• Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
4,136
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
127
Comments
1
Likes
3

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME Mariano Sumrell Miranda
  • 2. APRESENTAÇÃO
    • Mariano Sumrell Miranda
    • [email_address]
    • Winco Tec. e Sistemas
      • Empresa com + 10 anos de desenvolvimento de tecnologia de segurança e conectividade
      • Fabricante do Winconnection
    • - Controle de Acesso à Internet, Filtro de Instant Messaging,
    • Filtro de e-mail e servidor de e-mail
      • Fabricante do Winco Edge Security
    • - Filtro de Instant Messaging e Filtro de e-mail
      • Distribuidor no Brasil do AVG
    • - Alguns componentes do AVG feitos pela Winco
  • 3. AMEAÇAS NA INTERNET
    • Antigamente Hackers eram motivados por:
        • fama
        • vencer desafios
        • provar conceitos
  • 4. HACKERS HOJE
    • Cybercrime atividade profissional (criminosa)
        • Sofisticados e altamente organizados
    • Atividades
        • Espionagem industrial
        • Sabotagem de concorrentes
        • Roubo de Informações como cartões de créditos e senhas de banco
        • Envio de SPAM
        • Click Fraud
        • Chantagem e extorsão
          • - Sequestro de HD
          • - Ameaça de parar o sistemas computacional
  • 5.
    • Venda de produtos e serviços.
      • Programa DDoS Bot: US$ 400
      • Envio de Spam: US$ 150 / milhão
      • Info sobre cartões de crédito: US$ 0,10 a US$25
      • Web Exploit ToolKit (WET): US$ 20 a US$400
      • Aluguel/Venda de Botnets
      • Informações Bancárias
      • Senhas de contas de e-mail
      • Aluguel de local para entrega de mercadorias
      • Conversão para dinheiro
    CYBERCRIME
  • 6.
    • Pela forma de propagação
      • Vírus
      • Worm
      • Cavalo de Tróia
    • Pelo atividade realizada
      • Backdoor
      • Spyware
      • Keylogger e screenlogger
      • Downloaders
      • Etc
    • Por Características Especiais
      • Rootkit
    CLASSIFICAÇÃO DE MALWARE
  • 7.
    • Se anexa a programas hospedeiros
    • Altera início de programa para executar o código malicioso
    • Código malicioso costuma infectar outros arquivos, inclusive pelo compartilhamento de rede
    • Pode criar novos executáveis e, através da Registry do Windows forçar a sua execução na inicialização da máquina.
    VÍRUS
  • 8.  
  • 9.  
  • 10.
    • Não precisa de programa hospedeiro
    • Se propaga pela rede
    • Entra no computador explorando falhas de segurança (exploit)
      • Sistema Operacional
      • Aplicativo
    • Exploit mais comum: buffer overflow
    WORM
  • 11.
    • Exige a ação da vítima para se instalar:
      • Executar um anexo de e-mail
      • Fazer download de programa
    • Técnica mais utilizada pelos hackers:
      • Engenharia Social nas suas mais diversas formas
    CAVALO DE TRÓIA
  • 12.  
  • 13.  
  • 14.  
  • 15.  
  • 16.
    • Programas que escondem a sua presença
    • tornando impossível a sua detecção pelos
    • mecanismos convencionais
    • Costumam alterar chamadas (API) do sistema operacional:
      • Acesso a Arquivos: não mostram os arquivos maliciosos
      • Identificação de processos: não mostram os processos maliciosos
    • Podem ser instalados no kernel (módulos carregáveis,
    • device drivers) ou nas bibliotecas do S.O. (DLLs).
    ROOTKIT
  • 17.
    • 1982 – Primeiro vírus disseminado
      • Elk Cloner – Infectava disquetes (boot sector) do Apple II
      • A cada 50 boots apresentava um poema:
    • Elk Cloner: The program with a personality
    • It will get on all your disks
    • It will infiltrate your chips
    • Yes it's Cloner!
    • It will stick to you like glue
    • It will modify RAM too
    • Send in the Cloner!
    HISTÓRIA
  • 18.
    • 1983 – Primeiro vírus de laboratório documentado.
    • Cunhado o termo “Vírus de computador”.
    • 1986 – Primeiros vírus de PC: Brain, ping-pong
      • Eram vírus de boot sector.
    • 1987 – Primeiros vírus de arquivos.
    • 1988 – Robert Morris lançou o primeiro “worm” da
    • Internet derrubando 6.000 máquinas por 36 horas.
    • 1995 – Primeiro vírus de macro.
    HISTÓRIA
  • 19. PING-PONG
  • 20.
    • 1999 – Mass mailing worms
    • (Melissa, I Love You, MyDoom)
    • 2001 – Bots and worms (Code Red, Nimda)
      • Code Red contaminou 350 mil servidores em 12 h
    • 2004 – Ataques Web
      • Windows XP SP2 – firewall ligado por default
      • Portas Web (80 e 443) sempre abertas
    HISTÓRIA
  • 21.
    • Disquetes
    • E-mails
    • Worms explorando falhas de segurança
    • Sites comprometidos
    VETORES DE PROPAGAÇÃO
  • 22.
    • Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web
    • Hoje se escondem em páginas de empresas idôneas que foram atacadas sem o conhecimento dos responsáveis.
    • Para se esconder, ficam pouco tempo em cada página ou só se manifestam em 1 a cada N acessos.
    AMEAÇAS NA NAVEGAÇÃO
  • 23. TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO
  • 24.  
  • 25.  
  • 26.  
  • 27.  
  • 28.
    • Páginas Maliciosas:
      • Download de programas maliciosos
    • (em geral com engenharia social) ‏
      • Exploit de falhas de segurança do browser
      • Ataques em Active-X, Java ou JavaScript
    • Necessidade de detecção antes de chegar no browser
    • Proteção baseada em base de dados -> Proteção Limitada
    • Necessidade de verificação em tempo real 8
    ATAQUES NA NAVEGAÇÃO
  • 29.
    • Explorando falhas de segurança do servidor Web
    • Explorando falhas de segurança da aplicação Web
    • Usando credenciais FTP utilizadas pelo dono do site
    • para fazer upload
      • Nome de Usuários e Senhas trafegam em aberto no FTP.
    COMO OS SITES SÃO ATACADOS
  • 30.
    • Conjuntos de computadores “escravizados” por
    • cybercriminosos
      • Envio de SPAM
      • Ataques (sabotagem, extorsão)
    • Botnet = Ro bot net work
    • Máquinas comprometidas por vírus, worms ou
    • cavalos de tróia.
    BOTNETS
  • 31. BOTNETS
    • Se comunicam através de um componente IRC
    • (Internet Relay Chat) que se conecta a um canal de um
    • ou mais servidores IRC.
    • Mais recentemente o Twitter foi usado para a comunicação.
  • 32.  
  • 33.
    • Ataque que faz com que determinado serviço pare
    • de funcionar.
    • DDoS - Distributed DoS
      • Ataque feito de botnets.
    DoS – DENIAL OF SERVICE
  • 34.
    • Inundar um link
    • Inundar servidor de e-mail
    • SYN Flood
      • Mantém conexões TCP semi-abertas, consumindo recursos até a exaustão dos mesmos.
    • PING of Death - Ping com mais de 64K bytes que derrubava
    • o Windows 95 e algumas versões do Linux.
    • Enviar pacotes mal formados que fazem o servidor “crashar”.
    DoS
  • 35.
    • Sniffers
      • Em redes locais
      • Se houver switches: ARP Poisoning
    • Interceptando nos roteadores/redes no caminho
    • Se for criptografado: Man In the Middle
      • Pode ser aplicado em redes locais com ARP Poisoning
    CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE
  • 36.
    • Na conexão, cliente envia sua chave pública.
    • Servidor responde com sua chave pública, criptografada pela chave pública do cliente.
    • Cliente responde, pedindo uma chave de sessão (usada para criptografar o resto da comunicação).
    • Servidor envia chave de sessão, criptografada pela chave pública do cliente.
    • A partir desse momento toda a comunicação se dá com a chave de sessão (chave simétrica).
    SSL (SECURE SOCKET LAYER)
  • 37.
    • Se o cliente não tiver como verificar a chave do servidor, é possível interceptar a comunicação.
    MAN IN THE MIDDLE
  • 38.
    • Usando Login/Senha de outra pessoa
      • Sniffer
      • Tentativa e erro:
      • - força bruta
      • - dicionário
    • Engenharia Social
    • Fingir ser outra pessoa em mensagens de e-mail,
    • MSN, sites sociais.
    FINGIR SER OUTRA PESSOA
  • 39.
    • Vírus e Worms
    • Usar Engenharia Social para induzir usuário a executar
    • certo programa.
    • Explorar Falhas de Segurança de Programas:
      • Buffer Overflow
    • Code/SQL Injection
    FORÇAR A EXECUÇÃO DE CÓDIGO
  • 40.
    • Programa lê dados de entrada assumindo que tem certo valor máximo.
    • Se dados forem maiores que o esperado há um estouro de buffer.
    • Estouro provoca sobreposição de dados de dados na stack (pilha).
    • É inserido código malicioso na stack e endereço de retorno a alterado para a execução dos desse código.
    • Ataque pode vir pela rede ou através de dados (imagens, videos, PDF, .doc) mal formados.
    BUFFER OVERFLOW
  • 41.
    • Formulário com campos “usuario” e “senha”:
      • Teste de login:
    • - SELECT * from usuarios where usu = usuario and password = senha;
    • Se em senha eu preencher:
    • - senha; INSERT INTO usuarios (usu, passwd,priv) VALUES
    • (mariano,qualquer, all)
    SQL INJECTION
  • 42.
    • Maior interatividade sempre é uma porta sujeita a ser invadida
    • Grande disponibilidade de informações pessoais.
      • Terreno fértil para o uso de Engenharia Social
    WEB2.0 E SEGURANÇA
  • 43.
    • Smarthphones são computadores com CPU, memória,
    • área de armazenamento, sistemas operacional e
    • aplicativos e conectados à internet.
    • Mesmos problemas de segurança que desktops
    • e servidores.
    MOBILIDADE E SEGURANÇA
  • 44.
    • Já existem vírus para celulares
    • Podemos comprar na Internet programa que dá acesso
    • à camera e microfone dos celulares, bem como acesso
    • às conversas telefônicas.
    • Assim como os notebooks, carregam uma série de
    • informações. Precisamos proteger essas informações
    • em casos de roubos e furtos.
    MOBILIDADE E SEGURANÇA
  • 45.
    • Segurança dos sistemas e dados a cargo do provedor de serviço
    • “ Que bom. Deixo a segurança a cargo de especialistas e menos uma preocupação para mim.”
    • “ Não gosto de perder o controle sobre os meus dados.”
    CLOUD COMPUTING E SEGURANÇA
  • 46.
    • Os sistemas são acessados remotamente. Mais
    • vulneráveis que datacenters isolados.
    • É necessária especial atenção para autenticação e
    • controle de acesso.
    • As ferramentas de segurança podem utilizar serviços e informações na nuvem para proteger os seus usuários.
    CLOUD COMPUTING E SEGURANÇA
  • 47. OS ANTIVÍRUS FUNCIONAM?
  • 48.
    • Detecção por assinatura é muito eficiente mas tem
    • problema da janela de tempo entre a difusão da
    • ameaça na internet e o usuário ter a assinatura no
    • seu computador.
    OS ANTIVÍRUS FUNCIONAM?
  • 49.
    • Detecção por assinatura é muito eficiente mas tem o
    • problema da janela de tempo entre a difusão da
    • ameaça na internet e o usuário ter a assinatura no
    • seu computador.
    • Os antivírus precisam incorporar outras técnicas como
    • análise comportamental (ex.: IDP do AVG) e bloqueio
    • de sites comprometidos
    OS ANTIVÍRUS FUNCIONAM?
  • 50. ANTIVÍRUS SÃO SUFICIENTES?
    • Antivírus e outras ferramentas como firewall, antispam,
    • filtros de conteúdo são apenas parte da solução
    • Conscientização e comportamento são a outra parte.
      • Uso de senhas fortes, não acreditar que ganhou na loteria se sequer apostou, fazer atualizações de segurança, etc.
  • 51. CASO ROBERT MOORE
    • Preso em 2007.
    • Parte de uma quadrilha que roubava serviços de VoIP e vendia a seus clientes.
    • Invadiu centenas de empresas, sendo 15 de telecomunicação.
    • Afirma que 70% das empresas que ele scaneou e 45 a 50% dos provedores de VoIP eram inseguros.
    • Maior falha de segurança: senhas default.
  • 52. DÚVIDAS?
  • 53. OBRIGADO! Mariano Sumrell Miranda [email_address]