O documento discute as ameaças da internet e o cybercrime, incluindo como funcionam vírus, worms e outros tipos de malware. Também aborda como hackers realizam ataques, como roubo de dados e distribuição de spam, e como empresas podem ser vulneráveis a invasões. Antivírus e outras ferramentas de segurança são necessárias, mas a conscientização do usuário também é importante para melhor proteção.

1. COMO FUNCIONAM AS AMEAÇAS DA INTERNET E O CYBERCRIME Mariano Sumrell Miranda

2. APRESENTAÇÃO Mariano Sumrell Miranda [email_address] Winco Tec. e Sistemas Empresa com + 10 anos de desenvolvimento de tecnologia de segurança e conectividade Fabricante do Winconnection - Controle de Acesso à Internet, Filtro de Instant Messaging, Filtro de e-mail e servidor de e-mail Fabricante do Winco Edge Security - Filtro de Instant Messaging e Filtro de e-mail Distribuidor no Brasil do AVG - Alguns componentes do AVG feitos pela Winco

3. AMEAÇAS NA INTERNET Antigamente Hackers eram motivados por: fama vencer desafios provar conceitos

4. HACKERS HOJE Cybercrime atividade profissional (criminosa) Sofisticados e altamente organizados Atividades Espionagem industrial Sabotagem de concorrentes Roubo de Informações como cartões de créditos e senhas de banco Envio de SPAM Click Fraud Chantagem e extorsão - Sequestro de HD - Ameaça de parar o sistemas computacional

5. Venda de produtos e serviços. Programa DDoS Bot: US$ 400 Envio de Spam: US$ 150 / milhão Info sobre cartões de crédito: US$ 0,10 a US$25 Web Exploit ToolKit (WET): US$ 20 a US$400 Aluguel/Venda de Botnets Informações Bancárias Senhas de contas de e-mail Aluguel de local para entrega de mercadorias Conversão para dinheiro CYBERCRIME

6. Pela forma de propagação Vírus Worm Cavalo de Tróia Pelo atividade realizada Backdoor Spyware Keylogger e screenlogger Downloaders Etc Por Características Especiais Rootkit CLASSIFICAÇÃO DE MALWARE

7. Se anexa a programas hospedeiros Altera início de programa para executar o código malicioso Código malicioso costuma infectar outros arquivos, inclusive pelo compartilhamento de rede Pode criar novos executáveis e, através da Registry do Windows forçar a sua execução na inicialização da máquina. VÍRUS

10. Não precisa de programa hospedeiro Se propaga pela rede Entra no computador explorando falhas de segurança (exploit) Sistema Operacional Aplicativo Exploit mais comum: buffer overflow WORM

11. Exige a ação da vítima para se instalar: Executar um anexo de e-mail Fazer download de programa Técnica mais utilizada pelos hackers: Engenharia Social nas suas mais diversas formas CAVALO DE TRÓIA

16. Programas que escondem a sua presença tornando impossível a sua detecção pelos mecanismos convencionais Costumam alterar chamadas (API) do sistema operacional: Acesso a Arquivos: não mostram os arquivos maliciosos Identificação de processos: não mostram os processos maliciosos Podem ser instalados no kernel (módulos carregáveis, device drivers) ou nas bibliotecas do S.O. (DLLs). ROOTKIT

17. 1982 – Primeiro vírus disseminado Elk Cloner – Infectava disquetes (boot sector) do Apple II A cada 50 boots apresentava um poema: Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it's Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner! HISTÓRIA

18. 1983 – Primeiro vírus de laboratório documentado. Cunhado o termo “Vírus de computador”. 1986 – Primeiros vírus de PC: Brain, ping-pong Eram vírus de boot sector. 1987 – Primeiros vírus de arquivos. 1988 – Robert Morris lançou o primeiro “worm” da Internet derrubando 6.000 máquinas por 36 horas. 1995 – Primeiro vírus de macro. HISTÓRIA

19. PING-PONG

20. 1999 – Mass mailing worms (Melissa, I Love You, MyDoom) 2001 – Bots and worms (Code Red, Nimda) Code Red contaminou 350 mil servidores em 12 h 2004 – Ataques Web Windows XP SP2 – firewall ligado por default Portas Web (80 e 443) sempre abertas HISTÓRIA

21. Disquetes E-mails Worms explorando falhas de segurança Sites comprometidos VETORES DE PROPAGAÇÃO

22. Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web Hoje se escondem em páginas de empresas idôneas que foram atacadas sem o conhecimento dos responsáveis. Para se esconder, ficam pouco tempo em cada página ou só se manifestam em 1 a cada N acessos. AMEAÇAS NA NAVEGAÇÃO

23. TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO

28. Páginas Maliciosas: Download de programas maliciosos (em geral com engenharia social) ‏ Exploit de falhas de segurança do browser Ataques em Active-X, Java ou JavaScript Necessidade de detecção antes de chegar no browser Proteção baseada em base de dados -> Proteção Limitada Necessidade de verificação em tempo real 8 ATAQUES NA NAVEGAÇÃO

29. Explorando falhas de segurança do servidor Web Explorando falhas de segurança da aplicação Web Usando credenciais FTP utilizadas pelo dono do site para fazer upload Nome de Usuários e Senhas trafegam em aberto no FTP. COMO OS SITES SÃO ATACADOS

30. Conjuntos de computadores “escravizados” por cybercriminosos Envio de SPAM Ataques (sabotagem, extorsão) Botnet = Ro bot net work Máquinas comprometidas por vírus, worms ou cavalos de tróia. BOTNETS

31. BOTNETS Se comunicam através de um componente IRC (Internet Relay Chat) que se conecta a um canal de um ou mais servidores IRC. Mais recentemente o Twitter foi usado para a comunicação.

33. Ataque que faz com que determinado serviço pare de funcionar. DDoS - Distributed DoS Ataque feito de botnets. DoS – DENIAL OF SERVICE

34. Inundar um link Inundar servidor de e-mail SYN Flood Mantém conexões TCP semi-abertas, consumindo recursos até a exaustão dos mesmos. PING of Death - Ping com mais de 64K bytes que derrubava o Windows 95 e algumas versões do Linux. Enviar pacotes mal formados que fazem o servidor “crashar”. DoS

35. Sniffers Em redes locais Se houver switches: ARP Poisoning Interceptando nos roteadores/redes no caminho Se for criptografado: Man In the Middle Pode ser aplicado em redes locais com ARP Poisoning CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE

36. Na conexão, cliente envia sua chave pública. Servidor responde com sua chave pública, criptografada pela chave pública do cliente. Cliente responde, pedindo uma chave de sessão (usada para criptografar o resto da comunicação). Servidor envia chave de sessão, criptografada pela chave pública do cliente. A partir desse momento toda a comunicação se dá com a chave de sessão (chave simétrica). SSL (SECURE SOCKET LAYER)

37. Se o cliente não tiver como verificar a chave do servidor, é possível interceptar a comunicação. MAN IN THE MIDDLE

38. Usando Login/Senha de outra pessoa Sniffer Tentativa e erro: - força bruta - dicionário Engenharia Social Fingir ser outra pessoa em mensagens de e-mail, MSN, sites sociais. FINGIR SER OUTRA PESSOA

39. Vírus e Worms Usar Engenharia Social para induzir usuário a executar certo programa. Explorar Falhas de Segurança de Programas: Buffer Overflow Code/SQL Injection FORÇAR A EXECUÇÃO DE CÓDIGO

40. Programa lê dados de entrada assumindo que tem certo valor máximo. Se dados forem maiores que o esperado há um estouro de buffer. Estouro provoca sobreposição de dados de dados na stack (pilha). É inserido código malicioso na stack e endereço de retorno a alterado para a execução dos desse código. Ataque pode vir pela rede ou através de dados (imagens, videos, PDF, .doc) mal formados. BUFFER OVERFLOW

41. Formulário com campos “usuario” e “senha”: Teste de login: - SELECT * from usuarios where usu = usuario and password = senha; Se em senha eu preencher: - senha; INSERT INTO usuarios (usu, passwd,priv) VALUES (mariano,qualquer, all) SQL INJECTION

42. Maior interatividade sempre é uma porta sujeita a ser invadida Grande disponibilidade de informações pessoais. Terreno fértil para o uso de Engenharia Social WEB2.0 E SEGURANÇA

43. Smarthphones são computadores com CPU, memória, área de armazenamento, sistemas operacional e aplicativos e conectados à internet. Mesmos problemas de segurança que desktops e servidores. MOBILIDADE E SEGURANÇA

44. Já existem vírus para celulares Podemos comprar na Internet programa que dá acesso à camera e microfone dos celulares, bem como acesso às conversas telefônicas. Assim como os notebooks, carregam uma série de informações. Precisamos proteger essas informações em casos de roubos e furtos. MOBILIDADE E SEGURANÇA

45. Segurança dos sistemas e dados a cargo do provedor de serviço “ Que bom. Deixo a segurança a cargo de especialistas e menos uma preocupação para mim.” “ Não gosto de perder o controle sobre os meus dados.” CLOUD COMPUTING E SEGURANÇA

46. Os sistemas são acessados remotamente. Mais vulneráveis que datacenters isolados. É necessária especial atenção para autenticação e controle de acesso. As ferramentas de segurança podem utilizar serviços e informações na nuvem para proteger os seus usuários. CLOUD COMPUTING E SEGURANÇA

47. OS ANTIVÍRUS FUNCIONAM?

48. Detecção por assinatura é muito eficiente mas tem problema da janela de tempo entre a difusão da ameaça na internet e o usuário ter a assinatura no seu computador. OS ANTIVÍRUS FUNCIONAM?

49. Detecção por assinatura é muito eficiente mas tem o problema da janela de tempo entre a difusão da ameaça na internet e o usuário ter a assinatura no seu computador. Os antivírus precisam incorporar outras técnicas como análise comportamental (ex.: IDP do AVG) e bloqueio de sites comprometidos OS ANTIVÍRUS FUNCIONAM?

50. ANTIVÍRUS SÃO SUFICIENTES? Antivírus e outras ferramentas como firewall, antispam, filtros de conteúdo são apenas parte da solução Conscientização e comportamento são a outra parte. Uso de senhas fortes, não acreditar que ganhou na loteria se sequer apostou, fazer atualizações de segurança, etc.

51. CASO ROBERT MOORE Preso em 2007. Parte de uma quadrilha que roubava serviços de VoIP e vendia a seus clientes. Invadiu centenas de empresas, sendo 15 de telecomunicação. Afirma que 70% das empresas que ele scaneou e 45 a 50% dos provedores de VoIP eram inseguros. Maior falha de segurança: senhas default.

52. DÚVIDAS?

53. OBRIGADO! Mariano Sumrell Miranda [email_address]