O documento apresenta uma discussão sobre estratégias de invasão cibernética, análise forense digital e recomendações de segurança da informação de acordo com o CISSP. O texto aborda conceitos de segurança da rede, metodologias de invasão, técnicas forenses e medidas para prevenir vulnerabilidades com foco na segurança da aplicação e controle de acesso.

1. CYBER SECURITY
Estratégias de Invasão, Forense e
Recomendações CISSP
(Apresentação CNASI 2016)
Carlos Castro
Segurança da Informação

2. Agenda
1. Conceitos
2. Cenários
3. Metodologia de Invasão
4. Forense
5. Recomendações CISSP
6. Encerramento

3. FraquezasCenários
 Bugs em Produtos
 Vulnerabilidades em Aplicações
 Ambiente Desprotegido
 Sistemas Operacionais com Serviços
Desatualizados
 Diferentes Fronteiras de Exposição
 Fraca Proteção Contra Mau Uso
 Controles de Acesso
 Camadas de Responsabilidade

4.  Principais Vulnerabilidades (OWASP)
FraquezasCenários
Vulnerabilidade Descrição
Injections (SQL, XML, Buffer Overflow, etc)
Injeção de código SQL, Estouro forçado de buffers em
memória, etc.
Autenticação e Sessões frágeis
Processo de autenticação é fraco desde a forma como o
usuário é criado
XSS (Cross Site Scripting)
Código de scripts (javascript, etc) é inserido de maneira
arbitrária no navegador do usuário
Referências direta a objetos
Desenvolvedor expõe objetos (arquivos, etc) que conseguem
ser acessados de fora da aplicação
Falhas de Configuração
Mecanismos para tornar os servidores mais seguros não são
habilitados e configurações padrão são usadas
Exposição de Informações Sensíveis
Informações são apresentadas em texto claro ou trafegam por
canais não encriptados
Falhas no uso do Controle de Acesso Páginas ou arquivos indevidamente acessados
Forjar requisição válida (CSRF) Requisição forjada através de usuário válido
Usar componentes com falhas Manter componentes com falhas conhecidas
Redirecionamentos não validados Permissão de redirecionamento sem validação

5.  Preço de Dados Roubados Caiu
 46% dos Ataques Originados na China
 Aumento Reclamação de Seguro Cyber
 Exposição das Ferramentas do
Hacking Team
 Aumento de Ataques sobre Saúde
 Butterfly – Ataques para Ganhos
Comerciais
 Ataques sobre IoT e Telefones
 Sextorsão
(fonte: Symantec)
2015 - EVENTOSCenários

6.  TCP/IP, Sockets e Portas
TCP/IPConceitos

7.  Default Gateway e Protocolo ARP
(address resolution protocol)
• Descoberta do MAC e Cache ARP
ARPConceitos
Requerimento  (broadcast)
Who has 192.168.116.2?
Resposta de 192.168.116.2
90-EF-DD-A1-87-4A

8.  Bits de Controle (SYN,ACK,RST,FIN,URG,PSH,CWR,ECE)
TCP/IPConceitos

9.  Identificar o Alvo
 Buscar o Anonimato
 Levantar as Vulnerabilidades
 Explorar as Vulnerabilidades
 Migrar entre Processos
 Escalar Privilégios
 Deixar a Porta Aberta e Manter-se
Invisível
ESTRATÉGIAInvasão

10.  Identificar o Alvo (levantamento)
 Tipos de domínio (aero, edu, biz, firm, gov,
info, jobs, ltd, org, store, tel, travel)
 Google Search Engine
• site:endereço
• inurl:palavra
• filetype ou ext:extensão
• GHDB (Google Hacking DataBase)
Ex: site:.gov ext:xlsx inurl:con
Estratégias IDENTIFICAR

11. Estratégias IDENTIFICAR
Ex: site:.gov ext:xlsx inurl:con

12.  Escondendo o IP de Origem
 TOR (rede de computadores conectados
anonimamente através da infraestrutura da
internet – The Onion Router (DeepWeb))
 VPN (Virtual Private Network)
• IP de origem é mascarado
• Escopo de endereçamento do
provedor do serviço
• Dados encriptados
 Linux Tails
Estratégias ANONIMATO
DEEPWEB ou
REDE PRIVADA (VPN)
ATACANTE ALVO
CONEXÃO NÃO É DIRETA E
O IP ORIGEM FICA MASCARADO

13.  Ação Correta Deve Estar Respaldada
por Contrato e Autorização
 Invasão
 Redes
• Exploits (explora vulnerabilidade)
• Payloads (código executado através do Exploit)
• Man In The Middle (MITM)
• Falhas em Serviços
 Aplicações
• Injections (explora fragilidades do código)
• Brute Force
TIPOSInvasão

14.  Levantar as Vulnerabilidades com o
NMAP
 Explorar as Vulnerabilidades com os
Exploits e Payloads
• Migrar entre Processos
• Escalar Privilégios
 Deixar a Porta Aberta Deixando um
Componente Instalado
 Capturando Usuário e Senha no MITM
EXEMPLOInvasão

15.  Planejar a Investigação
 Post-Mortem ou Alive
 Preservar Provas
 Cadeia de Custódia
 Buscar Evidências
 Preparar o Laudo
 Destruir Cópias
PASSOSForense

16. CUSTÓDIAForense
 O que é uma Cadeira de Custódia?
 Como Proceder?
 Direitos e Cuidados

17. BUSCAForense
 Em Busca de Pistas
 Onde Procurar?
• Memória
• Disco (logs, históricos, etc)
• Como Procurar?
• FTK, Helix
• Volatily, MDD

18. DUPLICAÇÃOForense

19. CAUSASCISSP
 Razões para Vulnerabilidades
• Requisitos não Incluem Segurança
• Enfoque em Segurança é mais Recente
• Perfil de Segurança X Desenvolvedor
• Pressão por Prazos e Concorrência
• Funcionalidade Maior que Segurança
 Baixa Qualidade no Desenvolvimento
 Negligência no Controle de Acessos
• Não Segmentação

20. RecomendaçõesCISSP
 Segurança na Aplicação
• Autenticação, Validação da Entrada de
Dados, Controle de Sessões, Banco de
Dados, Evitar Expor Informações
Desnecessárias
 Controles de Acesso
• Restrições no Nível da Aplicação, do
Banco e do Sistema Operacional
 Atualização Quanto as Ameaças
• Virus, Exploits, Injections

21. PerguntasEncerramento

22. ContatosEncerramento
Carlos Castro
forense.digital.com@gmail.com
facebook.com/ForenseDigital