Luiz Sales Rabelo é um especialista brasileiro em crimes cibernéticos que trabalhou em várias funções relacionadas à segurança digital e investigação de fraudes. O documento discute conceitos básicos sobre guerra cibernética, incluindo atores, armas e casos históricos de ataques cibernéticos significativos.
4. Luiz Sales Rabelo
• Coordenador de Prevenção a Fraudes – Nextel (2012)
• Consultor TechBiz Forense Digital (2009 a 2012)
• Certificações internacionais EnCE e ACE
• Membro Comissão Crimes Alta Tecnologia OAB/SP
• Membro HTCIA – U.S. Investigation Association
• NÃO SOU ADVOGADO!!
7. Curiosidade
Cadetes da academia militar americana de
West Point realizando um treinamento para
Guerra Cibernética, junto com outras
academias e a NSA. Os militares simulavam
um um país sob cyber ataque e treinavam
técnicas de defesa e identificação dos ataques
realizados pelos especialistas da NSA.
[video]
8. Conceitos Básicos
Infraestrutura Crítica de um país:
• Fornecimento de energia e água
• Sistemas de telecomunicações
• Sistemas financeiros
• Controles de tráfego aéreo
“…a tecnologia da informação constitui o enlace
de controle (control loop) de praticamente
todas as infraestruturas críticas…”
FONTE: Making the Nation Safer (NCR 2002)
9. Conceitos Básicos
Guerra cibernética não é:
• Cyber crime
• Cyber espionage
• Hacktivismo
• Cyber terrorismo
Mas estes conceitos
estão relacionados!
11. Conceitos Básicos
Hacktivismo:
Hacktivismo (uma junção de hack e ativismo) é normalmente
entendido como manipular bits (hacking) para promover ideologia
política - promovendo expressão política, liberdade de expressão,
direitos humanos, ou informação ética.
Atividades hacktivistas espalham muitos ideais políticos. Suas
crenças incluem que o acesso a informação é um direito humano
básico.
[video]
15. Cyber armas
Comparado com operações militares tradicionais,
os ataques cibernéticos são relativamente
baratos...
16. Casos de Cyber Ataques
Titan Rain
– Entre 2002-2005
– Um hacker extrangeiro desconhecido invadiu a rede do
Departamento de Defesa Americano
– 10-20 terabytes de informações sensíveis foram roubados
17. Casos de Cyber Ataques
Abril 2007, Estônia
- Protestos nas ruas
– AtaqueDDoS massivo originário da Russia
– O accesso Internet de todo o país foi paralisado
18. Casos de Cyber Ataques
Agosto 2008, Geórgia
– Disputa pela província da Ossetia do Sul
– Ataque militar Russo terrestre e aéreo precedido por
nacionalistas via cyber espaço
– Sites Pró-Russia com instruções para fazer ataques
denial of service (DoS) na Geórgia
– Sites de notícias e do governo fora do ar
19. Casos de Cyber Ataques
2009: Ataques de 04 de Julho
• – Direcionados a vários alvos nos EUA e Coréia do Sul
• – Alvos comerciais e governo, incluindo setor
financeiro, mídia, e e-Commerce
20. Casos de Cyber Ataques
– Janeiro 2010: Ataque ao Google
– Operação Aurora
– 34 outras empresas atingidas
[video]
21. Operação Aurora
A mídia especializada tem feito alguns comentários sobre
o anúncio de que mais de 30 (100?!) empresas americanas
(Google, Adobe, Microsoft, Juniper, Symantec, Yahoo,
Northrup Grumman, Dow Chemical) foram atacadas de
forma coordenada e praticamente simultânea por hackers
supostamente patrocinados pelo governo Chinês.
O principal objetivo dos atacantes foi a permanência
prolongada nas redes internas das empresas afetadas para
obtenção de informações privilegiadas e propriedade
intelectual.. A Inglaterra também divulgou que têm sido
atacada pelos chineses de maneira semelhante.
23. Caso StuxNet
Os handlers do Internet Storm Center, depois de muito tempo de calmaria (verde)
mudaram hoje o InfoCon para amarelo;
Isto porque já está disponível e em plena atividade de exploração um módulo para o
metasploit que explora a vulnerabilidade LNK do Windows;
No domingo, o exploit-db - antigo milw0rm - já havia divulgado código para explorar a
vulnerabilidade;
Para empresas: enquanto a Microsoft não lança um patch;
Alguns workarounds sugeridos pela Microsoft vão desde desabilitar o WebDav até editar o
registro do Windows para impedir a exibição de ícones em arquivos de atalho (.LNK) -
impedindo assim que a exploração tenha sucesso
Tudo começou a ficar claro quando uma série de posts de um analista da Kaspersky
trouxeram a tona um malware relativamente avançado - chamado StuxNet - que usa em
seus executáveis uma assinatura digital válida da empresa Realtek (já revogada pela
Verisign) e se prolifera via uma técnica diferente da comumente utilizada por malwares
que infectam dispositivos USB;
Depois da revogação do certificado da Realtek, o StuxNet passou a usar assinatura digital
válida, agora da empresa Jmicron (também revogada depois de algumas horas).
24. Caso StuxNet
O uso dos certificados digitais da Realtek e da Jmicron podem indicar uma infecção com um
trojan como o Zeus nestas empresas (ele rouba certificados digitais). Além disto o fato de
revogar os certificados não ajudar muito, já que não impede que as atuais variantes do
malware funcionem.
Pra complicar um pouco mais, o Stuxnet possui funcionalidades de rootkit e esconde arquivos
.lnk e ~WTRxxxx.tmp da raiz de mídias removíveis;
Para piorar a situação, o "StuxNet" deixou claro que sistemas de controle de infra-estruturas
críticas "SCADA" também tem problemas de segurança básicos (como senhas default de bancos
de dados hardcoded que vazam inevitavelmente - neste caso há dois anos atrás);
Sistemas SCADA que rodam o software WinCC da Siemens para Windows são os alvos do worm
StuxNet (estes sistemas só executam programas assinados digitalmente - por isto o uso de
certificados da RealTek e da Jmicron) e já há vários reportes de ataques à sistemas de infra-
estrutura crítica da Índia e do Irã, Alemanha e Estados Unidos, além de industrias e grides de
energia, por exemplo;
A alemã Siemens se pronunciou dizendo que não vai mudar a senha default do software, mas
confirmou infecção de clientes do software produzido por ela; A empresa disponibilizou uma
página de suporte unificada com todas as informações sobre o StuxNet.
O US-CERT publicou um boletim (pdf) completo sobre o assunto e a Symantec também
publicou detalhes da instalação e funcionamento do trojan - incluindo funcionalidades de
roubo de informações (arquivos .sav, .ldf, .mcp, s7p do sistema SCADA da Siemens.. );
26. Cenários de Cyber Guerra
• Um cyber ataque causando um cyber conflito
• Um cyber ataque causando uma resposta
convencional (guerra tradicional)
• Uma guerra tradicional usando recursos de
Guerra Cibernética
28. Atos de Guerra
O artigo "Cyber war: Modern warfare 2.0" tem
um trecho interessante, que diz "To be in a legal
state of war, you must formally declare war," e
por isso o artigo prefere utilizar o termo "cyber
conflict" para os acontecimentos de hoje em dia,
uma vez que "no two nations are formally at
cyber war”.
Fonte: http://www.itpro.co.uk/621928/cyber-war-modern-warfare-2-0
29. Atos de Guerra
Ainda não houve um cyber ataque considerado
um “ato de guerra”:
Estônia e Geórgia
– Parte de conflitos maiores
– Sem mortes, perda de território, destruição ou
impacto em serviços críticos
Ataques de 04 de Julho
– Baixo nível, “demonstração”
31. Tratados Cibernéticos
ONU
– 23 de Julho, 2010: 15 nações propuseram um
acordo de segurança cibernética
OTAN
–Maio 2008: Cooperative Cyber Defence Centre
of Excellence (CCDCOE)
–Estimulando capacidades e acordos operacionais
32. Tratados Cibernéticos
EUA
• US “Cyber Czar”
• US Cyber Command ($5 bilhões)
• Gastos do governo($6 bilhões)
• Investimentos em agências de inteligência
• Fornecedores do Dept. de Defesa estão
expandindo seus portifólios
33. Tratados Cibernéticos
Rússia
Outubro 2009: Militares Russos abriram um centro para
Guerra de Informação Defensiva
Fevereiro 2010: Nova Doutrina Militar Oficial
–Discute segurança da informação no contexto militar
–Interpreta guerra de informação como um ato de guerra
–Desenvolve a guerra da informação
–Moderniza os sistemas de informação
34. Tratados Cibernéticos
China
Patriotic hacking
Expandindo o Exército de Libertação popular
(People’s Liberation Army –PLA)
Habilidade de direcionar as atividades da
comunidade hacker e underground
Usa grupos hacker para iniciativas de roubo de
informações
Fornece infra-estrutura para a Coréia do Norte
35. Tratados Cibernéticos
Brasil
- Dez. 2008: Estratégia de Defesa Nacional do Ministério da
Defesa
- DSIC e Forças Armadas desenvolvendo a estratégia de Guerra
Cibernética
–Maio 2010: Acordo com a Rússia de “Não Agressão por Armas de
Informação”
Exército Brasileiro
–Centro de Comunicações e Guerra Eletrônica
–Parceria com Panda Security
–Treinamento CISSP
36. Tratados Cibernéticos
China
Patriotic hacking
Expandindo o Exército de Libertação popular
(People’s Liberation Army –PLA)
Habilidade de direcionar as atividades da
comunidade hacker e underground
Usa grupos hacker para iniciativas de roubo de
informações
Fornece infra-estrutura para a Coréia do Norte
37. Para pensar
Novo cenário de ameaças:
• Ameaças extremamente complexas
• APT
• Zero-days
• Grupos especializados
Motivo, atacante e origem são incertos:
• Qualquer coisa pode ser motivo
• Motivação político-estratégica
47. Hacktivismo
2010: Wikileaks e Anonymous
redefinem o Hacktivismo
90’s: Defacement
Hoje:
• Roubo e vazamento de dados para
ridicularizar a vítima
• DDoS como forma de protesto
51. Hacktivismo – Alvos
• Governos
• Forças Militares e Policiais
• Empresas e entidades
• RIAA
• HBGary
• Federal Reserve
• Operation "Empire State Rebellion"
• Booz Allen Hamilton
• #OpMetalGear
• Sony