cmeras de circuito interno
Novas legislaes
Outros repositrios:
Servios de entrega, farmcias, supermercados, locadoras
Prdios pblicos e privados

Roteiro
[Q4]E o que fazer?
Consideraes em sua A@tude perante a privacidade
Dicas para comportamentos necessrios

Felipe Ferraz

Apresentao

Graduao em Cincias da Computao - UNICAP

Ps Graduao em Engenharia de Somware - UPE
Mestre pelo Centro de Inform@ca da UFPE
Doutorando CIN-UFPE
Regra nmero 1. No perguntars;

+17 anos de experincia da rea de TI;

+7 anos de experincia na rea de segurana da informao;
Atualmente:
Engenheiro de Sistemas do C.E.S.A.R.
Consultor Especialista em Segurana, Cidades Inteligentes, Cloud e
Desenvolvimento Mobile
Monitor do Prof.Dr. Ruy de Queiroz.
Para nunca mais na vida!

Denies e Conceitos
Privacidade
Segundo o Michaelis

(Pt-Br)

privacidade
pri.va.ci.da.de
sf (ingl privacy) 1 Vida privada; in0midade. 2 Priva@vidade.

Segundo o Merriam-Webster

(En-Us)

1a: the quality or state of being apart from company or observa@on :

seclusion b: freedom from unauthorized intrusion <one's right to
privacy>
2archaic : a place of seclusion
3a: secrecy b: a private mafer : secret

Denies e Conceitos
Anonimidade
Segundo o Michaelis

(Pt-Br)

anonimidade
a.no.ni.mi.da.de
sf (annimo+i+dade) V anonmia.
anonmia
a.no.n.mia
sf (gr anonyma) Qualidade do que annimo;
anonimidade.

Segundo o Merriam-Webster

(En-Us)

1: the quality or state of being anonymous

2: one that is anonymous

Denies e Conceitos
Segundo o Michaelis
comportamento
com.por.ta.men.to
sm (comportar+mento2) 1 Maneira de se comportar;
procedimento. 2 Psicol Em sen@do restrito, designao
genrica de cada modo de reao em face de um es>mulo
presente; em sen@do amplo, qualquer a@vidade, fato ou
experincia mental, passvel de observao direta ou
indireta. C. social, Sociol: todas as maneiras de agir
relacionadas com a presena ou inuncia de outros.

Denies e Conceitos
Segundo o Michaelis
a0tude
a.@.tu.de
sf (fr aItude) 1 Modo de ter o corpo; postura. 2 Norma de
proceder ou ponto de vista, em certas conjunturas. 3
Propsito ou signicao de um propsito. 4 Psicol
Tendncia a responder, de forma posi@va ou nega@va, a
pessoas, objetos ou situaes. 5 Sociol Tendncia de agir de
uma maneira coerente com referncia a certo objeto. 6
Astronut Posio de um foguete, mssil ou satlite ar@cial,
determinada pela inclinao do seu eixo em relao a algum
ponto de referncia.

Denies e Conceitos
Propriedade (property)

Denies e Conceitos

Denies e Conceitos
E quando a propriedade a informao?

Pausa para reexo I - Conceitual

Quanta maldade existe em uma faca?

Valores Atuais E o que mudou?

Em tecnologia
Computadores mais Velozes e Potentes
Custo de Armazenamento desaparecendo
Digitalizao de TUDO (chamadas
telefnicas, fotos, udio, ..., at mesmo
passagens de nibus)
OCRs inteligentes engolindo tudo que
no foi criado em formato digital
Ro@nas de referncia cruzada e scripts de IA
Suas informaes pessoais valem muito $$$

Valores Atuais E o que mudou?

Culturalmente
Nveis constrangedores de contribuio
espontnea de dados (Sites pessoais, blogs,
Orkut.com.br)
Total desrespeito (prprio) por dados
sensveis (CPF)
Descaso por detalhes da vida pessoal
Desconhecimento dos limites no trato da
informao do prximo (empresas e
indivduos)

Suas informaes valem muito $$$ !!!

O Big Brother da vida Real

Cameras em Londres :
Em 1996 500
Em 2008 4.2 Mi
Cameras em NYC :
Em 2002 1.000
Em 2008 3.000/
mi2
( 140 vezes por dia)

O Big Brother
O contedo de quantas cmeras foi u@lizado
no julgamento da execuo de Jean Charles de
Menezes pela polcia de Londres?
O trnsito de recife? ( por exemplo)

O Big Brother Tupiniquim

Acesso a prdios pblicos e privados

Sistema Nacional de Iden@cao Autom@ca

de Veculos (SINIAV) Resoluo 212 do
Contran
E outros ...

O Google
GMail, Google Maps, Orkut, Double
Click, Google Health, 23 and Me,
YouTube, Froogle, Google Analy@cs
E o melhor de todos: Google Prole

Checagem de conscincia
vQuantos usam o GMail?
vChecado, catalogado e
indexado
vQuantos se preocupam?

Pausa para reexo II - Pessoal

Quanto da sua vida est exposta na Internet?
Por contribuio prpria:

Por Contribuio de Outros:

Sem que voc saiba:

E o que fazer ???

Valorizar sua informao pessoal um bom comeo
Ter a certeza que seu atos e aes na Internet no
so annimos, e podem ser relacionados a sua vida
real
Tentar desenvolver uma a^tude de privacidade
para com suas informaes pessoais
Saber como se comportar de forma annima
quando necessrio

A^tude
Seus dados so valiosos no os deixe entregues
ao acaso
Limpeza de dados pessoais dos navegadore
Cookies, histricos de pginas visitadas, dados o-line de
sites visitados ...

Desabilitar a aceitao padro de cookies de 3s

A^var o ltro an^ phishing dos navegadores
Opte por u@lizar um servidor de DNS convel,
preferencialmente externo a seu provedor

Comportamento
E quando for necessrio estar annimo

Contedo Program@co

Parte 1: A Informao
Parte 2: Conceitos
Parte 3: Por onde comear?
Parte 4: Repositrios de Informao
Parte 5: Genealogia de um Hacker
Parte 6: Ameaas Digitais
Parte 7: Para os Script-kiddies

PARTE 1

A Informao

Informao (Michaelis)
do Lat. informa^one
s. f.,
Ato ou efeito de informar ou informar-se;
Comunicao;
Conjunto de conhecimentos sobre algum ou alguma coisa;
Conhecimentos ob@dos por algum;
Fato ou acontecimento que levado ao conhecimento de
algum ou de um pblico atravs de palavras, sons ou
imagens;
Elemento de conhecimento suscepvel de ser transmi@do e
conservado graas a um suporte e um cdigo.

Consideraes (2005)
Segundo a Universidade da Califrnia em Berkeley:
Existe aproximadamente 2.5 Bilhes de documentos
acessveis na WEB;
Este nmero cresce em cerca de 700 mil pginas por dia.

Velhos jarges
O segredo a alma do negcio;

Novas tendncias
Mundo Globalizado, Ubiqidade, Acesso a Informao.

Consideraes (2008)
Segundo o ISC Internet Systems Consor@um(2008):
Aproximadamente 600.000.000 de domnios registrados
e a@vos.

PARTE 2

Conceitos

Axioma de Segurana
Uma corrente no mais forte que o
seu elo mais fraco

Segurana da Informao
A segurana da informao um conjunto de
medidas que se cons@tuem basicamente de
controles e pol^ca de segurana, tendo como
obje@vo a proteo das informaes dos clientes e
da empresa (a^vos/bens), controlando o risco de
revelao ou alterao por pessoas no
autorizadas.

Controles de Segurana
Disposi@vos de hardware, aplicaes,
procedimentos, pol@cas, e barreiras sicas,
dispostas estrategicamente de forma a garan@r
a condencialidade, integridade e disponibilidade
da informao.

Pol@ca de Segurana
Trata-se um conjunto de diretrizes (normas) que
denem formalmente as regras e os direitos dos
usurios, visando proteo adequada dos a0vos
da informao

A@vos (Bens)
Dados
n
n
n
n

Servios
n
n
n
n

Nmero de
Cartes de Crdito
Planos de Marketing
Cdigos Fonte
Informaes de RH

Web sites
Acesso a Internet
Controladores
de Domnio
ERP

Comunicao
n
n
n

Logins
Transao Financeira
Correio Eletrnico

Denies
Ameaa
Evento ou a@tude indesejvel que potencialmente remove,
desabilita, danica ou destri um recurso;

Vulnerabilidade
Caracters@ca de fraqueza de um bem;
Caracters@cas de modicao e de captao de que podem ser
alvos os bens, a@vos, ou recursos intangveis de inform@ca,
respec@vamente, somware, ou programas de bancos de dados, ou
informaes, ou ainda a imagem corpora@va.

Conceitos Bsicos
Risco

A probabilidade da ocorrncia de
uma ameaa em par@cular

A probabilidade que uma ameaa explore uma
determinada vulnerabilidade de um recurso

Ameaa, Vulnerabilidade e Risco

Ameaa (evento)

assalto a uma agncia bancria

Vulnerabilidade (ponto falho)

liberao manual das portas giratrias pelos vigilantes

Risco

baixo, devido ao percentual de assaltos versus o

universo de agncias
alto, se comparando as tenta@vas frustradas versus as
bem sucedidas

Conceitos Fundamentais

Confidencialidade

Segurana
Integridade

Disponibilidade
(Availability)

CIA Condencialidade
Propriedade de manter a informao a salvo de
acesso e divulgao no autorizados;

Proteger as informaes contra acesso de
qualquer pessoa no devidamente autorizada
pelo dono da informao, ou seja, as
informaes e processos so liberados apenas
a pessoas autorizadas.

CIA Integridade
Propriedade de manter a informao acurada,
completa e atualizada

Princpio de segurana da informao atravs do
qual garan@da a auten@cidade da informao

O usurio que arquiva dados espera que o
contedo de seus arquivos no seja alterado por
erros de sistema no suporte sico ou lgico

CIA Disponibilidade (Availability)

Propriedade de manter a informao disponvel
para os usurios, quando estes dela
necessitarem

Relao ou percentagem de tempo, em que
uma unidade do equipamento de
processamento est funcionando
corretamente

Princpios
A
uxiliares
Mtodos

Autenticao

Identificao
Sigilo

Autorizao

Controle de Acesso

Auditoria

- DAC
- MAC
- RBAC

Vias
-O que Sou
-O que Sei
-O que Tenho

Controle de Acesso
Suporta os princpios da CIA

So mecanismos que limitam o acesso a
recursos, baseando-se na idenBdade do
usurio, grupo que integra e funo que
assume.

Em segurana, suportado pela trade AAA
(denida na RFC 3127)

Auditoria (Accountability)
a capacidade que um sistema tem de
determinar as aes e comportamentos de
um nico indivduo no sistema, e de iden@car
este indivduo;

Trilha de auditoria, tenta@vas de acesso,
problemas e erros de mquina, e outros
eventos monitorados ou controlados.

Auten@cao
Propriedade de conrmar a iden@dade de uma
pessoa ou en@dade.

Meio pelo qual a iden@dade de um usurio
conrmada, e garante que ele realmente
quem diz ser

Autorizao
So os direitos ou permisses, concedidos a um
indivduo ou processo, que permite acesso a
um dado recurso.

Aps a idenBcao e autenBcao de um
usurio terem sido estabelecidas, os nveis de
autorizao iro determinar a extenso dos
direitos que este usurio pode ter em um
dado sistema.

Sigilo
Trata-se do nvel de condencialidade e garanBa
de privacidade de um usurio no sistema;

Ex.: Garante a privacidade dos dados de um usurio em
relao ao operador do sistema.

Identificao
Meio pelo qual o usurio apresenta sua
identidade.
Mais frequentemente utilizado para controle de
acesso, necessrio para estabelecer Autenticao
e Autorizao.

Mecanismos de Controle de Acesso

PARTE 3

Onde Comear ?

Leis Imutveis da Segurana

Ningum acredita que nada de mal possa acontecer at
que acontece;

Segurana s funciona se a forma de se manter seguro for
uma forma simples;

Se voc no realiza as correes de segurana, sua rede
no ser sua por muito tempo;

Vigilncia eterna o preo da segurana;

Segurana por Obscuridade, no segurana;

LOGs, se no audit-los, melhor no t-los.

Leis Imutveis da Segurana

Existe realmente algum tentando quebrar (adivinhar) sua
senha;

A rede mais segura uma rede bem administrada;

A diculdade de defender uma rede diretamente
proporcional a sua complexidade;

Segurana no se prope a evitar os riscos, e sim gerenci-
los;

Tecnologia no tudo.

By Scol Pulp Security Program Manager at Microsom Security
Response Center

Incidentes NBSO/NIC

2006
Estatstica de Incidentes Reportados em 2006 - Fonte: NBSO/NIC Brasil

Incidentes NBSO/NIC

2006
Estatstica de Incidentes Reportados em 2006 - Fonte: NBSO/NIC Brasil

Tipo de Ataque Acumulado

Total Anualizado

A@vidade
Relatrio de 2 pginas
Contendo grco ( algum grco ).
Qualquer Grco.

Discurso sobre o grco.

O que o grco representa?
O que no est dito no graco?
O que mo@vou algum pico no grco?

Informaes da Indstria
55% dos trabalhadores trocam mensagens
potencialmente ofensivas pelo menos uma vez por
ms (PC Week)
30-40% da navegao na web no est relacionada ao
negcio da empresa (IDC)
Em pesquisa com 13.000 usurios de eMail, 90% arma
receber spam pelo menos uma vez por dia (Gartner
Group)
Em pesquisa com 800 trabalhadores, 21-31% admitem
enviar informaes condenciais para caixas postais
externas a organizao via eMail
(PC Week)

Empresas Reais, Problemas Reais

A Microso\ foi hackeada vrias vezes

Protestantes hackearam o World Economic Forum

15,700 nmero de cartes de crdito e de dbito de clientes da Western
Union foram roubados por hackers

Hackers tentaram chantagear a VISA por $11M

Dados dos clientes do Barclay Bank foram expostos

Hacker tentou chantagear a Bloomberg $200mil

As contas secretas do Credit Suisse foram expostas

8.071 casos documentados em hkp://www.akriBon.org/ (8/1/99-1/4/01)

Responsabilidades da Empresa
Desde que uma empresa fornea acesso
internet a seus funcionrios, esta empresa
torna-se responsvel pelo que ele faz, a
menos que possa provar que tomou as
medidas cabveis para evitar problemas

Corporate Poli@cs on the Internet:

Connec@on with Controversy, 1996

Segurana nas Organizaes

Segurana um processo que tenta manter
protegido um sistema complexo composto de
muitas en@dades:
Tecnologia (hardware, somware, redes)
Processos (procedimentos, manuais)
Pessoas (cultura, conhecimento)

Estas en@dades interagem das formas mais

variadas e imprevisveis
A Segurana falhar se focar apenas em parte do
problema
Tecnologia no nem o problema inteiro, nem a
soluo inteira

Operacional

Ttico

Estratgico

Segurana nas Organizaes

Polticas

Normas

Padres e
Procedimentos

Segurana x Custo x Funcionalidade

Determinar a segurana adequada considerando:
Ameaas que voc enfrenta
Sua disposio a aceitar riscos
O valor de seus a@vos da informao

Segurana

Segurana absoluta ina@ngvel

Ciclo de Segurana
Anlise da Segurana (Risk Assessment)

Denio e Atualizao de Regras de Segurana
(PolBca de Segurana)

Implementao e Divulgao das Regras de Segurana
(Implementao)

Administrao de Segurana (Monitoramento, Alertas
e Respostas a Incidentes)

Auditorias (Vericao do Cumprimento da PolBca)

Cer@caes
GIAC - Global Informa@on Assurance Cer@ca@on
(Sans.Org)

PARTE 4

Repositrios

Sites teis

hfp://www.insecure.org
hfp://www.securityfocus.com
hfp://www.sans.org
hfp://www.digg.com
hfp://techrepublic.com
hfp://www.hackaday.com
hfp://slashdot.org
hfp://www.modulo.com.br

RSS e PodCasts
Agregadores:
Itunes
Democracy Player
SongBird
Plugins do IE e Firefox

Mdias
udio mp3/mp4/aac
Vdeo DivX/A3C/Streaming

Alguns PodCasts
Security Now!
hfp://www.grc.com/securitynow.htm

2600 - O The Hook

hfp://www.2600.com/ohehook

SploitCast
hfp://www.sploitcast.com

TWiT This Week in Tech

hfp://www.twit.tv/TWiT

Extreme Tech
hfp://www.extremetech.com

Video PodCasts
HAK.5
hfp://www.hak5.org

Local Area Security

hfp://www.localareasecurity.com

IronGeek
hfp://irongeek.com
Hacking Illustrated

Revision3
hfp://www.revision3.com

Digital Life Television (DL Tv)

hfp://dl.tv

Congressos e Eventos
HOPE Hacker on Planet Earth
hfp://www.hopenumbersix.net

DEFCon
hfp://www.defcon.org Archives

BlackHat
hfp://www.blackhat.com Archives

H2HC Hackers 2 Hackers Conference

hfp://www.h2hc.org.br

CCC.de Chaos Computer Club

hfp://www.ccc.de

Filmes
Jogos de Guerra (WarGames)
1983, vrios

Quebra de Sigilo (Sneakers)

1992, Robert Redford

Piratas de Computador (Hackers)

1995, Angelina Jolie

O Cyborg do Futuro (Johnny Mnemonic)

1995, Keanu Reeves

A Senha (Swordsh)
2001, John Travolta

A Rede (The Net)

1995, Sandra Bullock

Filmes
Ameaa Virtual (An@trust)
2001, Ryan Phillippe

Matrix (The Matrix)

1999, Keanu Reeves

Caada Virtual (Takedown)

2000, Russell Wong

Piratas do Vale do Silcio

(Pirates of Silicon Valley)
1999, vrios

A Batalha do Atln@co
(U-571)

2000, Mafhew
McConaughey

Filmes
Cdigos de Guerra
(Windtalkers)

2002, Nicolas Cage

Hackin Democracy
2006, Varios

Revolu@on OS

2001, A Nata de TIC

Inimigo do Estado (Enemy

of the State)
1998, Will Smith e Gene
Hackman

Enigma (Enigma)
2001, Vrios

Firewall

2006, Harrisom Ford

Filmes

Pegue-me se for Capaz

(Catch Me If You Can)
2003, Di Caprio e Hanks

Duro de matar 4.0 (Live Free

or Die Hard)
2007, Bruce Willis

Um Plano Brilhante
(Flawless)

2007, Caine e Moore

Sem Vesgios (Untraceable)

2008, vrios

A Escuta (The Listening)

2006, Michael Parks

PARTE 5

Genealogia de um Hacker

Hacker
Unauthorized user who afempts to or gains access to an informa@on
system.
www.tecrime.com/0gloss.htm

A person who illegally gains access to your computer system.

www.infosec.gov.hk/english/general/glossary_gj.htm

A person who illegally gains access to and some@mes tampers with

informa@on in a computer system.
hfp://www.webster.com/dic@onary/hacker

A person who accesses computer les without authoriza@on, omen

destroying vast amounts of data.
www.boydslaw.co.uk/glossary/gloss_i@p.html

Linha do Tempo: Hacker

- Novas tcnicas, an@gos padres
-- LPegislao:
hreaker = JFulgamento
reak, Phone,
do Fpree
rimeiro hacker por invaso constante do
- Negao de Servio, novos vros em arquivos de dados (mp3, jpeg,)
- Surgiu
DoD
por adps
iversos
a subs@tuio
anos, Pat Rdiddle
as telefonistas
AKA Captain
por ZsAP
istemas telefonicos
- Nasce a conscincia comum de Segurana da Informao
-gerenciados
Apenas acessar
por cjomputador
no era suciente, distribuio de rpogramas e
- Corporaes reconhecem a necessidade por segurana
- Lenda
jogos,
e doo
agparecimento
aroto cego qdue
e icndividuos
onseguiu q
assoviar
ue no m
um
ais
tom
respeitavam
de 2600 Hoz s
- A mdia
perpetua o Hacker como uma ameaa
Proliferao
enquanto
cdigos
de conversava
@ca
com sua
@a
Combate
a posi@vo dos Hackers
Surgimento
- Inicia@vas
i
soladas
t
entam
r
esgatar
o

a
specto
dos
PCs Crunch
- O
Fato
s verdadeiros
Captain
hackers
e oc aomeam
pito da caaixa
sacker
e ddistanciar
e cereais dqos
ue qgue
erava
agra os e
da BELL TC
- Surgem os termos White Hat ameaa
e Black HHat
mesmo
conhece
ton
como
de 2Crackers
600 Hz
1980-1985
1878-1969
Anos 90
- Surgem
teeve Jobs
os p+rimeiros
Steve WVozniak
irus e W
+ orms
Altair8000 = 1o. BlueBox (Berkley)
Anos - 7P0
rimeira gerao 1985-1990
de
ackers
de Computadores;
- KHevin
Mitnick
2000+
Primeiros
- Estudantes do
MIT
a
nos
6
0;

-A-n EEos
voluo
d
a
c
ultura
H
acker
s
urge
com hooje
na
Roubos,
B
ugs
e

m resposta as diversas prises
anunciadas
Hackining:
- Capacidade de alterar
programas
epm
aparecimento
do ('hacks')
PC
Phreakers
Federais
mdia,
o termo
Hacker
assa e an
to
er fuuturo
ma conotao
mainframes para m- elhorar
rogramas.
Fpejora@va
ilme Wpar
Games
- Neste caso 'Hacker'
@Surge
nha uoma
cdonotao
posi@va.
- S- urgimento
a 2H600:
Hacker
Quaterly
lme
ackers
- Indicava pessoas c- apazes
levar programas
Acessar dce omputadores,
e tudo aquilo que possa
alm de sua capacidade
original.
lhe ensinar
mais alguma coisa sobre como o
mundo funciona, deve ser ilimitado e completo.

Trilha Evolu@va
White Hat

Black Hat

Hacker

Cracker

Script Kid

Geek

Lammer

Nerd

Usurio

Populao por segmento

White e Black
Hats
Hackers e Crackers
Script Kidies e Lammers
Geeks e Nerds

Usurios, Curiosos e Iniciantes

PARTE 6

Ameaas Digitais

Ataques
Geralmente divididos nos seguintes @pos:

Ataques ABvos
DoS, DDoS, buer overow, inundao de SYN

Ataques Passvos
Pesquisa de vulnerabilidade, sning, ...

Ataques de Senha
Fora bruta, Dicionrio, hackish, Rainbow Tables

Cdigo malicioso (malware)

Vrus, trojans, worms, ...

Ataques A@vos
DoS/DDoS
Reduzir a qualidade de servio a nveis intolerveis
Tanto mais dicil quanto maior for a infra-estrutura do alvo
Enquanto DoS de fcil execuo e pode ser corrigido, DDoS de
dicil e no pode ser evitado
Zombies e Mestres (Masters), ataque smurf
BOTs e BOTNets, ataques massicados por banda larga
Tipos
Consumo de Recursos (largura de banda, cpu, RAM, ...)
Pacotes malformados (todas as ags ligadas)

Ataques A@vos (cont.)

Buer Overow
Sobrescrever o prprio cdigo em execuo
Shell code, escrito em assembler
Tem como obje@vo executar algum cdigo, ou conseguir acesso
privilegiado

Ataques SYN
Fragilidade na@va do TCP/IP
Conexo de 3-vias (Syn, Syn-Ack, Ack)

Spoong
Se fazer passar por outro a@vo da rede
MITM (Man-In-The-Middle)

Dsniff

Ataques A@vos (Cont.)

Lixeiros

Documentos sensveis mal descartados

Informaes em hardwares obsoletos
Falta de Pol@ca de Classicao da Informao

Engenharia social

Kevin Mitnick
Normalmente relevada nos esquemas de segurana
U@liza-se do orgulho e necessidade de auto-
reconhecimento, intrnseco do ser humano

Um computador no estar seguro nem quando

desligado e trancado em uma sala, pois mesmo
assim algum pode ser instrudo a lig-lo.

[ Kevin Mitnick A arte de enganar/The Art of Decep@on ]

Ataques a@vos por cdigo malicioso

Malware

MALicious somWARE
No apenas Spyware ou Adware
Payload

Vrus

Auto replicante
Interfere com hardware, sistemas operacionais e
aplicaes
Desenvolvidos para se replicar e iludir deteco
Precisa ser executado para ser a@vado

Ataques a@vos por cdigo malicioso (cont)

Cavalos de Tria (Trojans)

Cdigo malicioso escondido em uma aplicao

aparentemente legtma (um jogo por exemplo)
Fica dormente at ser a@vado
Muito comum em programas de gerncia remota (BO e
NetBus)
No se auto replica e precisa ser executado

Bombas Lgicas

Caindo em desuso pela u@lizao de segurana no

desenvolvimento
Aguarda uma condio ser a@ngda
Chernobyl, como exemplo famoso (26, Abril)

Ataques a@vos por cdigo malicioso (cont)

Worms
Auto replicante, mas sem alterao de arquivos
Pra@camente impercepveis at que todo o recurso
disponvel seja consumido
Meio de contaminao mais comum atravs de e-
mails e/ou vulnerabilidades em aplicaes de rede
No necessita de ponto de execuo
Se mul@plica em proporo geomtrica
Exemplos famosos:
LoveLefer, Nimda, CodeRed, Melissa, Blaster, Sasser, ...

Ataques a@vos por cdigo malicioso (cont)

Back Door
Trojan, root kits e programas legtmos
VNC, PCAnyware, DameWare
SubSeven, Th0rnkit

Prov acesso no auten@cado a um sistema

Rootkit
Coleo de ferramentas que possibilitam a criao on-
demand de backdoors
Modicam ro@nas de checagem dos sistemas
operacionais comprome@dos para impedir deteco
Iniciam no boot junto com os processos do sistema

Ataques Passvos
Normalmente uBlizado antes de um ataque aBvo
Pesquisa de Vulnerabilidades
Pesquisa por Portas/Servios
hfp://www.insecure.org Nmap

Escuta (sning)
Extremamente dicil deteco
No provoca rudo sensvel
Senhas em texto claro, comunicaes no encriptadas
Redes compar@lhadas Vs comutadas
Switch Vs Hub

WireShark (Lin/Win), TCPDump (Lin)

hfp://www.wireshark.org
hfp://www.tcpdump.org

Ataques Passvos (cont)

Ataques de Senha

Muito comuns pela facilidade de execuo e taxa de sucesso

Cain&Abel, LC5, John The Ripper, ...

Compara Hashs, no texto

Fora Bruta

Teste de todos os caracteres possveis

Taxa de 5 a 6 Milhes de testes/seg, em um P4

Ataques de Dicionrio

Reduz sensivelmente o tempo de quebra

J testa modicado para es@lo hackish
B4n4n4, C@73dr@l, P1p0c@, R007, ...

Rainbow Tables

Princpio Time Memory Trade-o (TMTO)

A@vidade
Pesquisar DUAS ferramentas que executem ( auxilie) um dos
mecanismos passado.
Aprender a usar a ferramenta.
Preparar uma apresentao falando sobre a ferramenta.
Prepare-se para pelo menos 30 minutos de apresentao.
Mostrar RODANDO a ferramenta.
Mostrar exemplos

Sero sorteados, NO DIA, 5 alunos para fazer a

apresentao.
Apenas 4 faro apresentao.
Postar a ferramenta no Face.

Cada apresentao valer um agrado para turma toda,

quem no zer, zer nas coxas prejudicar os demais.