COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME

Apresentação em tema: "COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME"— Transcrição da apresentação:

1 COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME
Mariano Sumrell Miranda 1 1 1 1 1

2 APRESENTAÇÃO Mariano Sumrell Miranda Winco Tec. e Sistemas
Winco Tec. e Sistemas Empresa com + 10 anos de desenvolvimento de tecnologia de segurança e conectividade Fabricante do Winconnection - Controle de Acesso à Internet, Filtro de Instant Messaging, Filtro de e servidor de Fabricante do Winco Edge Security - Filtro de Instant Messaging e Filtro de Distribuidor no Brasil do AVG - Alguns componentes do AVG feitos pela Winco 2 2 2 2

3 AMEAÇAS NA INTERNET Antigamente Hackers eram motivados por: fama
vencer desafios provar conceitos 3 3 3 3

4 HACKERS HOJE Atividades Cybercrime atividade profissional (criminosa)
Sofisticados e altamente organizados Atividades Espionagem industrial Sabotagem de concorrentes Roubo de Informações como cartões de créditos e senhas de banco Envio de SPAM Click Fraud Chantagem e extorsão - Sequestro de HD - Ameaça de parar o sistemas computacional 4 4 4 4

5 CYBERCRIME Venda de produtos e serviços. Programa DDoS Bot: US$ 400
Envio de Spam: US$ 150 / milhão Info sobre cartões de crédito: US$ 0,10 a US$25 Web Exploit ToolKit (WET): US$ 20 a US$400 Aluguel/Venda de Botnets Informações Bancárias Senhas de contas de Aluguel de local para entrega de mercadorias Conversão para dinheiro 5 5 5 5

6 CLASSIFICAÇÃO DE MALWARE
Pela forma de propagação Vírus Worm Cavalo de Tróia Pelo atividade realizada Backdoor Spyware Keylogger e screenlogger Downloaders Etc Por Características Especiais Rootkit 6 6 6 6

7 VÍRUS Se anexa a programas hospedeiros
Altera início de programa para executar o código malicioso Código malicioso costuma infectar outros arquivos, inclusive pelo compartilhamento de rede Pode criar novos executáveis e, através da Registry do Windows forçar a sua execução na inicialização da máquina.

8

9

10 WORM Não precisa de programa hospedeiro Se propaga pela rede
Entra no computador explorando falhas de segurança (exploit) Sistema Operacional Aplicativo Exploit mais comum: buffer overflow 10 10 10 10

11 CAVALO DE TRÓIA Exige a ação da vítima para se instalar:
Executar um anexo de Fazer download de programa Técnica mais utilizada pelos hackers: Engenharia Social nas suas mais diversas formas 11 11 11 11

12

13

14

15

16 ROOTKIT Programas que escondem a sua presença
tornando impossível a sua detecção pelos mecanismos convencionais Costumam alterar chamadas (API) do sistema operacional: Acesso a Arquivos: não mostram os arquivos maliciosos Identificação de processos: não mostram os processos maliciosos Podem ser instalados no kernel (módulos carregáveis, device drivers) ou nas bibliotecas do S.O. (DLLs). 16 16 16 16

17 HISTÓRIA Elk Cloner: The program with a personality
1982 – Primeiro vírus disseminado Elk Cloner – Infectava disquetes (boot sector) do Apple II A cada 50 boots apresentava um poema: Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it's Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner! 17 17 17 17

18 HISTÓRIA 1983 – Primeiro vírus de laboratório documentado.
Cunhado o termo “Vírus de computador”. 1986 – Primeiros vírus de PC: Brain, ping-pong Eram vírus de boot sector. 1987 – Primeiros vírus de arquivos. 1988 – Robert Morris lançou o primeiro “worm” da Internet derrubando máquinas por 36 horas. 1995 – Primeiro vírus de macro. 18 18 18 18

19 PING-PONG 19 19 19 19

20 HISTÓRIA 1999 – Mass mailing worms (Melissa, I Love You, MyDoom)
2001 – Bots and worms (Code Red, Nimda) Code Red contaminou 350 mil servidores em 12 h 2004 – Ataques Web Windows XP SP2 – firewall ligado por default Portas Web (80 e 443) sempre abertas 20 20 20 20

21 VETORES DE PROPAGAÇÃO Disquetes E-mails
Worms explorando falhas de segurança Sites comprometidos 21 21 21 21

22 AMEAÇAS NA NAVEGAÇÃO Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web Hoje se escondem em páginas de empresas idôneas que foram atacadas sem o conhecimento dos responsáveis. Para se esconder, ficam pouco tempo em cada página ou só se manifestam em 1 a cada N acessos. 22 22 22 22

23 TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO
23 23 23

24

25

26 26 26 26 26

27

28 ATAQUES NA NAVEGAÇÃO Páginas Maliciosas:
Download de programas maliciosos (em geral com engenharia social)‏ Exploit de falhas de segurança do browser Ataques em Active-X, Java ou JavaScript Necessidade de detecção antes de chegar no browser Proteção baseada em base de dados → Proteção Limitada Necessidade de verificação em tempo real 8 28 28 28 28

29 COMO OS SITES SÃO ATACADOS
Explorando falhas de segurança do servidor Web Explorando falhas de segurança da aplicação Web Usando credenciais FTP utilizadas pelo dono do site para fazer upload Nome de Usuários e Senhas trafegam em aberto no FTP. 29 29 29 29

30 BOTNETS Conjuntos de computadores “escravizados” por cybercriminosos
Envio de SPAM Ataques (sabotagem, extorsão) Botnet = Robot network Máquinas comprometidas por vírus, worms ou cavalos de tróia. 30 30 30 30

31 BOTNETS Se comunicam através de um componente IRC
(Internet Relay Chat) que se conecta a um canal de um ou mais servidores IRC. Mais recentemente o Twitter foi usado para a comunicação. 31 31 31 31

32 32

33 DoS – DENIAL OF SERVICE Ataque que faz com que determinado serviço pare de funcionar. DDoS - Distributed DoS Ataque feito de botnets. 33

34 DoS Inundar um link Inundar servidor de e-mail SYN Flood
Mantém conexões TCP semi-abertas, consumindo recursos até a exaustão dos mesmos. PING of Death - Ping com mais de 64K bytes que derrubava o Windows 95 e algumas versões do Linux. Enviar pacotes mal formados que fazem o servidor “crashar”. 34

35 CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE
Sniffers Em redes locais Se houver switches: ARP Poisoning Interceptando nos roteadores/redes no caminho Se for criptografado: Man In the Middle Pode ser aplicado em redes locais com ARP Poisoning 35

36 SSL (SECURE SOCKET LAYER)
Na conexão, cliente envia sua chave pública. Servidor responde com sua chave pública, criptografada pela chave pública do cliente. Cliente responde, pedindo uma chave de sessão (usada para criptografar o resto da comunicação). Servidor envia chave de sessão, criptografada pela chave pública do cliente. A partir desse momento toda a comunicação se dá com a chave de sessão (chave simétrica). 36

37 MAN IN THE MIDDLE Se o cliente não tiver como verificar a chave do servidor, é possível interceptar a comunicação. 37

38 FINGIR SER OUTRA PESSOA
Usando Login/Senha de outra pessoa Sniffer Tentativa e erro: - força bruta - dicionário Engenharia Social Fingir ser outra pessoa em mensagens de , MSN, sites sociais. 38

39 FORÇAR A EXECUÇÃO DE CÓDIGO Vírus e Worms
Usar Engenharia Social para induzir usuário a executar certo programa. Explorar Falhas de Segurança de Programas: Buffer Overflow Code/SQL Injection 39

40 BUFFER OVERFLOW Programa lê dados de entrada assumindo que tem certo valor máximo. Se dados forem maiores que o esperado há um estouro de buffer. Estouro provoca sobreposição de dados de dados na stack (pilha). É inserido código malicioso na stack e endereço de retorno a alterado para a execução dos desse código. Ataque pode vir pela rede ou através de dados (imagens, videos, PDF, .doc) mal formados. 40

41 SQL INJECTION Formulário com campos “usuario” e “senha”:
Teste de login: - SELECT * from usuarios where usu = usuario and password = senha; Se em senha eu preencher: - senha; INSERT INTO usuarios (usu, passwd,priv) VALUES (mariano,qualquer, all) 41

42 WEB2.0 E SEGURANÇA Maior interatividade sempre é uma porta sujeita a ser invadida Grande disponibilidade de informações pessoais. Terreno fértil para o uso de Engenharia Social 42

43 MOBILIDADE E SEGURANÇA
Smarthphones são computadores com CPU, memória, área de armazenamento, sistemas operacional e aplicativos e conectados à internet. Mesmos problemas de segurança que desktops e servidores. 43

44 MOBILIDADE E SEGURANÇA
Já existem vírus para celulares Podemos comprar na Internet programa que dá acesso à camera e microfone dos celulares, bem como acesso às conversas telefônicas. Assim como os notebooks, carregam uma série de informações. Precisamos proteger essas informações em casos de roubos e furtos. 44

45 CLOUD COMPUTING E SEGURANÇA
Segurança dos sistemas e dados a cargo do provedor de serviço “Que bom. Deixo a segurança a cargo de especialistas e menos uma preocupação para mim.” “Não gosto de perder o controle sobre os meus dados.” 45

46 CLOUD COMPUTING E SEGURANÇA
Os sistemas são acessados remotamente. Mais vulneráveis que datacenters isolados. É necessária especial atenção para autenticação e controle de acesso. As ferramentas de segurança podem utilizar serviços e informações na nuvem para proteger os seus usuários. 46

47 OS ANTIVÍRUS FUNCIONAM?
47

48 OS ANTIVÍRUS FUNCIONAM?
Detecção por assinatura é muito eficiente mas tem problema da janela de tempo entre a difusão da ameaça na internet e o usuário ter a assinatura no seu computador. 48

49 OS ANTIVÍRUS FUNCIONAM?
Detecção por assinatura é muito eficiente mas tem o problema da janela de tempo entre a difusão da ameaça na internet e o usuário ter a assinatura no seu computador. Os antivírus precisam incorporar outras técnicas como análise comportamental (ex.: IDP do AVG) e bloqueio de sites comprometidos 49

50 ANTIVÍRUS SÃO SUFICIENTES?
Antivírus e outras ferramentas como firewall, antispam, filtros de conteúdo são apenas parte da solução Conscientização e comportamento são a outra parte. Uso de senhas fortes, não acreditar que ganhou na loteria se sequer apostou, fazer atualizações de segurança, etc. 50 50 50 50

51 CASO ROBERT MOORE Preso em 2007.
Parte de uma quadrilha que roubava serviços de VoIP e vendia a seus clientes. Invadiu centenas de empresas, sendo 15 de telecomunicação. Afirma que 70% das empresas que ele scaneou e 45 a 50% dos provedores de VoIP eram inseguros. Maior falha de segurança: senhas default. 51 51 51 51

52 DÚVIDAS? 52 52 52 52 52

53 Mariano Sumrell Miranda
OBRIGADO! Mariano Sumrell Miranda 53 53 53 53 53