CIBERSEGURANÇA - AULA 03 - Ameaças, Vulnerabilidades e Ataques À Segurança Cibernética

CENTRO SALESIANO DO MENOR – CESAM/DF
PROGRAMA ADOLESCENTE/JOVEM APRENDIZ
Módulo - Cisco
CIBERSEGURANÇA
Brasília-DF, 2021
Aprendizagem, mais que uma oportunidade!

Aula 3: Ameaças, vulnerabilidades e ataques à segurança cibernética
As ameaças, as vulnerabilidades e os ataques são o foco central dos

profissionais da segurança cibernética. Uma ameaça é a possibilidade de ocorrer
um evento prejudicial, como um ataque. Uma vulnerabilidade é uma fraqueza
que torna um alvo suscetível ao ataque.
Um ataque é a exploração deliberada de uma fraqueza descoberta em

sistemas informatizados, como alvos específicos ou meramente como alvos de
oportunidade. Criminosos virtuais podem ter diferentes motivações para escolher
um alvo de ataque.
Os criminosos virtuais têm êxito ao procurar continuamente e identificar

sistemas com vulnerabilidades evidentes. As vítimas comuns incluem sistemas
desatualizados ou sem detecção de vírus e spam.
Este capítulo analisa os ataques mais comuns à segurança cibernética.

Os profissionais de segurança cibernética devem compreender como funciona
cada ataque, o que explora e como afeta a vítima.
O capítulo começa explicando a ameaça de códigos maliciosos e malware

e depois explica os tipos de disfarces envolvidos na engenharia social. Um
ataque cibernético é qualquer tipo de manobra ofensiva usada por criminosos
virtuais contra alvos como sistemas informatizados, redes de computadores ou
outros dispositivos de computador. Os cibercriminosos iniciam manobras
ofensivas contra redes com e sem fio.
O que é Malware?
Software mal-intencionado ou malware é um termo usado para descrever

o software desenvolvido para interromper as operações do computador ou obter
acesso a sistemas informatizados, sem o conhecimento
ou permissão do usuário. Malware tornou-se um termo
genérico usado para descrever todos os tipos de
softwares hostis ou invasores.
O termo malware inclui vírus de computador,

worms, cavalos de Troia, ransomware, spyware, adware,
scareware e outros programas mal-intencionados. O
malware pode ser óbvio e simples de identificar ou pode
ser muito furtivo e quase impossível de detectar.

Vírus, worms e cavalos de troia
Os criminosos virtuais miram os dispositivos finais do usuário por meio da

instalação do malware. Clicar em Play (Reproduzir) para visualizar uma
animação dos três tipos mais comuns de malware.
Vírus
Um vírus é um código malicioso executável que está anexado a outro

arquivo executável, como um programa legítimo. A maioria dos vírus necessitam
de inicialização do usuário final e podem ser ativados a uma hora ou data
específica. Os vírus de computador geralmente são transmitidos através de uma
das três formas: de mídia removível; de downloads na Internet; e de anexos de
e-mail.
Os vírus podem ser inofensivos e apenas exibir uma imagem ou podem

ser destrutivos, como os que modificam ou excluem dados. Para evitar a
detecção, o vírus sofre mutação. O simples ato de abrir um arquivo pode ativar
um vírus. Um setor de boot, ou vírus de sistema de arquivo, infecta pen-drives
USB e podem ser transmitidos para o disco de rígido do sistema.
A execução de um programa específico pode ativar um vírus de programa.

Uma vez ativo, o vírus de programa normalmente afetará outros programas no
computador ou outros computadores na rede. O vírus Melissa foi um exemplo de
transmissão de vírus por e-mail. O vírus Melissa afetou dezenas de milhares de
usuários e causou uma estimativa de US$ 1,2 bilhão em danos. Clique aqui para
obter mais informações sobre vírus.
Worms
Worms é um código malicioso que se replica ao explorar de forma

independente vulnerabilidades em redes. Os worms normalmente deixam a rede
mais lenta. Enquanto um vírus requer um programa do host para execução, os
worms podem ser executados se modo autônomo. Exceto pela infecção inicial,
os worms não necessitam mais da participação do usuário.
Após afetar o host, um worm é pode ser transmitido muito rapidamente

pela rede. Worms compartilham padrões similares. Todos eles têm habilitam
uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma
carga. Os worms são responsáveis por alguns dos ataques mais devastadores
na Internet. Por exemplo, em 2001, o worm Code Red infectou 658 servidores.
Em 19 horas, o worm infectou mais de 300.000 servidores.

Cavalo de troia
Um cavalo de Troia é um malware que realiza operações mal-

intencionadas, sob o pretexto de uma operação desejada, como jogar um game
online. Esse código malicioso explora os privilégios do usuário que o executa.
Um cavalo de Troia difere de um vírus porque o cavalo de Troia se liga a arquivos
não executáveis, como arquivos de imagem, arquivos de áudio ou jogos.
Bombas lógicas
Uma bomba lógica é um programa mal-intencionado que utiliza um gatilho

para ativar o código malicioso. Por exemplo, os acionadores podem ser datas,
horas, outros programas em execução ou a exclusão de uma conta de usuário.
A bomba lógica permanece inativa até que o evento acionador aconteça.

Assim que ativada, a bomba lógica implementa um código malicioso que danifica
um computador. Uma bomba lógica pode sabotar os registros de banco de
dados, apagar arquivos e atacar sistemas operacionais ou aplicativos.
Recentemente, especialistas em segurança digital descobriram bombas

lógicas que atacam e destroem os componentes de hardware em uma estação
de trabalho ou servidor, incluindo as ventoinhas, CPU, memória, discos rígidos
e fontes de alimentação. A bomba lógica sobrecarrega esses dispositivos até o
superaquecimento ou falha.
Ransomware
O ransomware aprisiona um sistema de computador ou os dados nele

encontrados até que a vítima faça um pagamento. O ransomware normalmente
funciona criptografando os dados no computador com uma chave desconhecida
ao usuário. O usuário deve pagar um resgate aos criminosos para remover a
restrição.
Outras versões do ransomware podem lançar mão das vulnerabilidades

de sistemas específicos para bloquear o sistema. O ransomware se propaga
como um cavalo de Troia e resulta de um arquivo baixado ou de um ponto fraco
no software.
A meta do criminoso é sempre o pagamento através de um sistema de

pagamento indetectável. Depois que a vítima efetua o pagamento, o criminoso
fornece um programa que descriptografa os arquivos ou envia um código de
desbloqueio.

Backdoors e Rootkits
Um backdoor refere-se ao programa ou código lançado por um criminoso

que comprometeu um sistema. O backdoor ignora a autenticação normalmente
usada para acessar o sistema. Alguns programas comuns de backdoor são o
Netbus e Back Orifice, que permitem o acesso remoto a usuários do sistema não
autorizados.
A finalidade do backdoor é conceder aos criminosos virtuais o acesso

futuro ao sistema, mesmo se a empresa corrigir a vulnerabilidade original usada
para atacar o sistema. Em geral, os criminosos fazem com que usuários
autorizados executem inconscientemente um programa Cavalo de Troia na
máquina, para instalar um backdoor.
Um rootkit modifica o sistema operacional para criar um backdoor. Os

invasores usam o backdoor para acessar o computador remotamente. A maioria
dos rootkits utiliza as vulnerabilidades do software para escalonar privilégios e
modificar arquivos de sistema.
O escalonamento de privilégios utiliza os erros de programação ou falhas

de projeto para conceder o acesso criminoso aos recursos e dados da rede.
Também é comum os rootkits modificarem a computação forense do sistema e
as ferramentas de monitoramento, o que os torna muito difíceis de ser
detectados. Muitas vezes, um usuário deve apagar e reinstalar o sistema
operacional de um computador infectado por um rootkit.
Defesa contra malware
Alguns passos simples podem ajudar a se proteger contra todas as formas

de malware:
 Programa de antivírus - A maioria dos conjuntos de antivírus

captura as formas mais comuns de malware. Contudo, os criminosos virtuais
desenvolvem e implantam novas ameaças diariamente. Portanto, o segredo
de uma solução antivírus eficaz é manter as assinaturas atualizadas. Uma
assinatura é como uma impressão digital. Identifica as características de um
código malicioso.
 Software atualizado - Muitas formas de malware atingem seus

objetivos explorando as vulnerabilidades do software, no sistema
operacional e nos aplicativos. Embora as vulnerabilidades do sistema
operacional sejam a principal fonte de problemas, as vulnerabilidades dos

aplicativos atuais representam o maior risco. Infelizmente, embora os

fornecedores de sistemas operacionais estejam cada vez mais propensos a
realizar correções, a maioria dos fornecedores de aplicativos não está.
Spam
O e-mail é um serviço universal usado por bilhões de pessoas em todo o

mundo. Como um dos serviços mais populares, o e-mail se tornou uma grande
vulnerabilidade para usuários e organizações. Spam, também conhecido como
lixo eletrônico, é e-mail não solicitado, nem autorizado.
Na maioria dos casos, o spam é um método de anúncio. Entretanto, o

spam pode enviar links perigosos, malware ou conteúdo enganoso. O objetivo
final é obter informações confidenciais, como o número na previdência social ou
informações da conta no banco.
A maioria dos spams vem de vários computadores em redes infectadas

por um vírus ou worm. Esses computadores infectados enviam o máximo de lixo
eletrônico possível.
Mesmo com essas funcionalidades de segurança implementadas, alguns

spams ainda podem passar. Observe alguns dos indicadores mais comuns de
Spam:
 Um e-mail sem assunto.
 Um e-mail solicitando uma atualização de uma conta.
 O texto do e-mail tem erros de ortografia ou uma pontuação

estranha.
 Links no e-mail são longos e/ou incompreensíveis.
 Um e-mail parece uma correspondência de uma empresa idônea.
 Um e-mail que solicita que o usuário abra um anexo.
Se receber um e-mail que contém um ou mais desses indicadores, o

usuário não deverá abrir o e-mail ou os anexos. É muito comum que a política
de e-mail de uma empresa exija que um usuário que recebeu esse tipo de e-mail
denuncie para a equipe de segurança digital. Quase todos os provedores de e-
mail filtram spam. Infelizmente, o spam ainda consome a largura de banda e o
servidor do destinatário ainda precisa processar a mensagem.

Spyware, Adware e Scareware
Spyware é o software que permite que um criminoso obtenha informações

sobre as atividades do computador do usuário. O spyware frequentemente inclui
rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar
combater as medidas de segurança, o spyware quase sempre modifica as
configurações de segurança. Muitas vezes, o spyware se junta ao software
legítimo ou a cavalos de Troia. Muitos sites de shareware estão cheios de
spyware.
Normalmente, o adware exibe pop-ups irritantes para gerar receita para

seus autores. O malware pode analisar os interesses do usuário rastreando os
sites visitados. Em seguida, ele pode enviar anúncios pop-ups relacionados a
esses sites. Algumas versões do software instalam Adware automaticamente.
Alguns tipos de adware só oferecem anúncios, mas também é comum que o
adware venha com spyware.
O scareware persuade o usuário a executar uma ação específica por

medo. O scareware simula janelas pop-up que se assemelham às janelas de
diálogo do sistema operacional. Essas janelas transmitem mensagens
falsificadas que afirmam que o sistema está em risco ou precisa da execução de
um programa específico para retornar à operação normal. Na verdade, não há
problemas e, se o usuário concordar e permitir a execução do programa
mencionado, o malware infectará o sistema.
Phishing
Phishing é uma forma de fraude. Os criminosos virtuais usam e-mail,

mensagem instantânea ou outras mídias sociais para coletar informações, como
credenciais de logon ou informações da conta, ao colocar uma fachada de
entidade ou pessoa confiável.
O phishing ocorre quando uma parte mal-intencionada envia um e-mail

fraudulento disfarçado de uma fonte legítima e confiável. A intenção da
mensagem é enganar o destinatário para instalar o malware no dispositivo dele
ou compartilhar informações pessoais ou financeiras.
Um exemplo de phishing é um e-mail falsificado para parecer que veio de

uma loja de varejo, solicitando que o usuário clique em um link para receber um
prêmio. O link pode ir para um site falso que pede informações pessoais ou pode
instalar um vírus.

Spear phishing é um ataque de phishing altamente direcionado. Embora

o phishing e o spear phishing usem e-mails para alcançar as vítimas, o spear
phishing envia e-mails personalizados a uma pessoa específica.
O criminoso pesquisas os interesses da vítima antes de enviar o e-mail.

Por exemplo, um criminoso descobre que a vítima está interessada em carros,
procurando um modelo específico de carro para comprar.
O criminoso entra no mesmo fórum de discussão de carros utilizado pela

vítima, forja uma oferta de venda de carro e envia um e-mail para o alvo. O e-
mail contém um link para as fotos do carro. Ao clicar no link, a vítima instala
inconscientemente o malware no computador.
Vishing, Smishing, Pharming e Whaling
Vishing é o phishing que usa a tecnologia de comunicação de voz. Os

criminosos podem falsificar as chamadas de origens legítimas usando a
tecnologia VoIP (voice over IP). As vítimas também podem receber uma
mensagem gravada que pareça legítima. Os criminosos querem obter números
de cartão de crédito ou outras informações para roubar a identidade da vítima.
O vishing se vale do fato de que as pessoas confiam na rede telefônica.
Smishing (Short Message Service phishing) é o phishing que usa

mensagens de texto em celulares. Os criminosos se passam por uma fonte
legítima na tentativa de ganhar a confiança da vítima. Por exemplo, um ataque
de smishing pode enviar à vítima o link de um site. Quando a vítima visita o site,
o malware é instalado no telefone celular.
Pharming é a representação de um site legítimo na tentativa de enganar

os usuários para inserir as credenciais. O pharming leva os usuários para um
site falso que parece ser oficial. Então, as vítimas digitam as informações
pessoais, achando que estão conectadas a um site legítimo.
Whaling é um ataque de phishing que buscam vítimas de alto perfil em

uma empresa, como executivos seniores. Outras vítimas incluem políticos ou
celebridades.
Plugins de navegador e envenenamento de navegador
As violações de segurança podem afetar os navegadores da Web,

exibindo anúncios de pop-up, coletando informações pessoais identificáveis ou

instalando adware, vírus ou spyware. Um criminoso pode invadir um arquivo

executável, os componentes ou plugins do navegador.
Plugins
Os plugins Flash e Shockwave da Adobe permitem a criação de

animações gráficas e desenhos interessantes que melhoram muito o visual de
uma página da Web. Os plugins exibem o conteúdo desenvolvido usando o
software apropriado.
Até pouco tempo, os plugins tinham um registro de segurança

considerável. À medida que o conteúdo baseado em Flash cresceu e se tornou
mais popular, os criminosos examinaram os plugins e softwares Flash,
determinaram vulnerabilidades e exploraram o Flash Player.
A exploração com sucesso pode causar uma falha no sistema ou permitir

que um criminoso assuma o controle do sistema afetado. Espera-se um aumento
nas perdas de dados à medida que os criminosos continuem analisando as
vulnerabilidades dos plugins e protocolos mais populares.
Envenenamento de SEO
Os mecanismos de busca, como o Google, classificam as páginas e

apresentam resultados relevantes com base nas consultas da pesquisa dos
usuários. Dependendo da relevância do conteúdo do site, ele pode aparecer
mais alto ou mais baixo na lista de resultado da pesquisa.
SEO, abreviação de Search Engine Optimization (Otimização de

mecanismos de busca), é um conjunto de técnicas usadas para melhorar a
classificação do site por um mecanismo de pesquisa. Embora muitas empresas
legítimas se especializem na otimização de sites para melhor posicioná-las, o
envenenamento de SEO usa a SEO para que um site mal-intencionado fique
mais alto nos resultados da pesquisa.
O objetivo mais comum do envenenamento de SEO é para aumentar o

tráfego em sites maliciosos que podem hospedar malware ou executar
engenharia social. Para forçar um site malicioso a obter uma classificação mais
elevada nos resultados de pesquisa, os invasores utilizam termos de busca
populares.
Sequestrador de navegador
Um sequestrador de navegador é o malware que altera as configurações

do navegador de um computador para redirecionar o usuário para sites pagos

pelos clientes de criminosos virtuais. Normalmente, os sequestradores de

navegador são instalados sem a permissão do usuário e fazem parte de um
download drive-by.
Um download drive-by é um programa que é transferido para o

computador automaticamente, quando um usuário visita um site da Web ou
visualiza uma mensagem de e-mail HTML. Sempre leia atentamente os contratos
do usuário ao baixar programas, para evitar esse tipo de malware.
Defesa contra ataques ao e-mail e navegador
Os métodos de controle de spam incluem filtrar e-mails, ensinar o usuário

a tomar cuidado com e-mails desconhecidos e usar filtros de host/servidor.
É difícil impedir um spam, mas existem maneiras de diminuir seus efeitos.

Por exemplo, a maioria dos ISPs filtram os spams, antes que eles atinjam a caixa
de entrada do usuário. Muitos antivírus e programas de software de e-mail
executam a filtragem de e-mail automaticamente. Isso significa que detectam e
removem spam de uma caixa de entrada.
As empresas também devem conscientizar os funcionários sobre os

perigos de se abrir anexos de e-mail que possam conter um vírus ou um worm.
Não presuma que os anexos de e-mail são seguros, mesmo quando são
enviados por um contato confiável. Um vírus pode estar tentando se espalhar
usando o computador do remetente. Sempre varra anexos de e-mail, antes de
abri-los.
O Anti-Phishing Working Group (APWG) é uma associação do setor

voltada para eliminar o roubo de identidade e a fraude resultantes de phishing e
spoofing de e-mail.
Manter todo o software atualizado assegura que o sistema tenha todos os

mais recentes patches de segurança aplicados para eliminar as vulnerabilidades
conhecidas.
Engenharia social
Engenharia social é um meio totalmente não técnico de um criminoso

coletar informações sobre a vítima. Engenharia social é um ataque que tenta
manipular indivíduos para realizar ações ou divulgar informações confidenciais.

Os engenheiros sociais frequentemente dependem da boa vontade das

pessoas para ajuda, mas também miram nos pontos fracos. Por exemplo, um
invasor pode chamar um funcionário autorizado com um problema urgente, que
requer acesso imediato à rede. O invasor pode recorrer à vaidade do funcionário,
valer-se de autoridade usando técnicas que citam nomes ou apelar para a
ganância do funcionário.
Há alguns tipos de ataques de Engenharia social:
Pretexting - Ocorre quando um invasor chama uma pessoa e mente para

ela na tentativa de obter acesso a dados confidenciais. Um exemplo envolve um
invasor que finge precisar de dados pessoais ou financeiros para confirmar a
identidade do destinatário.
Something for Something (Quid pro quo) - Ocorre quando um invasor

solicita informações pessoais de uma pessoa em troca de algo, como um
presente.
Táticas de Engenharia social
Engenheiros sociais utilizam várias táticas. As táticas de engenharia

social incluem:
 Autoridade – As pessoas são mais propensas a cooperar quando

instruídas por "uma autoridade"
 Intimidação – Os criminosos intimidam a

vítima a realizar uma ação
 Consenso/prova social – As pessoas

realizarão essa ação se acharem que as outras
pessoas aprovarão
 Escassez – As pessoas realizarão essa

ação se acharem que existe uma quantidade
limitada
Urgência – As pessoas realizarão essa

ação se acharem que existe um tempo limitado
 Familiaridade/gosto – Os criminosos criam empatia com a vítima

para estabelecer um relacionamento

Confiança – Os criminosos criam uma relação de confiança com

uma vítima, que pode precisar de mais tempo para ser estabelecida
Clicar em cada tática na figura para ver um exemplo.
Os profissionais de segurança digital são responsáveis por ensinar os

outros funcionários da empresa sobre as táticas dos engenheiros sociais.
Shoulder Surfing e busca de informações na lixeira
Um criminoso observa ou bisbilhota a vítima para obter PINs, códigos de

acesso ou números de cartão de crédito. Um invasor pode estar perto da sua
vítima ou pode usar binóculos ou câmeras de circuito fechado para descobrir
informações. É por isso que uma pessoa só pode ler uma tela de ATM em
determinados ângulos. Esses tipos de proteções dificultam muito o Shoulder
Surfing.
"A lixeira de um homem é o tesouro de outro". Essa frase pode ser

especialmente verdadeira no mundo da busca de informações na lixeira, que é
o processo de revirar o lixo da vítima para ver quais informações uma empresa
descartou.
Considere a possibilidade de proteger a lixeira. Quaisquer informações

confidenciais devem ser devidamente eliminadas através de trituração ou do uso
de sacos de incineração, um recipiente que contém documentos confidenciais
ou secretos para posterior destruição pelo fogo.
Representação e farsas
A representação é o ato de fingir ser outra pessoa. Por exemplo, um scam

de telefone recente mirava nos contribuintes. Um criminoso, disfarçado de
funcionário da Receita Federal, dizia para as vítimas que elas deviam dinheiro à
Receita. As vítimas devem pagar imediatamente através de uma transferência
bancária.
O impostor ameaçou que a falta de pagamento resultará em prisão. Os

criminosos também usam a representação para atacar os outros. Eles podem
prejudicar a credibilidade das pessoas, usando publicações em site ou redes
sociais.
Uma farsa é um ato com a finalidade de enganar ou ludibriar. Uma farsa

virtual pode causar tanto problema quanto uma violação real. Uma farsa provoca

uma reação do usuário. A reação pode criar um medo desnecessário e um

comportamento irracional. Os usuários passam as farsas por e-mail e redes
sociais.
Piggybacking e tailgating
Piggybacking ocorre quando um criminoso se identifica juntamente com

uma pessoa autorizada, para entrar em um local protegido ou uma área restrita.
Os criminosos usam vários métodos de piggyback:
 Parecem ser escoltados pela pessoa autorizada
 Juntam-se a uma grande multidão, fingindo ser um membro
 Escolhem uma vítima que é descuidada em relação às regras do

estabelecimento
Tailgating é outro termo que descreve a mesma prática.
Uma armadilha evita o piggybacking, usando dois conjuntos de portas.

Depois que os indivíduos entram pela porta externa, essa porta deve fechar
antes que entrem na porta interna.
Disfarce on-line, no e-mail e na Web
Encaminhar e-mails de farsa e outras piadas, filmes engraçados e e-mails

não relacionados ao trabalho durante o expediente pode violar a política de uso
aceitável pela empresa e resultar em ações disciplinares. Clique aqui para
acessar um site que publica rumores e o fato que confirma as informações.
Defesa contra disfarce
As empresas precisam promover a conscientização das táticas de

engenharia social e orientar os funcionários corretamente sobre medidas de
prevenção como as seguintes:

Nunca fornecer informações confidenciais ou secretas por e-mail,
sessões de bate-papo, pessoalmente ou por telefone às pessoas
desconhecidas.
 Resistir à tentação de clicar em e-mails e links de site atraentes.

 Ficar de olho em downloads não iniciados ou automáticos.
 Estabelecer políticas e instruir os funcionários sobre essas

políticas.
Quando se trata de segurança, dar um sentido de apropriação aos

funcionários.
 Não se submeter à pressão de pessoas desconhecidas.
Negação de serviço
Os ataques de negação de serviço (DoS) são um tipo de ataque à rede.

Um ataque de negação de serviço (DoS) resulta em algum tipo de interrupção
de serviço aos usuários, dispositivos ou aplicações. Existem dois tipos principais
de ataque de negação de serviço (DoS):
Quantidade exorbitante de tráfego – O invasor envia uma

enorme quantidade de dados a uma taxa que a rede, o host ou o aplicativo
não pode suportar. Isso causa uma desaceleração na transmissão ou
resposta ou uma falha em um dispositivo ou serviço.
 Pacotes formatados maliciosamente – O invasor envia um

pacote formatado maliciosamente para um host ou aplicativo e o receptor
não consegue contê-lo. Por exemplo, um aplicativo não pode identificar os
pacotes que contêm erros ou os pacotes formatados incorretamente
encaminhados pelo invasor. Isso causa lentidão ou falha na execução do
dispositivo receptor.
Os ataques de negação de serviço (DoS) são um grande risco porque

podem facilmente interromper a comunicação e causar perda significativa de
tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo
por um invasor não capacitado.
O objetivo de um ataque de negação de serviço é negar acesso aos

usuários autorizados, tornando a rede indisponível (lembre-se dos três princípios
básicos de segurança: confidencialidade, integridade e disponibilidade).
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um

ataque de negação de serviço (DoS), porém é originado por várias fontes
coordenadas. Por exemplo, um ataque de negação de serviço distribuída (DDoS)
pode ocorrer da seguinte maneira:

Um invasor cria uma rede de hosts infectados, denominada botnet,

composta por zumbis. Os zumbis são os hosts infectados. O invasor usa um
sistema de controle para controlar os zumbis. Os computadores zumbis
examinam e infectam constantemente mais hosts, criando mais zumbis. Quando
está pronto, o hacker instrui os sistemas controlador para fazer com que o botnet
de zumbis execute um ataque de negação de serviço distribuído (DDoS).
Sniffing
Sniffing é semelhante a espionar alguém. Eles ocorrem quando os

invasores examinam todo o tráfego de rede à medida que passa pelo NIC,
independentemente de se o tráfego é endereçado a eles ou não. Os criminosos
conseguem fazer sniffing de rede com um aplicativo, dispositivo de hardware ou
uma combinação dos dois.
Como mostrado na figura, o sniffing visualiza todo o tráfego de rede ou

atinge um protocolo específico, serviço ou até mesmo uma sequência de
caracteres, como um login ou senha. Alguns sniffers de rede observam todo o
tráfego e modificam o tráfego parcial ou totalmente.
Sniffing também tem seus benefícios. Os administradores de rede

também podem usar sniffers para analisar o tráfego de rede, identificar
problemas de largura de banda e solucionar outros problemas de rede.
A segurança física é importante para evitar a entrada de sniffers na rede

interna.

Spoofing
Spoofing é um ataque de representação e tira proveito de uma relação de

confiança entre os dois sistemas. Se os dois sistemas aceitam a autenticação de
cada um deles, um indivíduo conectado a um sistema pode não passar
novamente pelo processo de autenticação novamente para acessar outro
sistema. Um invasor pode se aproveitar desse arranjo, enviando um pacote para
um sistema que parece ter vindo de um sistema confiável. Como a relação de
confiança é estabelecida, o sistema-alvo pode executar a tarefa solicitada sem
autenticação.
Existem vários tipos de ataques de spoofing:
O spoofing do endereço MAC ocorre quando um computador aceita

pacotes de dados com base no endereço MAC de outro computador.
 O spoofing de IP envia pacotes IP com um endereço de origem

falsificado para se disfarçar.
 O Address Resolution Protocol (ARP) é um protocolo que mapeia

os endereços IP para endereços MAC para transmissão de dados. O
spoofing de ARP envia mensagens falsificadas de ARP através de uma LAN
para vincular o endereço MAC do criminoso ao endereço IP de um membro
autorizado da rede.
 O Domain Name System (DNS) associa os nomes de domínio aos

endereços IP. O spoofing do servidor DNS modifica o servidor DNS para
redirecionar um nome de domínio específico para um endereço IP diferente,
controlado pelo criminoso.
Man-in-the-middle
Um criminoso executa um ataque Man-in-the-middle (MitM), interceptando

as comunicações entre computadores para roubar as informações que passam
pela rede. O criminoso também pode optar por manipular as mensagens e
transmitir informações falsas entre os hosts, já que os hosts não sabem que uma
modificação de mensagens ocorreu. O MitM permite que o criminoso tenha o
controle sobre um dispositivo sem o conhecimento do usuário.
Man-In-The-Mobile (MitMo) é uma variação do man-in-middle. O MitMo

assume o controle de um dispositivo móvel. O dispositivo móvel infectado envia

as informações confidenciais do usuário para os invasores. ZeuS, um exemplo

de exploit com capacidades de MitMo, permite que os invasores capturem
silenciosamente as mensagens de SMS de verificação de 2 passos enviadas
para os usuários.
Por exemplo, ao configurar um ID da Apple, o usuário deve fornecer um

número de telefone habilitado para SMS para receber um código de verificação
temporário via mensagem de texto, para comprovar a identidade do usuário. O
malware espiona esse tipo de comunicação e retransmite as informações para
os criminosos.
Um ataque de repetição ocorre quando um invasor captura uma parte de

uma comunicação entre dois hosts e, então, retransmite a mensagem capturada
mais tarde. Os ataques de repetição driblam os mecanismos de autenticação.
Ataques de Dia Zero
Um ataque de dia zero, às vezes conhecido como uma ameaça de dia

zero, é um ataque de computador que tenta explorar as vulnerabilidades do
software que são desconhecidas ou não divulgadas pelo fornecedor do software.
O termo zero hora descreve o momento em que alguém descreve essas

explorações. Durante o tempo que os fornecedores de software demoram para
desenvolver e liberar um patch, a rede está vulnerável a essas explorações,
como mostrado na figura. A defesa contra esses ataques rápidos requer que os

profissionais de rede adotem uma visão mais sofisticada da arquitetura da rede.

Não é mais possível conter as intrusões em alguns pontos da rede.
Keyboard Logging
O Keyboard Logging é um programa de software que grava ou registra os

toques de teclas do usuário do sistema. Os criminosos podem implementar
registradores de toque de tela no software instalado em um sistema de
computador ou por meio de um hardware fisicamente conectado a um
computador.
O criminoso configura o software registrador de tecla para enviar um e-

mail com os arquivos de log. Os toques de tela capturados no arquivo de log
podem revelar nomes de usuários, senhas, sites visitados e outras informações
confidenciais.
Os registradores de teclado podem ser um software comercial legítimo.

Geralmente, os pais compram software registradores de tecla para rastrear os
sites e o comportamento dos filhos que utilizam a Internet. Muitos aplicativos
anti-spyware são capazes de detectar e remover registradores de tecla não
autorizados. Embora o software de registro de tela seja legal, os criminosos
usam o software para fins ilegais.
Defesa contra ataques
Uma empresa pode tomar uma série de medidas para se defender contra
diversos ataques. Configurar firewalls para descartar todos os pacotes de fora
da rede, com endereços que indiquem que foram originados dentro da rede.
Essa situação não ocorre normalmente e isso indica que um criminoso virtual
tentou executar um ataque de spoofing.
Para evitar ataques DoS e DDoS, assegure que os patches e upgrades

sejam atuais, distribua a carga de trabalho entre os sistemas de servidor e
bloqueie os pacotes externos de Internet Control Message Protocol (ICMP) na
borda da rede. Os dispositivos de rede usam pacotes ICMP para enviar
mensagens de erro. Por exemplo, o comando ping usa pacotes ICMP para
verificar se um dispositivo pode se comunicar com outro na rede.
Os sistemas podem impedir que a vítima sofra um ataque de repetição,

criptografando o tráfego, fornecendo autenticação criptográfica e incluindo um
carimbo de hora em cada parte da mensagem.

Grayware e SMiShing
O grayware está se tornando uma área de problema na segurança móvel

com a popularidade dos smartphones. Grayware inclui aplicativos que se
comportam de modo incômodo ou indesejável. O grayware pode não ter malware
reconhecível oculto nele, mas ainda pode ser um risco ao usuário. Por exemplo,
o Grayware pode rastrear a localização do usuário.
Os autores do Grayware geralmente mantêm a legitimidade, incluindo

recursos do aplicativo nas letras miúdas do contrato de licença de software. Os
usuários instalam muitos aplicativos móveis sem pensar realmente em seus
recursos.
SMiShing é abreviação do SMS phishing. Ele usa o Serviço de

mensagens curtas (SMS) para enviar mensagens de texto falsas. Os criminosos
fazem com que o usuário acesse um site ou ligue para um telefone. As vítimas
enganadas podem fornecer informações confidenciais, como os dados de cartão
de crédito. O acesso a um site pode resultar em download de malware que
invade o dispositivo, sem o conhecimento do usuário.
Access points não autorizados
Um access point não autorizado é um access point sem fio instalado em

uma rede segura sem autorização explícita. Um access point não autorizado
pode ser configurado de duas maneiras.
A primeira é quando um funcionário bem-intencionado que tenta ser útil,

facilitando a conexão de dispositivos móveis. A segunda maneira é quando um
criminoso obtém acesso físico a uma empresa e discretamente instala o access
point não autorizado. Como não são autorizados, ambos representam riscos
para a empresa.
Um access point não autorizado também pode se referir ao access point

de um criminoso. Neste caso, o criminoso configura o access point como um
dispositivo de MitM para capturar as informações de login dos usuários.
Um ataque de Evil Twin usa o access point do criminoso, aprimorado com

antenas de maior potência e maior ganho, para parecer uma melhor opção de
conexão para os usuários. Depois que os usuários se conectam ao access point
do invasor, os criminosos podem analisar o tráfego e executar ataques de MitM.

Congestionamento de RF
Os sinais sem fio são suscetíveis à interferência eletromagnética (EMI),

interferência de rádio frequência (RFI) e podem até ser suscetíveis a relâmpagos
ou ruídos de luzes fluorescentes. Sinais sem fio também são suscetíveis a
congestionamento deliberado.
O congestionamento de radiofrequência (RF) interfere na transmissão de

uma estação de rádio ou satélite, para que o sinal não alcance a estação de
recepção.
A frequência, modulação e potência do interferidor de RF precisam ser

iguais às do dispositivo que o criminoso deseja corromper, para congestionar
com sucesso o sinal sem fio.
Bluejacking e Bluesnarfing
Bluetooth é um protocolo de curto alcance e baixa potência. O Bluetooth

transmite dados em uma rede de área pessoal ou PAN e pode incluir dispositivos
como telefones celulares, notebooks e impressoras. O Bluetooth já passou por
várias versões.
A configuração fácil é uma característica do Bluetooth, portanto, não há

necessidade de endereços de rede. O Bluetooth usa emparelhamento para
estabelecer a relação entre os dispositivos. Ao estabelecer o emparelhamento,
ambos os dispositivos usam a mesma chave de acesso.
O Bluetooth tem vulnerabilidades, porém a vítima e o invasor precisam

estar dentro do alcance um do outro, devido ao alcance limitado do Bluetooth.
 Bluejacking é o termo usado para enviar mensagens não

autorizadas para outro dispositivo Bluetooth. Uma variação disso é enviar
uma imagem chocante para o outro dispositivo.
 O bluesnarfing ocorre quando o invasor copia as informações da

vítima no dispositivo dela. Essas informações podem incluir e-mails e listas
de contato.
Ataques de WEP e WPA
Wired Equivalent Privacy (WEP) é um protocolo de segurança que tentou

fornecer uma rede de área local sem fio (WLAN) com o mesmo nível de

segurança de uma LAN com fio. Como as medidas de segurança físicas ajudam
a proteger uma LAN com fio, o WEP procura fornecer proteção similar para
dados transmitidos pela WLAN com criptografia.
O WEP usa uma chave de criptografia. Não há provisão para

gerenciamento de tecla com WEP, então o número de pessoas que
compartilham a chave continuará a crescer. Desde que todo mundo está usando
a mesma chave, o criminoso tem acesso a uma grande quantidade de tráfego
para ataques analíticos.
O WEP também tem vários problemas com o seu vetor de inicialização

(IV), que é um dos componentes do sistema criptográfico:
 É um campo de 24 bits, que é muito pequeno.
 É um texto desprotegido, o que significa que é legível.
 É estático para que fluxos de chave idênticos se repitam em uma

rede dinâmica.
O Wi-Fi Protected Access (WPA) e, em seguida, o WPA2 surgiram como

protocolos melhorados para substituir o WEP. O WPA2 não tem os mesmos
problemas de criptografia pois um invasor não pode recuperar a chave pela
observação do tráfego. O WPA2 está suscetível ao ataque porque os criminosos
virtuais podem analisar os pacotes transmitidos entre o access point e um
usuário legítimo. Os criminosos virtuais usam um analisador de pacote e, em
seguida, executa os ataques off-line na frase secreta.
Defesa contra ataques a dispositivos móveis e sem fio
Há várias etapas a serem seguidas para defesa contra os ataques ao

dispositivo sem fio e móvel. A maioria dos produtos WLAN usa configurações
padrão. Utilize os recursos de segurança básicos sem fio, como autenticação e
criptografia, ao alterar as configurações padrão.
Colocação de access point restrito com a rede ao posicionar esses

dispositivos fora do firewall ou dentro de uma zona desmilitarizada (DMZ) que
contenha outros dispositivos não confiáveis como e-mail e servidores da Web.
As ferramentas WLAN, como NetStumbler, podem descobrir os access

points e estações de trabalho não autorizados. Desenvolva uma política de
convidado para abordar a necessidade de os convidados legítimos precisarem

se conectar à Internet durante a visita. Para funcionários autorizados, utilize uma

rede privada virtual de acesso remoto (VPN) para acesso WLAN.
Scripting através de sites
O Cross-site scripting (XSS) é uma vulnerabilidade encontrada nos

aplicativos da Web. XSS permite que os criminosos injetem scripts em páginas
da Web visualizadas por usuários. Esse script pode conter código malicioso.
O script entre o site tem três participantes: o criminoso, a vítima e o site.

O criminoso virtual não mira diretamente em uma vítima. O criminoso explora a
vulnerabilidade dentro de um site ou aplicativo da Web. Os criminosos injetam
scripts no cliente em páginas da Web visualizadas pelos usuários, as vítimas.
O script mal-intencionado inadvertidamente passa para o navegador do

usuário. Um script mal-intencionado desse tipo pode acessar quaisquer cookies,
tokens de sessão ou outras informações confidenciais. Se obtiverem o cookie de
sessão da vítima, os criminosos poderão se passar pelo usuário.
Injeção de código
Uma maneira de armazenar dados em um site é usar um banco de dados.

Há vários tipos diferentes de bancos de dados, como SQL (Structured Query
Language, Linguagem de Consulta Estruturada) ou Extensible Markup Language
(XML). Ambos os ataques de injeção de XML e SQL exploram as
vulnerabilidades no programa, como a não validação correta de consultas de
banco de dados.
Injeção de XML
Ao usar um banco de dados XML, uma injeção de XML é um ataque que

pode corromper os dados. Depois que o usuário dá a entrada, o sistema acessa
os dados necessários através de uma consulta. O problema ocorre quando o
sistema não examina corretamente a solicitação de entrada fornecida pelo
usuário.
Os criminosos podem manipular a consulta, programando para atender

às necessidades dos criminosos e acessar as informações no banco de dados.
Todos os dados confidenciais armazenados no banco de dados são

acessíveis para os criminosos e eles podem efetuar quantas alterações
desejarem no site. Um ataque de injeção XML ameaça a segurança do site.

Injeção de SQL
O criminoso virtual explora uma vulnerabilidade, inserindo uma instrução

SQL mal-intencionada em um campo de entrada. Mais uma vez, o sistema não
filtra a entrada do usuário corretamente para os caracteres em uma instrução
SQL. Os criminosos usam a injeção de SQL em sites ou qualquer banco de
dados SQL.
Os criminosos podem falsificar uma identidade, modificar os dados

existentes, destruir os dados ou se tornar os administradores do servidor do
banco de dados.
Buffer Overflow
Um buffer overflow ocorre quando os dados ultrapassam os limites de um

buffer. Os buffers são áreas de memórias alocadas a um aplicativo. Ao alterar
os dados além dos limites de um buffer, o aplicativo acessa a memória alocada
a outros processos. Isso pode levar à queda do sistema, comprometimento de
dados ou fornecer o escalonamento de privilégios.
O CERT/CC na Carnegie Mellon University estima que quase metade de

todos os exploits de programas de computador é historicamente originada de
alguma forma de saturação do buffer. A classificação genérica de buffer overflow
inclui muitas variantes, como as saturações de buffer estático, erros de
indexação, erros de string de formatação, incompatibilidades de tamanho de
buffer de Unicode e ANSI e saturação de pilha.
Execuções de código remoto
As vulnerabilidades permitem que um criminoso virtual execute códigos

maliciosos e assumam o controle de um sistema com os privilégios do usuário
que opera o aplicativo. A execução de código remota permite que o criminoso
execute qualquer comando em uma máquina de destino.
Veja, por exemplo, o Metasploit. Metasploit é uma ferramenta para o

desenvolvimento e execução do código de exploit contra uma vítima remota.
Meterpreter é um módulo de exploit dentro do Metasploit que oferece recursos
avançados.
O Meterpreter permite que os criminosos gravem suas próprias extensões

como um objeto compartilhado. Os criminosos carregam e injetam esses
arquivos em um processo em execução no alvo. O Meterpreter carrega e executa

todas as extensões na memória, portanto, nunca envolvem o disco rígido. Isso

também significa que esses arquivos não são detectados pelo antivírus. O
Meterpreter tem um módulo para controlar a webcam do sistema remoto. Ao
instalar o Meterpreter no sistema da vítima, o criminoso pode exibir e capturar
imagens da webcam da vítima.
Controles ActiveX e Java
Ao navegar na Web, algumas páginas podem não funcionar corretamente,

a menos que o usuário instale um controle ActiveX. Os controles ActiveX
oferecem um recurso de plugin para o Internet Explorer. Os controles ActiveX
são partes de softwares instalados pelos usuários para fornecer recursos
estendidos.
Terceiros escrevem alguns controles ActiveX e, portanto, podem ser mal-

intencionados. Eles podem monitorar os hábitos de navegação, instalar malware
ou registrar toques de tela. Os controles ActiveX também funcionam em outros
aplicativos da Microsoft.
O Java opera por meio de um intérprete, o Java Virtual Machine (JVM,

máquina virtual Java). O JVM ativa a funcionalidade do programa Java. O JVM
coloca em sandboxes ou isola o código não confiável do restante do sistema
operacional. Essas são vulnerabilidades, que permitem ao código não confiável
ignorar as restrições impostas pelo sandbox.
Também existem vulnerabilidades na biblioteca de classe do Java, que

um aplicativo usa para sua segurança. Java é a segunda maior vulnerabilidade
de segurança, juntamente com o plugin do Flash da Adobe.
Defesa contra ataques de aplicativo
A primeira linha de defesa contra um ataque de aplicativo é escrever um

código sólido. Independentemente da linguagem usada, ou da origem da entrada
externa, a prática de programação prudente é tratar todas as entradas externas
como uma função hostil. Valide todas as entradas como se fossem hostis.
Mantenha todos os softwares atualizados, incluindo os sistemas

operacionais e aplicativos, e não ignore os prompts de atualização. Nem todos
os programas são atualizados automaticamente. No mínimo, selecione a opção
de atualização manual. As atualizações manuais permitem aos usuários ver
exatamente quais atualizações foram efetuadas.

CIBERSEGURANÇA - AULA 03 - Ameaças, Vulnerabilidades e Ataques À Segurança Cibernética

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CIBERSEGURANÇA - AULA 03 - Ameaças, Vulnerabilidades e Ataques À Segurança Cibernética

Enviado por

Direitos autorais:

Formatos disponíveis

CENTRO SALESIANO DO MENOR – CESAM/DF

PROGRAMA ADOLESCENTE/JOVEM APRENDIZ

Aprendizagem, mais que uma oportunidade!

Aula 3: Ameaças, vulnerabilidades e ataques à segurança cibernética

As ameaças, as vulnerabilidades e os ataques são o foco central dos

Um ataque é a exploração deliberada de uma fraqueza descoberta em

Os criminosos virtuais têm êxito ao procurar continuamente e identificar

Este capítulo analisa os ataques mais comuns à segurança cibernética.

O capítulo começa explicando a ameaça de códigos maliciosos e malware

Software mal-intencionado ou malware é um termo usado para descrever

O termo malware inclui vírus de computador,

Aprendizagem, mais que uma oportunidade!

Vírus, worms e cavalos de troia

Os criminosos virtuais miram os dispositivos finais do usuário por meio da

Um vírus é um código malicioso executável que está anexado a outro

Os vírus podem ser inofensivos e apenas exibir uma imagem ou podem

A execução de um programa específico pode ativar um vírus de programa.

Worms é um código malicioso que se replica ao explorar de forma

Após afetar o host, um worm é pode ser transmitido muito rapidamente

Aprendizagem, mais que uma oportunidade!

Um cavalo de Troia é um malware que realiza operações mal-

Uma bomba lógica é um programa mal-intencionado que utiliza um gatilho

A bomba lógica permanece inativa até que o evento acionador aconteça.

Recentemente, especialistas em segurança digital descobriram bombas

O ransomware aprisiona um sistema de computador ou os dados nele

Outras versões do ransomware podem lançar mão das vulnerabilidades

A meta do criminoso é sempre o pagamento através de um sistema de

Aprendizagem, mais que uma oportunidade!

Um backdoor refere-se ao programa ou código lançado por um criminoso

A finalidade do backdoor é conceder aos criminosos virtuais o acesso

Um rootkit modifica o sistema operacional para criar um backdoor. Os

O escalonamento de privilégios utiliza os erros de programação ou falhas

Defesa contra malware

Alguns passos simples podem ajudar a se proteger contra todas as formas

 Programa de antivírus - A maioria dos conjuntos de antivírus

 Software atualizado - Muitas formas de malware atingem seus

Aprendizagem, mais que uma oportunidade!

aplicativos atuais representam o maior risco. Infelizmente, embora os

O e-mail é um serviço universal usado por bilhões de pessoas em todo o

Na maioria dos casos, o spam é um método de anúncio. Entretanto, o

A maioria dos spams vem de vários computadores em redes infectadas

Mesmo com essas funcionalidades de segurança implementadas, alguns

 Um e-mail sem assunto.

 Um e-mail solicitando uma atualização de uma conta.

 O texto do e-mail tem erros de ortografia ou uma pontuação

 Links no e-mail são longos e/ou incompreensíveis.

 Um e-mail parece uma correspondência de uma empresa idônea.

 Um e-mail que solicita que o usuário abra um anexo.

Se receber um e-mail que contém um ou mais desses indicadores, o

Aprendizagem, mais que uma oportunidade!

Spyware, Adware e Scareware

Spyware é o software que permite que um criminoso obtenha informações

Normalmente, o adware exibe pop-ups irritantes para gerar receita para

O scareware persuade o usuário a executar uma ação específica por

Phishing é uma forma de fraude. Os criminosos virtuais usam e-mail,

O phishing ocorre quando uma parte mal-intencionada envia um e-mail

Um exemplo de phishing é um e-mail falsificado para parecer que veio de

Aprendizagem, mais que uma oportunidade!

Spear phishing é um ataque de phishing altamente direcionado. Embora

O criminoso pesquisas os interesses da vítima antes de enviar o e-mail.

O criminoso entra no mesmo fórum de discussão de carros utilizado pela

Vishing, Smishing, Pharming e Whaling

Vishing é o phishing que usa a tecnologia de comunicação de voz. Os