Malware
Definio de Malware
O termo Malware se refere a programas especificamente desenvolvidos para executar aes danosas em um computador (cdigos maliciosos). Exemplos:
Malware
Vrus de Computador
um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco.
Malware
Cavalos de Tria
um programa, normalmente recebido como um "presente" (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente danosas e sem o conhecimento do usurio. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:
instalao de keyloggers ou screenloggers; furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador;
Malware
Backdoors
Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, tambm inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim, d-se o nome de backdoor.
Malware
Spyware
Refere-se a uma categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Atividades realizadas por esse tipo de malware:
monitoramento de URLs acessadas enquanto o usurio navega na Internet; varredura dos arquivos armazenados no disco rgido do computador; monitoramento e captura de informaes inseridas em outros programas, como IRC ou processadores de texto; cavalo de tria -> spyware -> keyloggers ou screenloggers
Malware
Keylogger
um programa capaz de capturar e armazenar as teclas digitadas pelo usurio. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito.
Malware
Worm
Cdigo capaz de propagar-se automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos. Detectar a presena de um worm em um computador no uma tarefa fcil. Muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento.
Malware
Rootkits
Um invasor, ao realizar uma invaso, pode utilizar mecanismos para esconder e assegurar a sua presena no computador comprometido. O conjunto de programas que fornece estes mecanismos so conhecidos como rootkit. Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados:
programas para esconder atividades e informaes deixadas pelo invasor, tais como arquivos, diretrios, processos, conexes de rede; programas para remoo de evidncias em arquivos de logs; sniffers, backdoors e scanners,outros tipos de malware, como cavalos de tria, keyloggers, ferramentas de ataque de negao de servio, etc.
Malware
Spam
Spam o termo usado para referir-se aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, esse tipo de mensagem chamada de UCE (do ingls Unsolicited Commercial E-mail). Spam zombies so computadores de usurios finais que foram comprometidos por cdigos maliciosos em geral, como worms, bots, vrus e cavalos de tria. Estes cdigos maliciosos, uma vez instalados, permitem que spammers utilizem a mquina para o envio de spam, sem o conhecimento do usurio. Enquanto utilizam mquinas comprometidas para executar suas atividades, dificultam a identificao da origem do spam e dos autores tambm.
Engenharia Social
Definio
Conjunto de tcnicas usadas para obter informaes sigilosas atravs da interao (presencial ou virtual) com colaboradores. Esse tipo de ameaa explora diversas vulnerabilidades, por exemplo, falta de treinamento e capacitao de colaboradores, ausncia de controles (poltica de segurana e mecanismos de controle de acesso e monitoramento)
O ser humano possui traos comportamentais que o torna vulnervel a ataques de engenharia social.
A engenharia social permite ao invasor reunir uma srie de informaes sobre a vtima (rotina, telefone, dados pessoais, dados da empresa, etc.)
Engenharia Social
Anatomia
Obter Informaes gerais sobre o alvo Desenvolve o relacionamento Explora esse relacionamento Aes para atingir o objetivo
Conceito de Controle
Controle
Forma de Gerenciar o risco, incluindo polticas procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal [ISO/IEC 17799:2005]. Controle tambm utilizado como sinnimo para proteo ou contramedida, medidas de segurana. Os controles podem ser classificados como: preventivas e corretivas. Um Plano de Continuidade de Negcios pode ser considerado tanto um controle preventivo (quando da sua criao) quanto uma ao corretiva (quando da sua aplicao).
Criptografia
Baseia-se na simetria das chaves, isto : a mesma chave utilizada tanto para cifrar quanto para decifrar uma mensagem.
KA Alice Beto
KA
Criptografia
Criptografia Simtrica
Aspectos Positivos
Limitaes
Necessita de um canal seguro para a realizao da troca de chaves; No garante autenticidade e no-repdio; Cada par (receptor - emissor) necessita de uma chave para se comunicar de forma segura. Sendo assim temos como o nmero total de chaves necessrias.
Criptografia
As chaves so sempre geradas aos pares: uma para cifrar e a sua correspondente para decifrar.
As duas chaves so relacionadas atravs de um processo matemtico, usando funes unidirecionais para a codificao da informao.
Uma das chaves mantida em segredo e ganha o nome de chave privada, enquanto a outra livremente divulgada pela rede e recebe o nome de chave pblica A chave pblica cifra e a chave privada decifra
Criptografia
Alice
Beto
Criptografia
Alice
Beto
Criptografia
Criptografia Assimtrica
Aspectos Positivos
Mais segura do que a criptografia simtrica, por no precisar comunicar ao receptor a chave necessria para descriptografar a mensagem. Qualquer usurio pode enviar uma mensagem secreta, utilizando apenas a chave pblica de quem ir receb-la. Como a chave pblica est amplamente disponvel, no h necessidade do envio de chaves como no modelo simtrico. Garante confidencialidade, autenticidade e no-repdio O nmero de chaves por participantes 2n Baixo desempenho quando comparado com a criptografia simtrica
Limitaes
Criptografia
O protocolo SSL, originalmente desenvolvido pela Netscape, atua na camada de transporte e, geralmente, utilizado para garantir que a comunicao entre um servidor web e um cliente (browser) seja segura. Servios oferecidos pelo SSL Confidencialidade Autenticao Integridade
Criptografia
Criptografia
:: Segurana da Informao ::
Criptografia
Autenticidade -> identificar o endereo IP de origem Confidencialidade -> criptografar o campo de dados do datagrama
Atravs desse protocolo so oferecidos servios de segurana de forma transparente as demais camadas superiores.
Permite criar mltiplos canais seguros entre dois hosts Recurso nativo no IPv6.
Firewalls
Conceito
Mecanismo que restringe e controla o fluxo do trfego de dados entre redes, mais comumente entre uma rede interna e a Internet.
Todo o trfego de dentro para fora da rede e vice-versa deve passar pelo firewall; S o trfego definido pela poltica de segurana da rede permitido passar pelo firewall; O prprio sistema de firewall deve ser resistente a tentativas de ataque.
Firewall ponto central de controle
Firewalls
Tipos de Firewalls
Packet Filtering
Nesse tipo de mecanismo, a tomada de deciso referente a aceitao ou rejeitao um pacote realizada em funo da anlise do contedo de um pacote (nvel de rede) e de uma srie de regras prconfiguradas no dispositivo. Em um stateful filter existe uma tabela de estados que armazena informaes sobre as conexes. A partir dessa tabela de estados possivel identificar "quem", "o que" e "para quem". Na definio das regras de um firewall stateful possivel definir critrios que envolvam informaes das seguintes camadas: Aplicao (nem sempre), Transporte e Rede.
Stateful Firewalls
Firewalls
Limitaes
No pode proteger a empresa contra usurios internos; No pode proteger a empresa de ataques que utilizem conexes que no passam pelo fw (acesso remoto via dial-up); No capaz de bloquear novos ataques; No substitu o sistema de anti-vrus.
Deteco de Intruso
o processo de identificao e notificao de atividades maliciosas, atividades no autorizadas e ataques que tenham como alvo, um computador, uma rede ou a infra-estrutura de comunicao.
o conjunto de hardware e software cujo objetivo identificar determinados eventos que se deseja evitar. Esses eventos so capturados por sensores distribudos ao longo do ambiente monitorado. To logo um evento seja capturado, o mesmo submetido ao analizador de evento um componente capaz de identificar o que de fato ou no um ataque ou atividade intrusiva.
Classificao
Network Intrusion Detection Systems (NIDS) Host Intrusion Detection Systems (HIDS)
:: Segurana da Informao ::
O conceito preveno de intruso alm muito intuitivo pode ser facilmente entendido a partir do entendimento do modelo de defesa ilustrado na figura a seguir.
Ao contrrio dos IDSs, que uma ferramenta passiva, o IPS uma mecanismo de defesa pr-ativo. Portanto, tem como objetivo detectar e previnir a ocorrncia de ataques conhecidos.
Rede privada implantada sobre a infra-estrutura de uma rede pblica; Consiste na criao de tneis para a transferncia de informaes de modo seguro, entre redes corporativas ou usurios remotos. O conceito de VPN surgiu da necessidade de se utilizar redes de comunicao no confiveis para trafegar informaes de forma segura.
Uma empresa, para conectar a matriz e uma filial por meio de uma rede privada tradicional, necessita de uma linha dedicada. J para conectar a matriz e duas filiais, duas linhas adicionais so necessrias.
Oferecem uma maior flexibilidade de uso (j que pontos de acesso Internet esto disponveis em vrios locais onde linhas dedicadas no esto acessveis)
Outros Controles
Segurana Fsica
Referncias
[1] Microsoft Corporation. Modelagem de Ameas. Patterns & practices (2004) [2] Microsoft Corporation. Ameaas e Contramedidas. (2004) [3] Cert.br. Cartilha de Segurana na Internet: Parte VIII.Disponivel em: http://www.cert.br [4] Antispam.br. Disponivel em: AntiSpam. http://www.antispam.br [5] Os vdeos apresentados nesta aula (slide 4 e 12) foram produzidos por um dos grupos de trabalho do Comit Gestor da Internet no Brasil e esto disponveis no site: http://www.antispam.br/videos/ [6] OWASP Open Web Application Security Project. http://www.owasp.org [7] Social Engineering: Exposing the Danger Within. http://www.gartner.com/gc/webletter/security/issue1/index.html
Referncias
[8] Diffie, W.; Hellman, M. New directions in cryptography. In: IEEE Transactions on Information Theory (1976), v. 22, p. 644-654. [9] Building Internet Firewalls.Disponivel em: http://www.unix.org.ua/orelly/networking/firewall/ [10] Snort 2.0 Intrusion Detection (Autores: Jay Beale e James C. Foster) [11] All-in-One is All You Need (Autora: Shon Harris) [12] Autenticao Biomtrica. Disponvel em: http://mega.ist.utl.pt/~icaas/2002/Slides/biometria.pdf (Leitura Fortemente Recomendada)