O documento discute os conceitos de guerra cibernética e ataques de informação. Apresenta a dependência crescente de sistemas computacionais e a vulnerabilidade da infraestrutura crítica a ataques cibernéticos. Discorre sobre os diferentes tipos de ataques, motivações dos atores e impactos potenciais. Argumenta que a guerra cibernética representa uma nova modalidade de conflito sem as limitações territoriais das guerras convencionais.

1. Guerra Cibernética – Cyberwar
Mito ou realidade?
João Rufino de Sales
As informações e idéias contidas na apresentação são pessoais e podem não refletir a
opinião de Instituições ou grupos que o autor participa ou pertence.
1/54

2. Conceitos
2/54

3. CONCEITOS
Guerra de Informações (Information Warfare)
“... operações de informação conduzidas durante período
de crise ou conflito (incluindo guerra) para alcançar ou
promover objetivos específicos sobre um ou mais
adversários específicos.”
3/54

4. CONCEITOS
Guerra de Comando e Controle (C2 Warfare)
“... um subconjunto da guerra de informação e uma
aplicação da mesma em operações militares.”
“... o uso integrado de operações psicológicas (PSYOPS),
despistamento (deception) militar, segurança de
operações (OPSEC), guerra eletrônica e destruição física,
mutuamente suportadas por inteligência para negar
informação, influenciar, degradar ou destruir as
capacidades de C2 adversárias enquanto protege as
capacidades de C2 amigas contra estes tipos de ação.”
4/54

5. CONCEITOS
Guerra Assimétrica (Asymetrical Warfare)
“... operações realizadas por uma força relativamente
pequena e pouco equipada contra pontos fracos de um
oponente superior usando meios não ortodoxos.”
5/54

6. CONCEITOS
Guerra Estratégica de Informação
(Strategic Information Warfare)
“... baseada em ações técnicas que buscam através do uso
da tecnologia da informação como arma ou como alvo
afetar, de alguma forma, o funcionamento dos sistemas
de comando e controle da chamada infraestrutura crítica
nacional de um oponente.”
Nesta apresentação, este mesmo conceito está sendo
adotado para Guerra Cibernética ou Ciberguerra
(Cyberwar)
6/54

7. CONCEITOS
Operações de Informação (Information Operations)
“... ações tomadas para afetar informações e sistemas de
informação adversários, ao mesmo tempo que defende
suas próprias informações e sistemas de informação.”
7

8. CONCEITOS
Cibercrime
Compreende exploração ilegal, hacking e outras intrusões
em sistemas perpetradas por um indivíduo ou grupo com
interesses e intentos criminais ou auto-motivados.
8/54

9. CONCEITOS
Ataques de Informação
“... atividades realizadas para manipular ou destruir
informações ou sistemas de informação de um inimigo,
sem necessariamente modificar visivelmente a entidade
física na qual ele se encontra.”
9/54

10. CONCEITOS
Objetivos dos Ataques de Informação
• Alterar informações para afetar o processo de tomada
de decisão;
• destruir a confiança do inimigo no sistema;
• forçar um adversário a usar meios de menor tecnologia
e, em muitos casos, menos seguros, para disseminar
informações críticas; e
• permitir que informações possam ser obtidas por forças
amigas.
10/54

11. Diante de tantas ameaças o que
proteger?
11/54

12. INFRAESTRUTURA CRÍTICA
Instalações serviços e bens que, se forem
interrompidos ou destruídos provocarão sério
impacto social econômico ou político.
12/54

13. SERVIDORES DNS ESTÃO
VULNERÁVEIS A ATAQUES
 Quinta-feira, 4 de agosto de 2005 - 08:27 IDG Now!
 Vários servidores de Sistemas de Nomes de Domínio
(DNS), parte crítica da infraestrutura da internet, estão
vulneráveis a ataques que poderiam levar a disseminar
fraudes, revelou um especialista de segurança.
 Em um mapeamento conduzido pelo pesquisador Dan
Kaminsky foi constatado que dezenas de milhares de
servidores podem estar vulneráveis a um tipo de ataque
que direciona o tráfego da internet para sites maliciosos.
 A técnica, conhecida como envenenamento de cache
DNS, despertou atenção pública quando hackers
direcionaram tráfego de um grande número de sites
financeiros, de entretenimento, viagens e saúde a
outros servidores a fim de instalar software malicioso.
13/54

14. PROTEÇÃO DE INFRAESTRUTURA DE
REDE CRÍTICA (IRC)
Definição
É toda atividade destinada a proteger os acessos,
as facilidades e os serviços de telecomunicações
e de rede, que são essenciais para a operação
dos elementos que podem comprometer a
infraestrutura crítica nacional, regional ou
internacional.
14/54

15. PROTEÇÃO DE INFRAESTRUTURA DE
REDE CRÍTICA (IRC)
Alcance
 Mundial
 Regional
 Local
Atualmente a maior parte dos incidentes
são locais , a não ser que as infraestruturas
sejam compartilhadas (ex: Itaipu, Internet).
15/54

16. O QUE MUDOU?
 Aumento no terrorismo internacional
 Aumento na dependência do governo e
iniciativa privada dos computadores e redes de
telecom
 Surgimento da Internet – possibilidade de
ataques cibernéticos
16/54

17. DEPENDÊNCIA
 “…a tecnologia da informação
constitui o enlace de controle (control
loop) de praticamente todas as
infraestruturas críticas…”
FONTE: Making the Nation Safer (NCR 2002)
 Essa dependência se torna tão forte
que o que acontece a um sistema
pode afetar outros sistemas não
diretamente inter-relacionados.
17/54

18. COMPONENTES CHAVES DA IRC
 Telecomunicações
Voz, dados, cabos, wireless, satélite e serviços
de internet
 Internet
Distribuída, muito utilizada, suscetível a um
ataque cibernético, pode ser usada para
atacar outras redes sem fronteiras
 Rede Elétrica
Impacta todos os setores da economia
18/54

19. SETORES CHAVES PARA A IRC
 Financeiro
 Governo
 Suprimento de Energia e distribuição
 Transportes
 Emergência
 Saúde
 Água e Esgoto
 Produção, distribuição e guarda de alimentos
19/54

20. HÁ ALGO DE NOVO NO HORIZONTE?
 Desastres naturais , ataques físicos ou falhas de
operação – extensão e dano imediatos ,
limitados geograficamente. Ex: Apagões, WTC
 Ataque Cibernético ?
20/54

21. ATAQUES CIBERNÉTICOS SÃO
DIFERENTES
É facil de aprender a fazer Muitas redes podem
e adquirir ferramentas ser comprometidas
e muitos países
envolvidos
Um pequeno
investimento Não é preciso contato
causa um grande Com as vítimas
prejuizo
Deixa pouco ou É facil se
nenhum rastro esconder
Não existe legislação
adequada em todos os lugares
21/54

22. PRINCÍPIOS DA SEGURANÇA DA
INFORMAÇÃO
 100% de segurança é um valor que não
pode ser atingido
 Riscos devem ser calculados e balanceados
 Segurança tem que ser calculada em
relação a disponibilidade
22/54

23. ENTÃO ATAQUE CIBERNÉTICO EXISTE?
23/54

24. ESPAÇO CIBERNÉTICO: O MUNDO DOS BITS
WWW
Deep Web
Intranets
Extranets
Satelite
Business to Business Militares
(B2B) Estradas de ferro
Trafego Aéreo
Nuclear
24/54

25. O QUE NÓS FAZEMOS NO E@?
Transações E-commerce
lista em constante E-governo, transferência de fundos
crescimento Normalmente
Reservas e Compras Aéreas
Mensageria,Redes Sociais,
São Criticas
Algumas são Missões Alguns podem não ser
Critica criticos
Análises
Estatisticas Suporte a processos
Data mining Controle de tráfego Aéreo
Análises Financeiras Utilidades
Análises de atualização Aumentando o Logística e acompanhamento
Business Intelligence Grau de criticidade Knowledge management
Análise de Situação Automação de Escritório
Serviços de Rede
e-publishing
Publicações
Bancos de dados-acesso
Publicações
25/54

26. TIPOS DE ATAQUE CIBERNÉTICO
Computadores e comunicações
Computadores e comunicações como alvos
como ferramentas
Fraudes
Extorsão
Quebra de senhas
Espionagem
Decriptografia
Interceptação
Computadores e comunicações
como armas
Código Malicioso
Negação de Serviço
Sabotagem
Armas inteligentes 26/54

27. O QUE MOTIVA OS ATORES?
Script Kiddies Hacktivists
Garotos que pensam Cyber-hooligans
Que são “big boys” Negação de Serviço
Ego-trip Serem ouvidos
nuances Causar embaraços
Maliciosos
Ganhar publicidade
Ethical Hackers Violação de copyright
Mostrar o quanto são espertos Anarquistas
Identificar vulnerabilidades Desrespeitar as leis
Ter ganhos financeiros
Muitos querem se tornar
consultores de segurança 27/54

28. O QUE MOTIVA OS ATORES?
Espionagem Industrial
Sempre dinheiro
Indústria da violação de
copyright
“Somente porque eles estão lá”
Vírus e worm designers Testar novas maneiras de espalhar código
malicioso
Non-ethical Hackers Causar perda ou corrupção de dados
(crackers) Espalhar ID ou passwords
Spoofing
Espalhar números de cartões de créditos
Sabotagem, etc
Pequeno risco de detecção e punição 28/54

29. O QUE MOTIVA OS ATORES?
Denegrir a imagem de uma pessoa
Intento Criminal: fraude, extorção, roubo,
Corupção de dados, sabotagem, etc
Baixo risco de detecção e punição
Invasores
Novas áreas de oportunidade - globais
Facilidade de se esconder no espaço cibernético
Facilidade de estabelecer redes globais
Falta de legislação e jurisdição
Crime organizado
29/54

30. O QUE MOTIVA OS ATORES?
Cyber-terroristas ou estados
Dirigidos pela ideologia
Oportunidades ilimitadas
Baixo volume de recursos necessários
Grande impacto dos ataques bem sucedidos
Grande visibilidade
Facilidade de estabelecer redes globais
Abilidade de se esconder
Falta de legislação ou jurisdição
30/54

31. FORMAS DE ATAQUE
Relativos a Rede Relativos aos dados
Interferencia Interceptação
Sabotagem Modificação
Anonimato CATEGORIAS Roubo
Relativos ao acesso Relativos aos
Hacking Computadores
Distribuição de código malicioso Fraudes
31/54

32. FORMAS DE ATAQUE
Desconexão e quebras físicas
Corrupção de nomes de domínios
Interferência Ataques aos ISP
Ataques a infraestrutura crítica
Sabotagem
Denial of service
Controle servidores ou Anonimato
Equipamentos de rede Roubo e uso de celulares clonados
Uso de acessos validos e confiáveis Hijacking the ID and password de
Para acessar outras redes um usuário legítimo da rede
“Sniffing”- tráfego
Hoaxes-Boatos 32/54

33. RELATIVOS A DADOS
Interceptação Voz e fax
e-mail
(fixo e movel)
Transferência de dados
Defacement de website
10010101001 e-mail spoofing
Modificação Bancos de dados e conteúdo
de documentos
Transações comerciais
Propriedade Intelectual
Roubo Dados pessoais
User IDs and passwords
Informações proprietárias 33/54

34. RELATIVOS AO ACESSO
Hacking Accesso não autorizado às redes e sistemas
de computadores
Uso de serviços eletrônicos sem pagamento
Apagar e/ou destruir dados
Divulgação de falhas de segurança e descobrir
como explorar
Invasão de privacidade
Para lançar e distribuir ataques de denial of service
Para causar lentidão ou fechamento de redes (worm)
Para corromper servidores e dados
Distribuição de (virus and/or worm)
Código malicioso Para ganhar controle de um servidor ou device
(trojan horse, back door)
Para pedir pagamento (logical bomb)
34/54

35. RELATIVOS A COMPUTADORES
Ajudando o Provendo (sabendo ou não) técnicas, financiamento
cyber-crime e facilidades legais para conduzir ou/e
esconder cyber-crime
Falsificando ou financiando transações
Fraudes Uso de cartões de crédito ou dados pessoais
Mensagens e documentos
Forjando I.D digitais
Dados de copyright (software, música, e-book)
35/54

36. IMPACTO DE ALGUNS ATAQUES
Mais intrusivos Mais caros
fraudes, sabotagem
Virus, worm, trojan horse
Roubos de informações proprietárias
Mais divulgados Mais frequentes
Ataques em e-business Erros no desenvolvimento
- Roubos de Cartões Erros na configuração de redes
- Negação de Serviço Precária administração de sistemas
36/54

37. PARA PENSAR
 Guerra Cibernética é (conceitualmente) apenas uma
nova modalidade da guerra convencional
 Quais são as diferenças ?
- silenciosa
- anônima
- sem território definido
- sem reação
Quem? Como? De onde?
37/54

38. PARA PENSAR
 GUERRA CONVENCIONAL: defesa da Infraestrutura crítica com
foco nas 4 dimensões fisícas:
TERRA
MAR
AR
ESPAÇO EXTERIOR
 GUERRA CIBERNÉTICA: 5ª dimensão
ESPAÇO CIBERNÉTICO
38/54

39. ENTÃO ATAQUE CIBERNÉTICO
EXISTE?
39/54

40. O que é ataque cibernético
• Cyberattack refers to deliberate actions to
alter, disrupt, deceive,degrade, or destroy
computer systems or networks or the
information and/or programs resident in or
transiting these systems or networks.
40/54

41. ENTÃO ATAQUE CIBERNÉTICO EXISTE?
• Estonia – 2007
• Mark Landler and John Markoff, “In Estonia,
What May Be the First War in Cyberspace,”
• International Herald Tribune, May 28, 2007.
• Joshua Davis, “Hackers Take Down the
Most Wired Country in Europe,” Wired,
Issue
• 15.09, August 21, 2007.
41/54

42. ENTÃO ATAQUE CIBERNÉTICO EXISTE?
• Georgia 2008
• In August 2008, a military conflict involving
land, air, and sea forces of Georgia and Russia
occurred in South Ossettia and Abkhazia,
provinces under the nominal control of
Georgia. Russian military action in this conflict
was immediately preceded by a number of
cyberattacks against a variety of websites of
the Georgian government.
42/54

43. ENTÃO ATAQUE CIBERNÉTICO EXISTE?
 Sim – A maioria dos ataques porém não tem
alvo certo, nenhum estado soberano fala
abertamente de ataque cibernético.
 São dirigidos a vulnerabilidades dos sistemas,
aplicativos ou a aplicativos de controle de
ativos de rede
43/54

44. ATAQUE DE NEGAÇÃO DE SERVIÇO
DISTRIBUÍDO(DDOS)
 Fevereiro de 2000
 Anatomia
– Busca de servidores inseguros
– Instalação de software para ataques tornando os
servidores escravos do atacante
– Lançamento do ataque remotamente ativando
todos os sistemas simultaneamente
44/54

45. WORMS X VÍRUS
 Worms x vírus
– Vírus ficam latentes enquanto vc não faz alguma
atividade para ativá-los
– Worms propaga-se automaticamente sem
nenhuma atividade por parte do infectado
– Primeiro worm – 1989 – Morris worm
– Julho de 2001 – Code Red – 359.000 sistemas – a
cada 37 minutos dobrava sua capacidade de
ataque
45/54

46. SQL SLAMMER ATTACK
 Janeiro de 2003 – sql slammer worm
– Dobrava o número de sistemas atacados a cada 8,5 segundos
– Infectou 90% dos servidores vulneráveis em apenas 10
minutos
– Apenas 3 minutos após sua ativação ele já verificava os
servidores a uma velocidade de 55 milhões de verificações
por segundo
– Infectou 75.000 servidores com sérias conseqüências
• 13.000 ATM do Bank of America foram desabilitados
• O serviço de emergência 911 foi desabilitados afetando 680.000
pessoas
• 14 corpos de bombeiros e 2 delegacias tb foram afetados
• A Microsoft já havia disponibilizado a correção a seis meses
46/54

47. Conficker – Nov 2008
• The program, known as Conficker, uses flaws
in Windows software to co-opt machines and
link them into a virtual computer that can be
commanded remotely by its authors. With
more than five million of these zombies now
under its control — government, business and
home computers in more than 200 countries
.(NYT)
47/54

48. Conficker
• There is also a different possibility that
concerns the researchers: That the program
was not designed by a criminal gang, but
instead by an intelligence agency or the
military of some country to monitor or disable
an enemy’s computers(NYT)
48/54

49. Declaração -2009
• ''States, terrorists and those who would act as
their proxies must know that the United States
will protect our networks,‘’ Hillary Rodham
Clinton
49/54

50. VULNERABILIDADES DOS SOFTWARES E
INFRAESTRUTURA
 Bugs – código não esperados que sempre
causam funcionamento inesperado
 Bom programa – 1 a 2 bugs a cada 1000 linhas
de código
 Windows Vista – +50 milhões de linhas de
código
 Linux – somente o kernel – +10 milhões
50/54

51. MUNDO DO SOFTWARE
 Novos softwares significam novos bugs
 Bugs antigos nem sempre são corrigidos
 Correções nem sempre são implementadas
 Correções podem conter novos bugs
51/54

52. NOVO CENÁRIO
 Os golpes de PHISHING vão se mostrar mais
audaciosos e elaborados.
 E-mails contém scripts que reescrevem os arquivos
“hosts” das máquinas.
 Para capturar números de contas bancárias + senhas
não é necessário clicar em um link.
52/54

53. CONVERGÊNCIA
 Golpes financeiros na INTERNET combinam
várias técnicas:
– Spam no envio da mensagem;
– Vírus na criação e instalação do Trojan;
– Engenharia social;
– Lavagem de dinheiro (pagamento de contas);
– Fraudes no comércio eletrônico.
53/54

54. COMO ESTÁ O BRASIL
 Telecomunicações
– Toda a rede de telecomunicações é privada.
– Existem estudos em andamento para identificar
os pontos criticos da rede
– VOIP
54/54

55. COMO ESTÁ O BRASIL
 Internet
– Gestão pelo Comitê Gestor da Internet
– Existem grupos de Resposta a Incidentes em
setores públicos e privados
– O governo criou o CSIRT-Gov
55/54

56. COMO ESTÁ O BRASIL
 Setor Elétrico
– Existe controle centralizado via ONS
– O sistema é muito complexo e sua operação é
muito dependente da rede de controle.
56/54

57. COMO ESTÁ O BRASIL
 O Gabinete de Segurança Institucional da Presidência
da Republica criou vários grupos de estudo para
tratar do assunto na sua área de atuação
 O Ministério da Defesa tratou o setor cibernético
como prioritário na Estratégia Nacional de Defesa.
57/54

58. O PROBLEMA É SÓ NOSSO?
 Não
– Em todos os locais do mundo a solução depende
da cooperação dos setores públicos e privados
– Embora as políticas e coordenação estejam no
governo a maioria da infraestrutura é propriedade
do setor privado
– As ações dependem de todos
58/54

59. ONDE CADA UM PODE COOPERAR?
 Setor privado
– Desenvolvimento, suprimento, operação e manutenção
dos componentes e serviços
– Operação segura
– Participação nos comitês instituídos
– Planejamento de emergência e defesa de redes
O QUE É CRíTICO PARA O SETOR PRIVADO NEM SEMPRE É
CRíTICO PARA DEFESA NACIONAL
59/54

60. ONDE CADA UM PODE COOPERAR?
 Instituições reguladoras
– ABNT , ANATEL, ANEEL, ANA
 Universidades
– Grupos de resposta a incidentes e formação de
pessoal
 Usuários finais
– Proteção de sistemas pessoais – antivírus, firewall
pessoal, atualização dos sistemas
60/54

61. CONCLUSÕES
 Aperfeiçoar continuamente o modelo de
proteção da infraestrutura critica
 Papel do setor privado
 Papel dos CERT
 Confiança e notificação
 Métricas e recursos
 Usuários finais
 Cyberwar é uma realidade, é bom estar
preparado
61/54

62. OBRIGADO PELA SUA ATENÇÃO
João Rufino de Sales-TC
CIASC
–  48-32311166
–  joao_rufino@yahoo.com.br
Apresentação baseada no e-book Technology, Policy, Law, and Ethics Regarding U.S.
Acquisition and Use of Cyberattack Capabilities
http://www.nap.edu/catalog/12651.html
62/54