SlideShare uma empresa Scribd logo

Worms: Conheça o inimigo e defenda-se

Nelson Brito
Nelson Brito

Uma visão das ameaças digitais (Worms) e quais a possíveis tendências futuras que elas poderão significar no dia-a-dia... Esta apresentação foi criada e atualizada em 2004, dando origem a atual apresentação: - Worms 2.0: Evolution — From SyFy to "You Die"

Tecnologia
1 de 53
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. worms conheça O INIMIGO e defenda-se
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. internet SECURITY systems esperança NÃO É estratégia
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. ““QUEM NÃO FORQUEM NÃO FOR precavidoprecavido E FIZER POUCO DEE FIZER POUCO DE SEUSSEUS adversáriosadversários, CERTAMENTO SERÁ, CERTAMENTO SERÁ capturado e abatidocapturado e abatido POR ELES.”POR ELES.” SUN TZUSUN TZU A arte da guerra
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. WORM: definindo E DIFERENCIANDO OS conceitos
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. ““wormworm É UM PROGRAMAÉ UM PROGRAMA auto-suficienteauto-suficiente (OU UM(OU UM CONJUNTO DE PROGRAMAS), QUE POSSUÍ HABILIDADE DECONJUNTO DE PROGRAMAS), QUE POSSUÍ HABILIDADE DE disseminar-sedisseminar-se ATRAVÉS DE CÓPIAS (OU PARTES)ATRAVÉS DE CÓPIAS (OU PARTES) FUNCIONAIS DELE MESMO A OUTROS SISTEMAS DEFUNCIONAIS DELE MESMO A OUTROS SISTEMAS DE COMPUDORES (NORMALMENTE ATRAVÉS DECOMPUDORES (NORMALMENTE ATRAVÉS DE conexõesconexões de redede rede). NOTE QUE DIFERENTEMENTE DE UM). NOTE QUE DIFERENTEMENTE DE UM vírusvírus,, WORMS NÃOWORMS NÃO precisam deprecisam de OUTROSOUTROS programasprogramas PARA ANEXAR-SE.”PARA ANEXAR-SE.” VIRUS-L/comp.virus FAQVIRUS-L/comp.virus FAQ Definindo
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Diferenciando • Vírus: – Necessita de um programa para disseminar-se. • Pseudo WORMS: – Necessita de intervenção externa para disseminar-se. • WORMS: – Auto-suficiente ao disseminar-se.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. POR QUE DEVEMOS CONHECER a história?
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Qual o conceito de história? • Processo. • Conhecimento. • Campo do conhecimento.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. História = Conhecimento ““AA históriahistória É O PROCESSO DE CONHECER OSÉ O PROCESSO DE CONHECER OS acontecimentosacontecimentos (FATOS), EM CAMPOS DE(FATOS), EM CAMPOS DE conhecimentoconhecimento, ONDE, ONDE aprendemosaprendemos COM OCOM O PASSADO, BUSCANDO PORPASSADO, BUSCANDO POR experiênciasexperiências, TANTO BEM, TANTO BEM COMO MAL SUCEDIDAS!”COMO MAL SUCEDIDAS!”
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Fatos (acontecimentos) • Fato #01: – Segundo SANS dura apenas 20 minutos para um usuário, em sua primeira conexão com a Internet, ser atacado por um WORM ou HACKER. • Fato #02: – 22% de totas as vulnerabilidades são de “Buffer Overflow” (stack, heap, return-in-libc, interger, format string, etc...). • Fato #03: – Qualquer usuário/empresa é alvo em potencial.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Lições aprendidas? • Lições aprendidas com o primeiro WORM. – A propósito, qual foi o primeiro WORM? • Lições aprendidas com as últimas ameaças híbridas. • Lições aprendidas este ano (2004).
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Realmente aprendemos as lições? $100,000.00 $2,620,000,000.00 $640,000,000.00 $1,250,000,000.00 $2,000,000,000.00 $500,000,000.00 Morris Worm CodeRed Nimda Slammer Blast er Sasser* Source: Computer Economics
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. O big-bang DOS worms
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. 1975 – The Shockwave Rider • “Yes, sir! I´m quite aware that an worm of that type is theoretically impossible! But the fact stands, he´s done it, and now it´s so goddamn comprehensive that it can´t be killed. Not short of demolishing the net!" (247, Ballantine Books, 1975)
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. 1979 – IEN159 WORM • John Shoch e Jon Hupp, do Centro de Pequisas da Xerox (Palo Alto Research Center), descobrem os WORMS de computadores. • Procura por sistemas na rede com CPU em estado “IDLE”, executando outras tarefas distribuídas. • INOFENSIVO.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. MORRIS WORM: o dia EM QUE A INTERNET quase parou
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Um teste? • Primeira infecção: 02/11/1988. • Um teste feito por uma aluno da Cornell University, Robert T. Morris: – Filho do cientista chefe de uma agência governamental (USA). • Uma ameaça fora de controle: – Vários erros de programação levaram a uma “catástrofe”.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Restultado • Infectou quase toda rede mundial (conhecida hoje como Internet): – Arpanet; – Milnet; – NSFnet; – CSnet. • Resultou na criação do CERT e na prisão de Morris. • Atualmente Morris é professor do MIT: – http://www.pdos.lcs.mit.edu/~rtm/
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. AS novas ameaças HÍBRIDAS
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Uma novo desafio • Desde 1988 a Internet cresceu vertigionasamente. • Outros fatores devem ser considerados: – Instabilidade durante os minutos/horas/dias inicias do ataques, ex: • Roteamento; • Equipamentos de rede; • Serviços píblicos; • Instituições financeiras; • Sistemas SCADA.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. CODERED: após ANOS, eles VOLTARAM
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Uma nova era começa • HTTP como protolcolo principal de propagação. • Impossível de utilizar proteção de controle de acesso lógico (Firewall) para evitá-la. • CodeRed v1, v2 e II: afinal de contas qual a diferença?
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. NIMDA: A ameaça MAIS heterôgenea
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Totalmente eficaz • Várias vulnerabilidades exploradas, entre elas as senhas fracas. • Utilização de uma capacidade única de explorar máquinas já contaminadas por outros WORMS. • Primeira tentativa de uma ameaça híbrida: – Sevidores e estações de trabalho (usuários finais) eram alvos.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. WARHOL WORM: teoria E prática
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Quem é Warhol? • Andy Warhol (1928-1987): – “In the future, everybody will have 15 minutes of fame!” (No futuro, todos terão 15 minutos de fama!); • Programas na MTV (USA): – "Andy Warhol's TV" ; – "Andy Warhol's Fifteen Minutes"
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. O que é Warhol WORM? • Teoria criada por Nicholas C. Waver (Berkeley University). • Principais técnicas utilizadas: – HITLIST; – Permutation scans; – Patiotioned permutation scans; – Random scans. • Principal objetivo: – Infectar o maior número (ou todos) os alvos vulneráveis.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Já existe algum “Warhol WORM”? • Slammer foi o primeiro, porém mal sucedido: – Erro na geração do SEED utilizado pela função de “Random Scan” (PRNG).
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. SLAMMER: O dia EM QUE A INTERNET parou
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Rápido e mortal • Tamanho de apenas 376 bytes. • Um único pacote (UDP) infecta a máquina vulnerável. • Paralização da Internet. • Reincidência em muitas corporações.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Linha de tempo 184 dias (≈ 06 meses) 24/7/2002 MS02-039 DoMS02-039 aoSlammer 1/8/2002 Exploit Público (BackHat) 25/1/2003 Slammer Worm Hoje Slammer Continua Atacando
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Paralização da Internet ““SLAMMER’S IMPACT ONSLAMMER’S IMPACT ON emergencyemergency SERVICES,SERVICES, THETHE internetinternet BACKBONE,BACKBONE, airlinesairlines ANDAND financialfinancial SERVICES WASSERVICES WAS short-livedshort-lived BUTBUT remarkableremarkable GIVEN THE ABSENSE OF ANYGIVEN THE ABSENSE OF ANY DESTRUCTIVE PAYLOAD.”DESTRUCTIVE PAYLOAD.” cnncnn ““IN THIS CASE, THEIN THIS CASE, THE customercustomer WASWAS affectedaffected.. PEOPLE WEREN’T GETTING DIAL TONES; AIRPLANESPEOPLE WEREN’T GETTING DIAL TONES; AIRPLANES COULDN’T FLY; ATM WEREN’T GIVING CASH.”COULDN’T FLY; ATM WEREN’T GIVING CASH.” peter allorpeter allor DIRECTOR OF OPERATIONS FOR IT-ISACDIRECTOR OF OPERATIONS FOR IT-ISAC http://www.it-isac.org/http://www.it-isac.org/
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação com outros WORMS 6,000 359,000 450,000 75,000 188,000 700,000
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Propagação
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. A mais rápida propagação por minuto 3 460 208 2,500 44 243 Morris Worm CodeRed Nimda Slammer Blast er Sasser Source: Internet Security Systems
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. BLASTER: O INÍCIO DE UMA nova era
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Todos estão vulneráveis • A história é escrita: – A primeira grande vulnerabilidade que colocavam todos vulneráveis, do Windows NT 4 SP6a ao Windows 2003. • Dois vetores podem ser explorados: – IRemoteActivation – ISystemActivator – A maioria dos IDSes apenas reconhecem os ataques ao segundo vetor. • Utilização de um TEMPLATE de WORM.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Linha de tempo 25 dias (< 01 mês) 16/7/2003 MS03-026 DoMS03-026 aoBlaster 25/7/2003 Exploit Público 10/8/2003 Blaster Worm Hoje Blaster Continua Atacando
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. SASSER: um NOVO pesadelo
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. A história se repete • A história é escrita: – A segunda grande vulnerabilidade que colocavam todos vulneráveis, do Windows NT 4 SP6a ao Windows 2003. • Utilização de um TEMPLATE de WORM. • Funcionalidade de reconhecimento automático do Service Pack. • Primeiro momento onde as probabilidades apontavam para uma “The Perfect Storm”.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Linha de tempo 18 dias (< 01 mês) 13/4/2004 MS04-011 DoMS04-011 aoSasser 25/4/2004 Exploit Público 1/5/2004 Sasser Worm Hoje Sasser Continua Atacando
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. O QUÊ o futuro NOS reserva
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. “The perfect storm” (Fúria em Alto Mar) • Circunstâncias perfeitas. • Uma ou mais vulnerabilidades sendo exploradas. • Independente de Sistemas Operacionais. • Furtivo. • Hostil. • Direcionado a um determinado alvo: – Cyber-terrorismo; – Infowar; – Espionagem, incluindo a espionagem industrial.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação entre os últimos WORMS 184 dias (≈ 06 meses) 24/7/2002 MS02-039 DoMS02-039 aoSlammer 1/8/2002 Exploit Público (BackHat) 25/1/2003 Slammer Worm Hoje Slammer Continua Atacando
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação entre os últimos WORMS 25 dias (< 01 mês) 16/7/2003 MS03-026 DoMS03-026 aoBlaster 25/7/2003 Exploit Público 10/8/2003 Blaster Worm Hoje Blaster Continua Atacando
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação entre os últimos WORMS 18 dias (< 01 mês) 13/4/2004 MS04-011 DoMS04-011 aoSasser 25/4/2004 Exploit Público 1/5/2004 Sasser Worm Hoje Sasser Continua Atacando
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. ANTES QUE SEJA TARDE, defenda-se
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Novo foco • Foco na proteção em profundidade. • Proteção para todas as camadas: – Rede; – Servidores; – Estações de trabalho (notebooks). • Mecanismos que ajudem a identicar e parar as ameaças: – Firewalls; – IDS; – IPS; – Etc... • Estão todos convidados a darmos continuidade a este debate.
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Q&A perguntas E respostas
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Dúvidas
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. nelson brito <NBRITO@ISS.NET> system engineer & x-force EDUCATION instructor

Recomendados

Anonimato na Web
Anonimato na Web Anonimato na Web
Anonimato na Web Cassio Ramos
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialCassio Ramos
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula InauguralCassio Ramos
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança DigitalAdão José Oliveira Elias
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasJefferson Macedo
 
Segurança
SegurançaSegurança
SegurançaBetaBetuxa
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFelipe Pereira
 

Recomendados

Anonimato na Web
Anonimato na Web Anonimato na Web
Anonimato na Web Cassio Ramos
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialCassio Ramos
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula InauguralCassio Ramos
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança DigitalAdão José Oliveira Elias
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasJefferson Macedo
 
Segurança
SegurançaSegurança
SegurançaBetaBetuxa
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFelipe Pereira
 
Network Security
Network SecurityNetwork Security
Network Securityjuanviscaino
 
The Suite Club Presentazione English Power
The Suite Club Presentazione English PowerThe Suite Club Presentazione English Power
The Suite Club Presentazione English Powermasnas
 
Inception: A reverse-engineer horror History
Inception: A reverse-engineer horror HistoryInception: A reverse-engineer horror History
Inception: A reverse-engineer horror HistoryNelson Brito
 
miniOMNIAlog - Short Version
miniOMNIAlog - Short VersionminiOMNIAlog - Short Version
miniOMNIAlog - Short VersionNEXT INDUSTRIES SRL
 
Apresentação Soluções Vísent -Awards
Apresentação Soluções Vísent -AwardsApresentação Soluções Vísent -Awards
Apresentação Soluções Vísent -AwardsRicardo Bassoi
 
System Security on Cloud
System Security on CloudSystem Security on Cloud
System Security on CloudTu Pham
 
CISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureCISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureKarthikeyan Dhayalan
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017Carol Smith
 
Rede mundial de computadores
Rede mundial de computadoresRede mundial de computadores
Rede mundial de computadoresRodrigo Motta
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iTema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iacmartins9
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iTema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iacmartins9
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queO que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queGuilhermeVolpini3
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresCesar Augusto Pinheiro Vitor
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoFernando Gomes Chaves
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoLucasMansueto
 
Ppt Imd
Ppt ImdPpt Imd
Ppt ImdPaulo Cristelo
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Internet trabalho
Internet trabalhoInternet trabalho
Internet trabalhoLML0101
 

Mais conteúdo relacionado

Destaque

The Suite Club Presentazione English Power
The Suite Club Presentazione English PowerThe Suite Club Presentazione English Power
The Suite Club Presentazione English Powermasnas
 
Inception: A reverse-engineer horror History
Inception: A reverse-engineer horror HistoryInception: A reverse-engineer horror History
Inception: A reverse-engineer horror HistoryNelson Brito
 
Apresentação Soluções Vísent -Awards
Apresentação Soluções Vísent -AwardsApresentação Soluções Vísent -Awards
Apresentação Soluções Vísent -AwardsRicardo Bassoi
 
System Security on Cloud
System Security on CloudSystem Security on Cloud
System Security on CloudTu Pham
 
CISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureCISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureKarthikeyan Dhayalan
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017Carol Smith
 

Destaque (8)

Network Security
Network SecurityNetwork Security
Network Security
 
The Suite Club Presentazione English Power
The Suite Club Presentazione English PowerThe Suite Club Presentazione English Power
The Suite Club Presentazione English Power
 
Inception: A reverse-engineer horror History
Inception: A reverse-engineer horror HistoryInception: A reverse-engineer horror History
Inception: A reverse-engineer horror History
 
miniOMNIAlog - Short Version
miniOMNIAlog - Short VersionminiOMNIAlog - Short Version
miniOMNIAlog - Short Version
 
Apresentação Soluções Vísent -Awards
Apresentação Soluções Vísent -AwardsApresentação Soluções Vísent -Awards
Apresentação Soluções Vísent -Awards
 
System Security on Cloud
System Security on CloudSystem Security on Cloud
System Security on Cloud
 
CISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureCISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architecture
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
 

Semelhante a Worms: Conheça o inimigo e defenda-se

Rede mundial de computadores
Rede mundial de computadoresRede mundial de computadores
Rede mundial de computadoresRodrigo Motta
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iTema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iacmartins9
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iTema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iacmartins9
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queO que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queGuilhermeVolpini3
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoFernando Gomes Chaves
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoLucasMansueto
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Internet trabalho
Internet trabalhoInternet trabalho
Internet trabalhoLML0101
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 

Semelhante a Worms: Conheça o inimigo e defenda-se (20)

Rede mundial de computadores
Rede mundial de computadoresRede mundial de computadores
Rede mundial de computadores
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iTema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s i
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s iTema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s i
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queO que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos que
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informação
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informação
 
Ppt Imd
Ppt ImdPpt Imd
Ppt Imd
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
 
Internet trabalho
Internet trabalhoInternet trabalho
Internet trabalho
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
 
Metodos de invasao
Metodos de invasaoMetodos de invasao
Metodos de invasao
 
Sistemas de seguranca
Sistemas de segurancaSistemas de seguranca
Sistemas de seguranca
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 

Mais de Nelson Brito

Próximo passo evolutivo de um DB Scanner
Próximo passo evolutivo de um DB ScannerPróximo passo evolutivo de um DB Scanner
Próximo passo evolutivo de um DB ScannerNelson Brito
 
Reversing Engineering: Dissecting a "Client Side" Vulnerability in the APT era
Reversing Engineering: Dissecting a "Client Side" Vulnerability in the APT eraReversing Engineering: Dissecting a "Client Side" Vulnerability in the APT era
Reversing Engineering: Dissecting a "Client Side" Vulnerability in the APT eraNelson Brito
 
Inception: Support Slides
Inception: Support SlidesInception: Support Slides
Inception: Support SlidesNelson Brito
 
DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)
DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)
DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)Nelson Brito
 
Keynote: Where is my identity?
Keynote: Where is my identity?Keynote: Where is my identity?
Keynote: Where is my identity?Nelson Brito
 
Worms 2.0: Evolution — From SyFy to "You Die"
Worms 2.0: Evolution — From SyFy to "You Die"Worms 2.0: Evolution — From SyFy to "You Die"
Worms 2.0: Evolution — From SyFy to "You Die"Nelson Brito
 
A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!Nelson Brito
 
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)Nelson Brito
 
Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!Nelson Brito
 
Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!Nelson Brito
 
Permutation Oriented Programming
Permutation Oriented ProgrammingPermutation Oriented Programming
Permutation Oriented ProgrammingNelson Brito
 
[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®Nelson Brito
 
Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!Nelson Brito
 
Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Nelson Brito
 
The Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The PhilosophyThe Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The PhilosophyNelson Brito
 
The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...Nelson Brito
 

Mais de Nelson Brito (16)

Próximo passo evolutivo de um DB Scanner
Próximo passo evolutivo de um DB ScannerPróximo passo evolutivo de um DB Scanner
Próximo passo evolutivo de um DB Scanner
 
Reversing Engineering: Dissecting a "Client Side" Vulnerability in the APT era
Reversing Engineering: Dissecting a "Client Side" Vulnerability in the APT eraReversing Engineering: Dissecting a "Client Side" Vulnerability in the APT era
Reversing Engineering: Dissecting a "Client Side" Vulnerability in the APT era
 
Inception: Support Slides
Inception: Support SlidesInception: Support Slides
Inception: Support Slides
 
DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)
DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)
DoS: From "Galactic Network" to "Service Unavailable" (Support Slides)
 
Keynote: Where is my identity?
Keynote: Where is my identity?Keynote: Where is my identity?
Keynote: Where is my identity?
 
Worms 2.0: Evolution — From SyFy to "You Die"
Worms 2.0: Evolution — From SyFy to "You Die"Worms 2.0: Evolution — From SyFy to "You Die"
Worms 2.0: Evolution — From SyFy to "You Die"
 
A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!
 
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
 
Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!
 
Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!
 
Permutation Oriented Programming
Permutation Oriented ProgrammingPermutation Oriented Programming
Permutation Oriented Programming
 
[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®
 
Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!
 
Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?
 
The Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The PhilosophyThe Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The Philosophy
 
The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...
 

Worms: Conheça o inimigo e defenda-se

  • 1. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. worms conheça O INIMIGO e defenda-se
  • 2. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. internet SECURITY systems esperança NÃO É estratégia
  • 3. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. ““QUEM NÃO FORQUEM NÃO FOR precavidoprecavido E FIZER POUCO DEE FIZER POUCO DE SEUSSEUS adversáriosadversários, CERTAMENTO SERÁ, CERTAMENTO SERÁ capturado e abatidocapturado e abatido POR ELES.”POR ELES.” SUN TZUSUN TZU A arte da guerra
  • 4. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  • 5. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. WORM: definindo E DIFERENCIANDO OS conceitos
  • 6. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. ““wormworm É UM PROGRAMAÉ UM PROGRAMA auto-suficienteauto-suficiente (OU UM(OU UM CONJUNTO DE PROGRAMAS), QUE POSSUÍ HABILIDADE DECONJUNTO DE PROGRAMAS), QUE POSSUÍ HABILIDADE DE disseminar-sedisseminar-se ATRAVÉS DE CÓPIAS (OU PARTES)ATRAVÉS DE CÓPIAS (OU PARTES) FUNCIONAIS DELE MESMO A OUTROS SISTEMAS DEFUNCIONAIS DELE MESMO A OUTROS SISTEMAS DE COMPUDORES (NORMALMENTE ATRAVÉS DECOMPUDORES (NORMALMENTE ATRAVÉS DE conexõesconexões de redede rede). NOTE QUE DIFERENTEMENTE DE UM). NOTE QUE DIFERENTEMENTE DE UM vírusvírus,, WORMS NÃOWORMS NÃO precisam deprecisam de OUTROSOUTROS programasprogramas PARA ANEXAR-SE.”PARA ANEXAR-SE.” VIRUS-L/comp.virus FAQVIRUS-L/comp.virus FAQ Definindo
  • 7. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Diferenciando • Vírus: – Necessita de um programa para disseminar-se. • Pseudo WORMS: – Necessita de intervenção externa para disseminar-se. • WORMS: – Auto-suficiente ao disseminar-se.
  • 8. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. POR QUE DEVEMOS CONHECER a história?
  • 9. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Qual o conceito de história? • Processo. • Conhecimento. • Campo do conhecimento.
  • 10. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. História = Conhecimento ““AA históriahistória É O PROCESSO DE CONHECER OSÉ O PROCESSO DE CONHECER OS acontecimentosacontecimentos (FATOS), EM CAMPOS DE(FATOS), EM CAMPOS DE conhecimentoconhecimento, ONDE, ONDE aprendemosaprendemos COM OCOM O PASSADO, BUSCANDO PORPASSADO, BUSCANDO POR experiênciasexperiências, TANTO BEM, TANTO BEM COMO MAL SUCEDIDAS!”COMO MAL SUCEDIDAS!”
  • 11. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Fatos (acontecimentos) • Fato #01: – Segundo SANS dura apenas 20 minutos para um usuário, em sua primeira conexão com a Internet, ser atacado por um WORM ou HACKER. • Fato #02: – 22% de totas as vulnerabilidades são de “Buffer Overflow” (stack, heap, return-in-libc, interger, format string, etc...). • Fato #03: – Qualquer usuário/empresa é alvo em potencial.
  • 12. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Lições aprendidas? • Lições aprendidas com o primeiro WORM. – A propósito, qual foi o primeiro WORM? • Lições aprendidas com as últimas ameaças híbridas. • Lições aprendidas este ano (2004).
  • 13. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Realmente aprendemos as lições? $100,000.00 $2,620,000,000.00 $640,000,000.00 $1,250,000,000.00 $2,000,000,000.00 $500,000,000.00 Morris Worm CodeRed Nimda Slammer Blast er Sasser* Source: Computer Economics
  • 14. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. O big-bang DOS worms
  • 15. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. 1975 – The Shockwave Rider • “Yes, sir! I´m quite aware that an worm of that type is theoretically impossible! But the fact stands, he´s done it, and now it´s so goddamn comprehensive that it can´t be killed. Not short of demolishing the net!" (247, Ballantine Books, 1975)
  • 16. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. 1979 – IEN159 WORM • John Shoch e Jon Hupp, do Centro de Pequisas da Xerox (Palo Alto Research Center), descobrem os WORMS de computadores. • Procura por sistemas na rede com CPU em estado “IDLE”, executando outras tarefas distribuídas. • INOFENSIVO.
  • 17. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. MORRIS WORM: o dia EM QUE A INTERNET quase parou
  • 18. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Um teste? • Primeira infecção: 02/11/1988. • Um teste feito por uma aluno da Cornell University, Robert T. Morris: – Filho do cientista chefe de uma agência governamental (USA). • Uma ameaça fora de controle: – Vários erros de programação levaram a uma “catástrofe”.
  • 19. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Restultado • Infectou quase toda rede mundial (conhecida hoje como Internet): – Arpanet; – Milnet; – NSFnet; – CSnet. • Resultou na criação do CERT e na prisão de Morris. • Atualmente Morris é professor do MIT: – http://www.pdos.lcs.mit.edu/~rtm/
  • 20. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. AS novas ameaças HÍBRIDAS
  • 21. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Uma novo desafio • Desde 1988 a Internet cresceu vertigionasamente. • Outros fatores devem ser considerados: – Instabilidade durante os minutos/horas/dias inicias do ataques, ex: • Roteamento; • Equipamentos de rede; • Serviços píblicos; • Instituições financeiras; • Sistemas SCADA.
  • 22. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. CODERED: após ANOS, eles VOLTARAM
  • 23. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Uma nova era começa • HTTP como protolcolo principal de propagação. • Impossível de utilizar proteção de controle de acesso lógico (Firewall) para evitá-la. • CodeRed v1, v2 e II: afinal de contas qual a diferença?
  • 24. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. NIMDA: A ameaça MAIS heterôgenea
  • 25. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Totalmente eficaz • Várias vulnerabilidades exploradas, entre elas as senhas fracas. • Utilização de uma capacidade única de explorar máquinas já contaminadas por outros WORMS. • Primeira tentativa de uma ameaça híbrida: – Sevidores e estações de trabalho (usuários finais) eram alvos.
  • 26. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. WARHOL WORM: teoria E prática
  • 27. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Quem é Warhol? • Andy Warhol (1928-1987): – “In the future, everybody will have 15 minutes of fame!” (No futuro, todos terão 15 minutos de fama!); • Programas na MTV (USA): – "Andy Warhol's TV" ; – "Andy Warhol's Fifteen Minutes"
  • 28. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. O que é Warhol WORM? • Teoria criada por Nicholas C. Waver (Berkeley University). • Principais técnicas utilizadas: – HITLIST; – Permutation scans; – Patiotioned permutation scans; – Random scans. • Principal objetivo: – Infectar o maior número (ou todos) os alvos vulneráveis.
  • 29. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Já existe algum “Warhol WORM”? • Slammer foi o primeiro, porém mal sucedido: – Erro na geração do SEED utilizado pela função de “Random Scan” (PRNG).
  • 30. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. SLAMMER: O dia EM QUE A INTERNET parou
  • 31. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Rápido e mortal • Tamanho de apenas 376 bytes. • Um único pacote (UDP) infecta a máquina vulnerável. • Paralização da Internet. • Reincidência em muitas corporações.
  • 32. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Linha de tempo 184 dias (≈ 06 meses) 24/7/2002 MS02-039 DoMS02-039 aoSlammer 1/8/2002 Exploit Público (BackHat) 25/1/2003 Slammer Worm Hoje Slammer Continua Atacando
  • 33. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Paralização da Internet ““SLAMMER’S IMPACT ONSLAMMER’S IMPACT ON emergencyemergency SERVICES,SERVICES, THETHE internetinternet BACKBONE,BACKBONE, airlinesairlines ANDAND financialfinancial SERVICES WASSERVICES WAS short-livedshort-lived BUTBUT remarkableremarkable GIVEN THE ABSENSE OF ANYGIVEN THE ABSENSE OF ANY DESTRUCTIVE PAYLOAD.”DESTRUCTIVE PAYLOAD.” cnncnn ““IN THIS CASE, THEIN THIS CASE, THE customercustomer WASWAS affectedaffected.. PEOPLE WEREN’T GETTING DIAL TONES; AIRPLANESPEOPLE WEREN’T GETTING DIAL TONES; AIRPLANES COULDN’T FLY; ATM WEREN’T GIVING CASH.”COULDN’T FLY; ATM WEREN’T GIVING CASH.” peter allorpeter allor DIRECTOR OF OPERATIONS FOR IT-ISACDIRECTOR OF OPERATIONS FOR IT-ISAC http://www.it-isac.org/http://www.it-isac.org/
  • 34. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação com outros WORMS 6,000 359,000 450,000 75,000 188,000 700,000
  • 35. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Propagação
  • 36. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. A mais rápida propagação por minuto 3 460 208 2,500 44 243 Morris Worm CodeRed Nimda Slammer Blast er Sasser Source: Internet Security Systems
  • 37. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. BLASTER: O INÍCIO DE UMA nova era
  • 38. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Todos estão vulneráveis • A história é escrita: – A primeira grande vulnerabilidade que colocavam todos vulneráveis, do Windows NT 4 SP6a ao Windows 2003. • Dois vetores podem ser explorados: – IRemoteActivation – ISystemActivator – A maioria dos IDSes apenas reconhecem os ataques ao segundo vetor. • Utilização de um TEMPLATE de WORM.
  • 39. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  • 40. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Linha de tempo 25 dias (< 01 mês) 16/7/2003 MS03-026 DoMS03-026 aoBlaster 25/7/2003 Exploit Público 10/8/2003 Blaster Worm Hoje Blaster Continua Atacando
  • 41. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. SASSER: um NOVO pesadelo
  • 42. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. A história se repete • A história é escrita: – A segunda grande vulnerabilidade que colocavam todos vulneráveis, do Windows NT 4 SP6a ao Windows 2003. • Utilização de um TEMPLATE de WORM. • Funcionalidade de reconhecimento automático do Service Pack. • Primeiro momento onde as probabilidades apontavam para uma “The Perfect Storm”.
  • 43. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Linha de tempo 18 dias (< 01 mês) 13/4/2004 MS04-011 DoMS04-011 aoSasser 25/4/2004 Exploit Público 1/5/2004 Sasser Worm Hoje Sasser Continua Atacando
  • 44. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. O QUÊ o futuro NOS reserva
  • 45. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. “The perfect storm” (Fúria em Alto Mar) • Circunstâncias perfeitas. • Uma ou mais vulnerabilidades sendo exploradas. • Independente de Sistemas Operacionais. • Furtivo. • Hostil. • Direcionado a um determinado alvo: – Cyber-terrorismo; – Infowar; – Espionagem, incluindo a espionagem industrial.
  • 46. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação entre os últimos WORMS 184 dias (≈ 06 meses) 24/7/2002 MS02-039 DoMS02-039 aoSlammer 1/8/2002 Exploit Público (BackHat) 25/1/2003 Slammer Worm Hoje Slammer Continua Atacando
  • 47. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação entre os últimos WORMS 25 dias (< 01 mês) 16/7/2003 MS03-026 DoMS03-026 aoBlaster 25/7/2003 Exploit Público 10/8/2003 Blaster Worm Hoje Blaster Continua Atacando
  • 48. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Comparação entre os últimos WORMS 18 dias (< 01 mês) 13/4/2004 MS04-011 DoMS04-011 aoSasser 25/4/2004 Exploit Público 1/5/2004 Sasser Worm Hoje Sasser Continua Atacando
  • 49. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. ANTES QUE SEJA TARDE, defenda-se
  • 50. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Novo foco • Foco na proteção em profundidade. • Proteção para todas as camadas: – Rede; – Servidores; – Estações de trabalho (notebooks). • Mecanismos que ajudem a identicar e parar as ameaças: – Firewalls; – IDS; – IPS; – Etc... • Estão todos convidados a darmos continuidade a este debate.
  • 51. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Q&A perguntas E respostas
  • 52. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. Dúvidas
  • 53. © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems. nelson brito <NBRITO@ISS.NET> system engineer & x-force EDUCATION instructor