O documento discute os conceitos de guerra cibernética, infraestrutura crítica e tipos de ataques cibernéticos. Ele explica que a dependência em sistemas digitais torna países vulneráveis a ataques que podem afetar múltiplos setores simultaneamente e de forma difícil de rastrear. Motivações para ataques incluem ganhos financeiros, ideologia, vingança e desafio técnico.

1. Guerra Cibernética – Cyberwar Mito ou realidade? João Rufino de Sales /54 As informações e idéias contidas na apresentação são pessoais e podem não refletir a opinião de Instituições ou grupos que o autor participa ou pertence .

2. Conceitos /54

3. CONCEITOS Guerra de Informações (Information Warfare) “ ... operações de informação conduzidas durante período de crise ou conflito (incluindo guerra) para alcançar ou promover objetivos específicos sobre um ou mais adversários específicos.” /54

4. CONCEITOS Guerra de Comando e Controle (C 2 Warfare) “ ... um subconjunto da guerra de informação e uma aplicação da mesma em operações militares.” “ ... o uso integrado de operações psicológicas (PSYOPS), despistamento (deception) militar, segurança de operações (OPSEC), guerra eletrônica e destruição física, mutuamente suportadas por inteligência para negar informação, influenciar, degradar ou destruir as capacidades de C 2 adversárias enquanto protege as capacidades de C 2 amigas contra estes tipos de ação.” /54

5. CONCEITOS Guerra Assimétrica (Asymetrical Warfare) “ ... operações realizadas por uma força relativamente pequena e pouco equipada contra pontos fracos de um oponente superior usando meios não ortodoxos .” /54

6. CONCEITOS Guerra Estratégica de Informação (Strategic Information Warfare) “ ... baseada em ações técnicas que buscam através do uso da tecnologia da informação como arma ou como alvo afetar , de alguma forma, o funcionamento dos sistemas de comando e controle da chamada infraestrutura crítica nacional de um oponente .” Nesta apresentação, este mesmo conceito está sendo adotado para Guerra Cibernética ou Ciberguerra (Cyberwar) /54

7. CONCEITOS Operações de Informação (Information Operations) “ ... ações tomadas para afetar informações e sistemas de informação adversários , ao mesmo tempo que defende suas próprias informações e sistemas de informação.”

8. CONCEITOS Cibercrime Compreende exploração ilegal , hacking e outras intrusões em sistemas perpetradas por um indivíduo ou grupo com interesses e intentos criminais ou auto-motivados. /54

9. CONCEITOS Ataques de Informação “ ... atividades realizadas para manipular ou destruir informações ou sistemas de informação de um inimigo , sem necessariamente modificar visivelmente a entidade física na qual ele se encontra.” /54

10. CONCEITOS Objetivos dos Ataques de Informação Alterar informações para afetar o processo de tomada de decisão; destruir a confiança do inimigo no sistema; forçar um adversário a usar meios de menor tecnologia e, em muitos casos, menos seguros, para disseminar informações críticas; e permitir que informações possam ser obtidas por forças amigas . /54

11. Diante de tantas ameaças o que proteger? /54

12. INFRAESTRUTURA CRÍTICA Instalações serviços e bens que, se forem interrompidos ou destruídos provocarão sério impacto social econômico ou político. /54

13. SERVIDORES DNS ESTÃO VULNERÁVEIS A ATAQUES Quinta-feira, 4 de agosto de 2005 - 08:27 IDG Now! Vários servidores de Sistemas de Nomes de Domínio (DNS), parte crítica da infraestrutura da internet, estão vulneráveis a ataques que poderiam levar a disseminar fraudes, revelou um especialista de segurança. Em um mapeamento conduzido pelo pesquisador Dan Kaminsky foi constatado que dezenas de milhares de servidores podem estar vulneráveis a um tipo de ataque que direciona o tráfego da internet para sites maliciosos . A técnica, conhecida como envenenamento de cache DNS , despertou atenção pública quando hackers direcionaram tráfego de um grande número de sites financeiros, de entretenimento, viagens e saúde a outros servidores a fim de instalar software malicioso. /54

14. PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC) Definição É toda atividade destinada a proteger os acessos , as facilidades e os serviços de telecomunicações e de rede , que são essenciais para a operação dos elementos que podem comprometer a infraestrutura crítica nacional, regional ou internacional. /54

15. PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC) Alcance Mundial Regional Local Atualmente a maior parte dos incidentes são locais , a não ser que as infraestruturas sejam compartilhadas (ex: Itaipu, Internet). /54

16. O QUE MUDOU? Aumento no terrorismo internacional Aumento na dependência do governo e iniciativa privada dos computadores e redes de telecom Surgimento da Internet – possibilidade de ataques cibernéticos /54

17. DEPENDÊNCIA “… a tecnologia da informação constitui o enlace de controle ( control loop ) de praticamente todas as infraestruturas críticas…” FONTE : Making the Nation Safer (NCR 2002) Essa dependência se torna tão forte que o que acontece a um sistema pode afetar outros sistemas não diretamente inter-relacionados. /54

18. COMPONENTES CHAVES DA IRC Telecomunicações Voz, dados, cabos, wireless, satélite e serviços de internet Internet Distribuída, muito utilizada, suscetível a um ataque cibernético, pode ser usada para atacar outras redes sem fronteiras Rede Elétrica Impacta todos os setores da economia /54

19. SETORES CHAVES PARA A IRC Financeiro Governo Suprimento de Energia e distribuição Transportes Emergência Saúde Água e Esgoto Produção, distribuição e guarda de alimentos /54

20. HÁ ALGO DE NOVO NO HORIZONTE? Desastres naturais , ataques físicos ou falhas de operação – extensão e dano imediatos , limitados geograficamente. Ex: Apagões, WTC Ataque Cibernético ? /54

21. ATAQUES CIBERNÉTICOS SÃO DIFERENTES Não é preciso contato Com as vítimas É facil de aprender a fazer e adquirir ferramentas Um pequeno investimento causa um grande prejuizo Muitas redes podem ser comprometidas e muitos países envolvidos Deixa pouco ou nenhum rastro É facil se esconder Não existe legislação adequada em todos os lugares /54

22. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO 100% de segurança é um valor que não pode ser atingido Riscos devem ser calculados e balanceados Segurança tem que ser calculada em relação a disponibilidade /54

23. ENTÃO ATAQUE CIBERNÉTICO EXISTE? /54

24. ESPAÇO CIBERNÉTICO: O MUNDO DOS BITS WWW Deep Web Intranets Extranets Business to Business (B2B) Satelite Militares Estradas de ferro Trafego Aéreo Nuclear /54

25. O QUE NÓS FAZEMOS NO E@? Transações Suporte a processos Publicações Análises E-commerce E-governo, transferência de fundos Reservas e Compras Aéreas Mensageria,Redes Sociais, Normalmente São Criticas Estatisticas Data mining Análises Financeiras Análises de atualização Business Intelligence Análise de Situação Algumas são Missões Critica Alguns podem não ser criticos Controle de tráfego Aéreo Utilidades Logística e acompanhamento Knowledge management Automação de Escritório Serviços de Rede e-publishing Bancos de dados-acesso Publicações Aumentando o Grau de criticidade lista em constante crescimento /54

26. TIPOS DE ATAQUE CIBERNÉTICO Computadores e comunicações como ferramentas Quebra de senhas Decriptografia Interceptação Computadores e comunicações como armas Código Malicioso Negação de Serviço Sabotagem Armas inteligentes Fraudes Extorsão Espionagem /54 Computadores e comunicações como alvos

27. O QUE MOTIVA OS ATORES? Script Kiddies Ethical Hackers Violação de copyright Hacktivists Cyber-hooligans Garotos que pensam Que são “big boys” Ego-trip Negação de Serviço Serem ouvidos Causar embaraços Maliciosos Ganhar publicidade Anarquistas Desrespeitar as leis Ter ganhos financeiros Mostrar o quanto são espertos Identificar vulnerabilidades Muitos querem se tornar consultores de segurança /54 nuances

28. O QUE MOTIVA OS ATORES? Sempre dinheiro “ Somente porque eles estão lá” Testar novas maneiras de espalhar código malicioso Causar perda ou corrupção de dados Espalhar ID ou passwords Spoofing Espalhar números de cartões de créditos Sabotagem, etc Pequeno risco de detecção e punição /54 Espionagem Industrial Indústria da violação de copyright Non-ethical Hackers (crackers) Vírus e worm designers

29. O QUE MOTIVA OS ATORES? Crime organizado Invasores Denegrir a imagem de uma pessoa Intento Criminal: fraude, extorção, roubo, Corupção de dados , sabotagem, etc Baixo risco de detecção e punição Novas áreas de oportunidade - globais Facilidade de se esconder no espaço cibernético Facilidade de estabelecer redes globais Falta de legislação e jurisdição /54

30. O QUE MOTIVA OS ATORES? Cyber-terroristas ou estados Facilidade de estabelecer redes globais Abilidade de se esconder Falta de legislação ou jurisdição Oportunidades ilimitadas Baixo volume de recursos necessários Grande impacto dos ataques bem sucedidos Grande visibilidade Dirigidos pela ideologia /54

31. FORMAS DE ATAQUE Fraudes Relativos aos dados Interceptação Modificação Roubo Relativos a Rede Interferencia Sabotagem Anonimato Relativos ao acesso Hacking Distribuição de código malicioso Relativos aos Computadores /54

32. FORMAS DE ATAQUE Interferência Sabotagem Denial of service Controle servidores ou Equipamentos de rede Uso de acessos validos e confiáveis Para acessar outras redes “ Sniffing”- tráfego Hoaxes-Boatos Desconexão e quebras físicas Corrupção de nomes de domínios Ataques aos ISP Ataques a infraestrutura crítica Anonimato Roubo e uso de celulares clonados Hijacking the ID and password de um usuário legítimo da rede /54

33. RELATIVOS A DADOS Interceptação Modificação Roubo Defacement de website e-mail spoofing Bancos de dados e conteúdo de documentos Transações comerciais Propriedade Intelectual Dados pessoais User IDs and passwords Informações proprietárias Voz e fax e-mail Transferência de dados (fixo e movel) 10010101001 /54

34. RELATIVOS AO ACESSO Hacking Distribuição de Código malicioso Accesso não autorizado às redes e sistemas de computadores Uso de serviços eletrônicos sem pagamento Apagar e/ou destruir dados Divulgação de falhas de segurança e descobrir como explorar Invasão de privacidade Para lançar e distribuir ataques de denial of service Para causar lentidão ou fechamento de redes (worm) Para corromper servidores e dados (virus and/or worm) Para ganhar controle de um servidor ou device (trojan horse, back door) Para pedir pagamento (logical bomb) /54

35. RELATIVOS A COMPUTADORES Ajudando o cyber-crime Fraudes Forjando Provendo (sabendo ou não) técnicas, financiamento e facilidades legais para conduzir ou/e esconder cyber-crime Mensagens e documentos I.D digitais Dados de copyright (software, música, e-book) Falsificando ou financiando transações Uso de cartões de crédito ou dados pessoais /54

36. IMPACTO DE ALGUNS ATAQUES Mais intrusivos Mais caros Mais divulgados Mais frequentes Virus, worm, trojan horse fraudes, sabotagem Roubos de informações proprietárias Ataques em e-business - Roubos de Cartões - Negação de Serviço Erros no desenvolvimento Erros na configuração de redes Precária administração de sistemas /54

37. PARA PENSAR Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional Quais são as diferenças ? - silenciosa - anônima - sem território definido - sem reação Quem? Como? De onde? /54

38. PARA PENSAR GUERRA CONVENCIONAL : defesa da Infraestrutura crítica com foco nas 4 dimensões fisícas: TERRA MAR AR ESPAÇO EXTERIOR GUERRA CIBERNÉTICA : 5ª dimensão ESPAÇO CIBERNÉTICO /54

39. ENTÃO ATAQUE CIBERNÉTICO EXISTE? /54

40. O que é ataque cibernético Cyberattack refers to deliberate actions to alter, disrupt, deceive,degrade, or destroy computer systems or networks or the information and/or programs resident in or transiting these systems or networks. /54

41. ENTÃO ATAQUE CIBERNÉTICO EXISTE? Estonia – 2007 Mark Landler and John Markoff, “In Estonia, What May Be the First War in Cyberspace,” International Herald Tribune, May 28, 2007. Joshua Davis, “Hackers Take Down the Most Wired Country in Europe,” Wired, Issue 15.09, August 21, 2007. /54

42. ENTÃO ATAQUE CIBERNÉTICO EXISTE? Georgia 2008 In August 2008, a military conflict involving land, air, and sea forces of Georgia and Russia occurred in South Ossettia and Abkhazia, provinces under the nominal control of Georgia. Russian military action in this conflict was immediately preceded by a number of cyberattacks against a variety of websites of the Georgian government. /54

43. ENTÃO ATAQUE CIBERNÉTICO EXISTE? Sim – A maioria dos ataques porém não tem alvo certo, nenhum estado soberano fala abertamente de ataque cibernético. São dirigidos a vulnerabilidades dos sistemas, aplicativos ou a aplicativos de controle de ativos de rede /54

44. ATAQUE DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDO(DDOS) Fevereiro de 2000 Anatomia Busca de servidores inseguros Instalação de software para ataques tornando os servidores escravos do atacante Lançamento do ataque remotamente ativando todos os sistemas simultaneamente /54

45. WORMS X VÍRUS Worms x vírus Vírus ficam latentes enquanto vc não faz alguma atividade para ativá-los Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado Primeiro worm – 1989 – Morris worm Julho de 2001 – Code Red – 359.000 sistemas – a cada 37 minutos dobrava sua capacidade de ataque /54

46. SQL SLAMMER ATTACK Janeiro de 2003 – sql slammer worm Dobrava o número de sistemas atacados a cada 8,5 segundos Infectou 90% dos servidores vulneráveis em apenas 10 minutos Apenas 3 minutos após sua ativação ele já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo Infectou 75.000 servidores com sérias conseqüências 13.000 ATM do Bank of America foram desabilitados O serviço de emergência 911 foi desabilitados afetando 680.000 pessoas 14 corpos de bombeiros e 2 delegacias tb foram afetados A Microsoft já havia disponibilizado a correção a seis meses /54

47. Conficker – Nov 2008 The program, known as Conficker , uses flaws in Windows software to co-opt machines and link them into a virtual computer that can be commanded remotely by its authors. With more than five million of these zombies now under its control — government, business and home computers in more than 200 countries .(NYT) /54

48. Conficker There is also a different possibility that concerns the researchers: That the program was not designed by a criminal gang, but instead by an intelligence agency or the military of some country to monitor or disable an enemy’s computers(NYT) /54

49. Declaração -2009 ''States, terrorists and those who would act as their proxies must know that the United States will protect our networks,‘’ Hillary Rodham Clinton /54

50. VULNERABILIDADES DOS SOFTWARES E INFRAESTRUTURA Bugs – código não esperados que sempre causam funcionamento inesperado Bom programa – 1 a 2 bugs a cada 1000 linhas de código Windows Vista – +50 milhões de linhas de código Linux – somente o kernel – +10 milhões /54

51. MUNDO DO SOFTWARE Novos softwares significam novos bugs Bugs antigos nem sempre são corrigidos Correções nem sempre são implementadas Correções podem conter novos bugs /54

52. NOVO CENÁRIO Os golpes de PHISHING vão se mostrar mais audaciosos e elaborados. E-mails contém scripts que reescrevem os arquivos “hosts” das máquinas. Para capturar números de contas bancárias + senhas não é necessário clicar em um link. /54

53. CONVERGÊNCIA Golpes financeiros na INTERNET combinam várias técnicas: Spam no envio da mensagem; Vírus na criação e instalação do Trojan; Engenharia social; Lavagem de dinheiro (pagamento de contas); Fraudes no comércio eletrônico . /54

54. COMO ESTÁ O BRASIL Telecomunicações Toda a rede de telecomunicações é privada. Existem estudos em andamento para identificar os pontos criticos da rede VOIP /54

55. COMO ESTÁ O BRASIL Internet Gestão pelo Comitê Gestor da Internet Existem grupos de Resposta a Incidentes em setores públicos e privados O governo criou o CSIRT-Gov /54

56. COMO ESTÁ O BRASIL Setor Elétrico Existe controle centralizado via ONS O sistema é muito complexo e sua operação é muito dependente da rede de controle. /54

57. COMO ESTÁ O BRASIL O Gabinete de Segurança Institucional da Presidência da Republica criou vários grupos de estudo para tratar do assunto na sua área de atuação O Ministério da Defesa tratou o setor cibernético como prioritário na Estratégia Nacional de Defesa. /54

58. O PROBLEMA É SÓ NOSSO? Não Em todos os locais do mundo a solução depende da cooperação dos setores públicos e privados Embora as políticas e coordenação estejam no governo a maioria da infraestrutura é propriedade do setor privado As ações dependem de todos /54

59. ONDE CADA UM PODE COOPERAR? Setor privado Desenvolvimento, suprimento, operação e manutenção dos componentes e serviços Operação segura Participação nos comitês instituídos Planejamento de emergência e defesa de redes O QUE É CRíTICO PARA O SETOR PRIVADO NEM SEMPRE É CRíTICO PARA DEFESA NACIONAL /54

60. ONDE CADA UM PODE COOPERAR? Instituições reguladoras ABNT , ANATEL, ANEEL, ANA Universidades Grupos de resposta a incidentes e formação de pessoal Usuários finais Proteção de sistemas pessoais – antivírus, firewall pessoal, atualização dos sistemas /54

61. CONCLUSÕES Aperfeiçoar continuamente o modelo de proteção da infraestrutura critica Papel do setor privado Papel dos CERT Confiança e notificação Métricas e recursos Usuários finais Cyberwar é uma realidade, é bom estar preparado /54

62. OBRIGADO PELA SUA ATENÇÃO João Rufino de Sales-TC Exército Brasileiro Departamento de Engenharia e Construção – DEC  61 – 3415-5141  [email_address] Apresentação baseada no e-book Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities http://www.nap.edu/catalog/12651.html /54