Ameaas e Mecanismos de Proteo

Malware

Definio de Malware

O termo Malware se refere a programas especificamente desenvolvidos para executar aes danosas em um computador (cdigos maliciosos). Exemplos:

vrus cavalos de tria backdoors spywares keylogger worms rootkits spam

Malware

Descrio de Cdigos Maliciosos

Vrus de Computador

um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco.

Malware

Descrio de Cdigos Maliciosos

Cavalos de Tria

um programa, normalmente recebido como um "presente" (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente danosas e sem o conhecimento do usurio. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:

instalao de keyloggers ou screenloggers; furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador;

Malware

Descrio de Cdigos Maliciosos

Backdoors

Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, tambm inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim, d-se o nome de backdoor.

Malware

Descrio de Cdigos Maliciosos

Spyware

Refere-se a uma categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Atividades realizadas por esse tipo de malware:

monitoramento de URLs acessadas enquanto o usurio navega na Internet; varredura dos arquivos armazenados no disco rgido do computador; monitoramento e captura de informaes inseridas em outros programas, como IRC ou processadores de texto; cavalo de tria -> spyware -> keyloggers ou screenloggers

Malware

Descrio de Cdigos Maliciosos

Keylogger

um programa capaz de capturar e armazenar as teclas digitadas pelo usurio. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito.

Malware

Descrio de Cdigos Maliciosos

Worm

Cdigo capaz de propagar-se automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos. Detectar a presena de um worm em um computador no uma tarefa fcil. Muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento.

Malware

Descrio de Cdigos Maliciosos

Rootkits

Um invasor, ao realizar uma invaso, pode utilizar mecanismos para esconder e assegurar a sua presena no computador comprometido. O conjunto de programas que fornece estes mecanismos so conhecidos como rootkit. Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados:

programas para esconder atividades e informaes deixadas pelo invasor, tais como arquivos, diretrios, processos, conexes de rede; programas para remoo de evidncias em arquivos de logs; sniffers, backdoors e scanners,outros tipos de malware, como cavalos de tria, keyloggers, ferramentas de ataque de negao de servio, etc.

Malware

Descrio de Cdigos Maliciosos

Spam

Spam o termo usado para referir-se aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, esse tipo de mensagem chamada de UCE (do ingls Unsolicited Commercial E-mail). Spam zombies so computadores de usurios finais que foram comprometidos por cdigos maliciosos em geral, como worms, bots, vrus e cavalos de tria. Estes cdigos maliciosos, uma vez instalados, permitem que spammers utilizem a mquina para o envio de spam, sem o conhecimento do usurio. Enquanto utilizam mquinas comprometidas para executar suas atividades, dificultam a identificao da origem do spam e dos autores tambm.

Engenharia Social

Definio

Conjunto de tcnicas usadas para obter informaes sigilosas atravs da interao (presencial ou virtual) com colaboradores. Esse tipo de ameaa explora diversas vulnerabilidades, por exemplo, falta de treinamento e capacitao de colaboradores, ausncia de controles (poltica de segurana e mecanismos de controle de acesso e monitoramento)

O ser humano possui traos comportamentais que o torna vulnervel a ataques de engenharia social.

A engenharia social permite ao invasor reunir uma srie de informaes sobre a vtima (rotina, telefone, dados pessoais, dados da empresa, etc.)

Engenharia Social

Anatomia

Obter Informaes gerais sobre o alvo Desenvolve o relacionamento Explora esse relacionamento Aes para atingir o objetivo

Conceito de Controle

Controle

Forma de Gerenciar o risco, incluindo polticas procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal [ISO/IEC 17799:2005]. Controle tambm utilizado como sinnimo para proteo ou contramedida, medidas de segurana. Os controles podem ser classificados como: preventivas e corretivas. Um Plano de Continuidade de Negcios pode ser considerado tanto um controle preventivo (quando da sua criao) quanto uma ao corretiva (quando da sua aplicao).

Criptografia

Criptografia Simtrica (1)

Baseia-se na simetria das chaves, isto : a mesma chave utilizada tanto para cifrar quanto para decifrar uma mensagem.
KA Alice Beto

KA

Criptografia

Criptografia Simtrica

Aspectos Positivos

Bom desempenho nos processos de criptografia e descriptografia; Garantia de confidencialidade;

Limitaes

Necessita de um canal seguro para a realizao da troca de chaves; No garante autenticidade e no-repdio; Cada par (receptor - emissor) necessita de uma chave para se comunicar de forma segura. Sendo assim temos como o nmero total de chaves necessrias.

Criptografia

Criptografia Assimtrica (1)

As chaves so sempre geradas aos pares: uma para cifrar e a sua correspondente para decifrar.

As duas chaves so relacionadas atravs de um processo matemtico, usando funes unidirecionais para a codificao da informao.

Uma das chaves mantida em segredo e ganha o nome de chave privada, enquanto a outra livremente divulgada pela rede e recebe o nome de chave pblica A chave pblica cifra e a chave privada decifra

Criptografia

Criptografia Assimtrica (2)

Alice

Beto

chave privada de Beto

Criptografia

Criptografia Assimtrica (3)

Alice

Beto

chave privada de Beto

Criptografia

Criptografia Assimtrica

Aspectos Positivos

Mais segura do que a criptografia simtrica, por no precisar comunicar ao receptor a chave necessria para descriptografar a mensagem. Qualquer usurio pode enviar uma mensagem secreta, utilizando apenas a chave pblica de quem ir receb-la. Como a chave pblica est amplamente disponvel, no h necessidade do envio de chaves como no modelo simtrico. Garante confidencialidade, autenticidade e no-repdio O nmero de chaves por participantes 2n Baixo desempenho quando comparado com a criptografia simtrica

Limitaes

Criptografia

Protocolos Seguros (1)

SSL (Secure Socket Layer)

O protocolo SSL, originalmente desenvolvido pela Netscape, atua na camada de transporte e, geralmente, utilizado para garantir que a comunicao entre um servidor web e um cliente (browser) seja segura. Servios oferecidos pelo SSL Confidencialidade Autenticao Integridade

Criptografia

Protocolos Seguros (2)

SSL (Secure Socket Layer)

Como idenificar sites Seguros (https)

Criptografia

Protocolos Seguros (3)

SSL (Secure Socket Layer)

:: Segurana da Informao ::

Criptografia

Protocolos Seguros (4)

IPSEC (Internet Protocol Security)

Conjunto de protocolos que visa oferecer autenticidade e confidencialidade na camada de rede.

Autenticidade -> identificar o endereo IP de origem Confidencialidade -> criptografar o campo de dados do datagrama

Atravs desse protocolo so oferecidos servios de segurana de forma transparente as demais camadas superiores.

No necessrio implementar segurana, por exemplo, na camada de aplicao

Permite criar mltiplos canais seguros entre dois hosts Recurso nativo no IPv6.

Firewalls

Conceito

Mecanismo que restringe e controla o fluxo do trfego de dados entre redes, mais comumente entre uma rede interna e a Internet.

Todo o trfego de dentro para fora da rede e vice-versa deve passar pelo firewall; S o trfego definido pela poltica de segurana da rede permitido passar pelo firewall; O prprio sistema de firewall deve ser resistente a tentativas de ataque.
Firewall ponto central de controle

Firewalls

Tipos de Firewalls

Packet Filtering

Nesse tipo de mecanismo, a tomada de deciso referente a aceitao ou rejeitao um pacote realizada em funo da anlise do contedo de um pacote (nvel de rede) e de uma srie de regras prconfiguradas no dispositivo. Em um stateful filter existe uma tabela de estados que armazena informaes sobre as conexes. A partir dessa tabela de estados possivel identificar "quem", "o que" e "para quem". Na definio das regras de um firewall stateful possivel definir critrios que envolvam informaes das seguintes camadas: Aplicao (nem sempre), Transporte e Rede.

Stateful Firewalls

Firewalls

Limitaes

No pode proteger a empresa contra usurios internos; No pode proteger a empresa de ataques que utilizem conexes que no passam pelo fw (acesso remoto via dial-up); No capaz de bloquear novos ataques; No substitu o sistema de anti-vrus.

Deteco e Preveno de Intruso

Sistemas de Deteco de Intruso (1)

Deteco de Intruso

o processo de identificao e notificao de atividades maliciosas, atividades no autorizadas e ataques que tenham como alvo, um computador, uma rede ou a infra-estrutura de comunicao.

Sistemas de Deteco de Intruso ou Intrusion Detection Systems (IDSs)

o conjunto de hardware e software cujo objetivo identificar determinados eventos que se deseja evitar. Esses eventos so capturados por sensores distribudos ao longo do ambiente monitorado. To logo um evento seja capturado, o mesmo submetido ao analizador de evento um componente capaz de identificar o que de fato ou no um ataque ou atividade intrusiva.

Deteco e Preveno de Intruso

Sistemas de Deteco de Intruso (2)

Classificao

Parmetro: Escopo de atuao

Network Intrusion Detection Systems (NIDS) Host Intrusion Detection Systems (HIDS)

Parmetro: Tcnicas de Deteco

Baseada em Assinaturas Baseada em Anomalia

Deteco e Preveno de Intruso

Sistemas de Deteco de Intruso (3)

Cenrio Distribudo com Sensores de NIDS e HIDS

:: Segurana da Informao ::

Deteco e Preveno de Intruso

Sistemas de Preveno de Intruso (1)

O conceito preveno de intruso alm muito intuitivo pode ser facilmente entendido a partir do entendimento do modelo de defesa ilustrado na figura a seguir.

Deteco e Preveno de Intruso

Sistemas de Preveno de Intruso (2)

Sistemas de Preveno de Intruso ou Intrusion Prevention Systems (IPSs)

Ao contrrio dos IDSs, que uma ferramenta passiva, o IPS uma mecanismo de defesa pr-ativo. Portanto, tem como objetivo detectar e previnir a ocorrncia de ataques conhecidos.

IPS => Firewall + IDS

A definio ideal de IPS contempla ainda:

Anlise de vulnerabilidades Atualizao dos hosts vulnerveis

Redes Virtuais Privadas

O que uma Virtual Private Network (VPN)?

Rede privada implantada sobre a infra-estrutura de uma rede pblica; Consiste na criao de tneis para a transferncia de informaes de modo seguro, entre redes corporativas ou usurios remotos. O conceito de VPN surgiu da necessidade de se utilizar redes de comunicao no confiveis para trafegar informaes de forma segura.

Redes Virtuais Privadas

Quais as vantagens em utilizar VPNs?

Elimina a necessidade de aluguel de linhas dedicadas

Uma empresa, para conectar a matriz e uma filial por meio de uma rede privada tradicional, necessita de uma linha dedicada. J para conectar a matriz e duas filiais, duas linhas adicionais so necessrias.

Diminui a necessidade de ligaes de longa distncia para o acesso remoto

Oferecem uma maior flexibilidade de uso (j que pontos de acesso Internet esto disponveis em vrios locais onde linhas dedicadas no esto acessveis)

Outros Controles

Segurana Fsica

Referncias
[1] Microsoft Corporation. Modelagem de Ameas. Patterns & practices (2004) [2] Microsoft Corporation. Ameaas e Contramedidas. (2004) [3] Cert.br. Cartilha de Segurana na Internet: Parte VIII.Disponivel em: http://www.cert.br [4] Antispam.br. Disponivel em: AntiSpam. http://www.antispam.br [5] Os vdeos apresentados nesta aula (slide 4 e 12) foram produzidos por um dos grupos de trabalho do Comit Gestor da Internet no Brasil e esto disponveis no site: http://www.antispam.br/videos/ [6] OWASP Open Web Application Security Project. http://www.owasp.org [7] Social Engineering: Exposing the Danger Within. http://www.gartner.com/gc/webletter/security/issue1/index.html

Referncias
[8] Diffie, W.; Hellman, M. New directions in cryptography. In: IEEE Transactions on Information Theory (1976), v. 22, p. 644-654. [9] Building Internet Firewalls.Disponivel em: http://www.unix.org.ua/orelly/networking/firewall/ [10] Snort 2.0 Intrusion Detection (Autores: Jay Beale e James C. Foster) [11] All-in-One is All You Need (Autora: Shon Harris) [12] Autenticao Biomtrica. Disponvel em: http://mega.ist.utl.pt/~icaas/2002/Slides/biometria.pdf (Leitura Fortemente Recomendada)