Segurança e Auditoria de Sistemas Prof. Fabiano Sabha Datas Provas • • • • 1º bimestre (P1) – 08/04 2º bimestre (P2) – 10/06 Substitutiva – 17/06 Exame – 24/06 Trabalhos • Apresentação (5 grupos - 30 minutos) – 25/03 Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 2 Ameaças em Seguranças de Sistemas Prof. Fabiano Sabha Continuação Códigos Maliciosos Vírus Cavalo de Tróia Adware e Spyware Backdoors Keyloggers Worms Bots e Botnets Rootkits Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 4 Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 5 Cavalo de Tróia Na informática, um cavalo de tróia é um programa, normalmente recebido um de Conta a mitologia grega que ocomo "Cavalo "presente" (porgrande exemplo, cartão utilizada virtual, álbum Tróia" foi uma estátua, como de fotos, protetor de tela, jogo, que além instrumento de guerra pelosetc), gregos para de executar as quais foi obter acesso funções a cidadepara de Tróia. aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 6 Cavalo de Tróia Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são: Instalação de keyloggers ou screenloggers Furto de senhas e outras informações sensíveis, como números de cartões de crédito; Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador; Alteração ou destruição de arquivos. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 7 Cavalo de Tróia Por definição, o cavalo de tróia distingue-se de um vírus ou de um worm por não infectar outros arquivos, nem propagar cópias de si mesmo automaticamente. Normalmente um cavalo de tróia consiste em um único arquivo que necessita ser explicitamente executado. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 8 Adware e Spyware Adware é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 9 Adware e Spayware Adware é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 10 Atividades do Spyware Monitoramento de URLs; Alteração da página inicial; Varredura dos arquivos armazenados; Monitoramento e captura de informações; Instalação de outros programas spyware; Monitoramento de teclas digitadas; Captura de senhas bancárias e cartões; Captura de outras senhas; Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 11 Backdoors A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet). Pode ser incluído por um invasor ou através de um cavalo de tróia. Uma outra forma é a instalação de pacotes de software, tais como o BackOrifice e NetBus, da plataforma Windows, utilizados para administração remota. Se mal configurados ou utilizados sem o consentimento do usuário, podem ser classificados como backdoors. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 12 Backdoors A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet). Pode ser incluído por um invasor ou através de um cavalo de tróia. Uma outra forma é a instalação de pacotes de software, tais como o BackOrifice e NetBus, da plataforma Windows, utilizados para administração remota. Se mal configurados ou utilizados sem o consentimento do usuário, podem ser classificados como backdoors. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 13 Keyloggers Keylogger é um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Normalmente, o keylogger vem como parte de um programa spyware ou cavalo de tróia. Desta forma, é necessário que este programa seja executado para que o keylogger se instale em um computador. Geralmente, tais programas vêm anexados a e-mails ou estão disponíveis em sites na Internet. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 14 Worms Worm é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 15 Bots e Botnets De modo similar ao worm, o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 16 Bots e Bootnets De que modo o invasor se comunica com o Bot? Normalmente, o bot se conecta a um servidor de IRC e entra em um canal determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo bot. Estas seqüências de caracteres correspondem a instruções que devem ser executadas pelo bot. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 17 Bots e Bootnets O que são botnets? Botnets são redes formadas por computadores infectados com bots. Estas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negação de serviço, etc Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 18 Ataques DoS DoS: Denial of Service – ataque de negação de serviço! Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 19 DoS - Definição STEIN, L. & STEWART define negação de serviço como um ataque que permite que uma pessoa deixe um sistema inutilizável ou consideravelmente lento para os usuários legítimos através do consumo de seus recursos, de maneira que ninguém consegue utilizá-los. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 20 DoS - História No ano de 1988 houve a primeira detecção de ataque DoS. No mês de setembro de 1996, o Provedor Public Access Network Corporation (PANIX) ficou cerca de uma semana sob o efeito de um ataque DoS. Já em maio de 1999 uma série de ataques DoS atingiu as redes do Federal Bearout of Investigation (FBI) e de vários outros órgãos governamentais norte-americanos. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 21 DoS - Tipos Basicamente temos três tipos de DoS: DoS – Local DoS – Remoto DoS - Distribuído Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 22 DoS - Local A negação de serviço Local é um ataque que para poder ser executado é necessário estar-se logado ao sistema, Outro método antigo de ataque, é o ataque a disco que simplesmente lota o HD do sistema com dados aleatórios. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 23 DoS - Remoto Os ataques DoS remoto, que podem ser executado sem estar logado ao sistema (DoS Remoto Multiprotocolar) que consiste em ataques que funcionam independente do sistema operacional, devido à falhas em diversos protocolos e o de força bruta que neste caso, o atacante envia para a rede um número de pacotes superior ao limite que o destino é capaz de absorver. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 24 DoS - Distribuído Os ataques DDoS, acontecem remotamente, através do ataque simultâneo de vários equipamentos infectados (bot´s), apontando para o mesmo alvo. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 25 PSI - Política de Segurança da Informação Política de Segurança da Informação A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. (Cert.br) Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 27 PSI Uma política de segurança também deve prever o que pode ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança pode ser considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 28 PSI – O que pode ser ameaçado? Hardware • objetos e equipamentos • material (por exemplo, o cobre) e insumos (papel, fitas...) Software • software-produto • software-elemento operacional Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 29 PSI – O que pode ser ameaçado? Informações • Sobre indivíduos • Financeiras, jurídicas, administrativas, ou técnicas. • Pessoal • Econômicas Ambiente Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 30 PSI – Possíveis atacantes Incidentes externos ou eventos da natureza Empregados (ações não intencionais) Empregados (ataques e intrusões acobertadas) Empregados (sabotagem às claras) Ex-empregados Pessoal externo obtendo acesso não autorizado Pessoal de suporte/manutenção Concorrencia Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 31 PSI – Quem envolver? O administrador de segurança O pessoal técnico de tecnologia da informação Os Administradores de grupos de usuários A equipe de reação a incidentes de segurança Os Representantes de grupos de usuários afetados pela política de segurança O Conselho Legal Alta direção Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 32 PSI – Determinantes Serviços oferecidos versus Segurança fornecida Facilidade de uso versus Segurança mais seguro. Custo da segurança versus o Risco da perda Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 33 PSI – IMPORTANTE TODA PSI – é um documento vivo! Plan ACT DO Check 34 Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha