INFORMÁTICA Prof. Rafael Fernando Zimmermann Introdução A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou qualquer outra ameaça que possa prejudicar os sistemas de informação ou equipamentos de um indivíduo ou organização. Princípios C onfidencialidade I ntegridade D isponibilidade A utenticidade Confidencialidade Significa proteger informações contra sua revelação para alguém não autorizado - interna ou externamente. Integridade Consiste em proteger a informação contra modificação sem a permissão explícita do proprietário daquela informação. Disponibilidade Consiste na proteção dos serviços prestados pelo sistema de forma que eles não sejam degradados ou se tornem indisponíveis sem autorização. Autenticidade Identificação correta de um usuário ou computador. HACKER Indivíduos maliciosos, em geral com profundo conhecimento técnico, que agem com a intenção de violar sistemas de informação, burlando sistemas de segurança existentes. Os ataques são as tentativas, feitas por invasores, de agredir a D-I-C-A de um sistema de informações. Eles exploram as vulnerabilidades existentes nos sistemas de informação. Códigos Maliciosos (Malware) Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso". Alguns exemplos de malware são: vírus; worms; backdoors; cavalos de tróia; keyloggers e outros programas spyware; rootkits. VÍRUS é um programa de computador malicioso criado para gerar resultados indesejados, que se auto-dissemina sem o conhecimento do usuário, “contagiando” os computadores que tiverem contato com ele. Ele precisa de um programa executável para nele se instalar; infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. Alguns vírus e outros programas maliciosos (incluindo o spyware) estão programados para re-infectar o computador mesmo depois de detectados e removidos. WORMS (vermes) são programas capazes de se autopropagar por meio de redes. São muito parecidos com vírus, mas ao contrário destes, não necessitam ser explicitamente executados para se propagar. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar. Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se autoreplicar, pode deletar arquivos em um sistema ou enviar documentos por email. TROJAN (cavalo de tróia) é um invasor que não se reproduz. Ele se instala, geralmente via e-mail, e toda vez que o computador é ligado, o trojan automaticamente é executado sem o conhecimento do usuário. As ações maliciosas mais comuns são o furto de senhas e outras informações como numero de cartões de crédito. Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criam réplicas de si (e esse é o motivo pelo qual o Cavalo de Tróia não é considerado um vírus). Rootkits A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação. Keylogger registrador do teclado; é um programa de computador do tipo spyware cuja finalidade é monitorar tudo o que a vítima digita, a fim de descobrir suas senhas de banco, números de cartão de crédito e afins. Muitos casos de phishing, assim como outros tipos de fraudes virtuais, se baseiam no uso de algum tipo de keylogger. BACKDOOR Backdoor (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina. Muitos crackers utilizam-se de um Backdoor para instalar vírus de computador ou outros programas maliciosos, conhecidos como malware. Spyware aplicativo ou programa espião consiste num programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o seu conhecimento nem o seu consentimento. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker. Phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. SPAM envio de grande volume de mensagens não solicitadas por seus destinatários. Ex.: propaganda de produtos, boatos, propostas de ganhar dinheiro fácil etc. Cookies Cookies são pequenas informações que os sites visitados por você podem armazenar em seu browser. Estes são utilizados pelos sites de diversas formas, tais como: guardar a sua identificação e senha quando você vai de uma página para outra; manter listas de compras ou listas de produtos preferidos em sites de comércio eletrônico; personalizar sites pessoais ou de notícias, quando você escolhe o que quer que seja mostrado nas páginas; manter a lista das páginas vistas em um site, para estatística ou para retirar as páginas que você não tem interesse dos links. Mecanismos de segurança Firewal l Anti-Vírus Backup Criptografia PREVENÇÃO E COMBATE Atualizar o computador periodicamente; Antispywares - são programas utilizados para combater spyware, keyloggers entre outros programas espiões. Entre esses programas estão os: firewalls, antivírus entre outros. Antivírus; Firewall - nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra Ataques Geralmente divididos nos seguintes tipos: Ataques Ativos Pesquisa de vulnerabilidade, sniffing, ... Ataques de Senha DoS, DDoS, buffer overflow, inundação de SYN Ataques Passívos Pelo alvo geral do ataque (aplicações, redes ou misto) Se o ataque é ativo ou passivo Pelo mecanismo de ataque (quebra de senha, exploração de código, ...) Força bruta, Dicionário, “hackish”, Rainbow Tables Código malicioso (malware) Vírus, trojans, worms, ... Ataques Ativos DoS/DDoS Reduzir a qualidade de serviço a níveis intoleráveis Tanto mais difícil quanto maior for a infra-estrutura do alvo Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado “Zombies” e Mestres (Masters), ataque smurf BOTs e BOTNets, ataques “massificados” por banda larga Tipos Consumo de Recursos (largura de banda, cpu, RAM, ...) Pacotes malformados (todas as flags ligadas) Ataques Ativos (cont.) Buffer Overflow Ataques SYN Sobrescrever o próprio código em execução “Shell code”, escrito em assembler Tem como objetivo executar algum código, ou conseguir acesso privilegiado Fragilidade nativa do TCP/IP Conexão de 3-vias (Syn, Syn-Ack, Ack) Spoofing Se fazer passar por outro ativo da rede MITM (Man-In-The-Middle) Dsniff Ataques Ativos (Cont.) Lixeiros Documentos sensíveis mal descartados Informações em hardwares obsoletos Falta de Política de Classificação da Informação Engenharia social Kevin Mitnick Normalmente relevada nos esquemas de segurança Utiliza-se do orgulho e necessidade de autoreconhecimento, intrínseco do ser humano “Um computador não estará seguro nem quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído a ligá-lo.” [ Kevin Mitnick – A arte de enganar/The Art of Deception ] Ataques ativos por código malicioso Malware MALicious softWARE Não apenas Spyware ou Adware “Payload” Vs Vetor Vírus Auto replicante Interfere com hardware, sistemas operacionais e aplicações Desenvolvidos para se replicar e iludir detecção Precisa ser executado para ser ativado Ataques ativos por código malicioso (cont) Cavalos de Tróia (Trojans) Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo) Fica dormente até ser ativado Muito comum em programas de gerência remota (BO e NetBus) Não se auto replica e precisa ser executado Bombas Lógicas Caindo em desuso pela utilização de segurança no desenvolvimento Aguarda uma condição ser atingída Chernobyl, como exemplo famoso (26, Abril) Ataques ativos por código malicioso (cont) Worms Auto replicante, mas sem alteração de arquivos Praticamente imperceptíveis até que todo o recurso disponível seja consumido Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede Não necessita de ponto de execução Se multiplica em proporção geométrica Exemplos famosos: LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ... Ataques ativos por código malicioso (cont) Back Door Trojan, root kits e programas legítmos VNC, PCAnyware, DameWare SubSeven, Th0rnkit Provê acesso não autenticado a um sistema Rootkit Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção Iniciam no boot junto com os processos do sistema Ataques Passívos Normalmente utilizado antes de um ataque ativo Pesquisa de Vulnerabilidades Pesquisa por Portas/Serviços http://www.insecure.org – Nmap Escuta (sniffing) Extremamente difícil detecção Não provoca ruído sensível Senhas em texto claro, comunicações não encriptadas Redes compartilhadas Vs comutadas Switch Vs Hub WireShark (Lin/Win), TCPDump (Lin) http://www.wireshark.org http://www.tcpdump.org Ataques Passívos (cont) Ataques de Senha Muito comuns pela facilidade de execução e taxa de sucesso Compara Hash’s, não texto Força Bruta Teste de todos os caracteres possíveis Taxa de 5 a 6 Milhões de testes/seg, em um P4 Ataques de Dicionário Reduz sensivelmente o tempo de quebra Já testa modificado para estilo “hackish” Cain&Abel, LC5, John The Ripper, ... B4n4n4, C@73dr@l, P1p0c@, R007, ... Rainbow Tables Princípio Time Memory Trade-off (TMTO)