Por que os “hackers” amam o seu banco de dados? Renato Bognar Principal System Engineer O que iremos ver Por que seus bancos de dados são tão atrativos? Quais os pontos de atenção? Quem são os “hackers” afinal? Você pode se protege? Qual é a melhor forma de se defender? 2 © 2015 Progress Software Corporation. All rights reserved. Ataques divulgados recentemente É fácil de encontrar violações de dados! Os mais recentemente são: Starbucks Target Home Depot Evernote Ashley Madison Além de muitos outros... A maior parte das invasões envolve bancos de dados E também envolve as aplicações que acessam estes bancos. 3 © 2015 Progress Software Corporation. All rights reserved. Invasões http://www.privacyrights.org/data-breach/new 4 © 2015 Progress Software Corporation. All rights reserved. Ataques para extorção Domino’s Pizza (2014) Foram roubados dados de mais de 650.000 dados de clientes • Bélgica e França • Entre os dados roubados, estavam informações pessoais dos clientes O objetivo do ataque era extorquir US$ 40,000.00 O não pagamento do “resgate” poderia resultar na publicação de todos os dados. A Domino’s não pagou. FONTE: https://nakedsecurity.sophos.com/2014/06/16/dominos-pizza-hacked-customer-database-held-to-ransom/#comments 5 © 2015 Progress Software Corporation. All rights reserved. Ataques mais comuns Informações de cartão de crédito. Qual é o melhor lugar para encontrar centenas de pessoas com “bons” cartão de crédito? • Sistemas on-line ou de alguma forma expostos 38% de ataques são para capturar cartões de crédito, ocorrem em sistemas de hotéis. A maior parte dos ataques aos hotéis acontecem no ponto de venda ou ao banco de dados. FONTE: http://www.lockergnome.com/reflections/2010/07/06/hackers-love-to-attack-hotel-databases-to-grab-credit-card-info 6 © 2015 Progress Software Corporation. All rights reserved. Atenção! Criminosos são criminosos • Não subestime isso. • Todo o crime tem fatores de motivação. Motivações principais 7 • Interesses financeiros. • Retaliação, causar prejuízos. • Publicidade, notoriedade. • Poder • Espionagem industrial • Ataques realizados por interesses de organismos governamentais. © 2015 Progress Software Corporation. All rights reserved. E não para por ai… O prejuízo causado pelos ataques pode chegar a US$ 2.1 tri por ano até 2019. Em média um ataque causa prejuízo de US$ 6 mi Alguns ataques que causaram grandes estragos: • Target: US$ 162 mi • Sony Pictures: US$ 100 mi • TJX: US$ 250 mi Em quanto tempo? • 170 dias em média é o prazo para se detectar um ataque. • 45 dias é o prazo médio para se resolver um incidente. FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019 http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study https://cybertab.boozallen.com/ 8 © 2015 Progress Software Corporation. All rights reserved. Porém Sempre deixam rastro! FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019 http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study https://cybertab.boozallen.com/ 9 © 2015 Progress Software Corporation. All rights reserved. Por que os dados da sua empresa são tão atrativos? Dados são moeda de troca Principais “clientes” de dados pessoais: • Ladrões de documentos. • Crime organizado. • Spammers • Operadores/locadores de Botnets (malware que possibilita o uso remoto de um computador infectado ) Valor dos dados pessoais • Pode variar entre US$ 0,01 até um pouco mais de US$ 1 – Nome ou e-mail – Phishing (roubo de dados pessoais), spam, crimes de falsidade ideológica. FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html 10 © 2015 Progress Software Corporation. All rights reserved. Informação mínima para fazer dinheiro Qual é a quantidade de informações que alguem precisa para fazer dinheiro? > Somente um endereço de e-mail. Sim, somente isso! Qualquer coisa a mais é lucro certo. FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html 11 © 2015 Progress Software Corporation. All rights reserved. Por que os dados da sua empresa são tão atrativos? Extorsão / pedido de resgate Reputação da empresa, perda de status, prejuízo financeiro. Prejuízos a organização. Quanto o seu concorrente pagaria por acesso ao seu banco de dados? Qual seria o tamanho do seu prejuízo se seu banco de dados ficasse indisponível? Qual é o seu plano de recuperação? Em quanto tempo você está on-line de novo? 12 © 2015 Progress Software Corporation. All rights reserved. Quais tipos de bancos de dados são visados? Bancos de dados são presas fáceis Por que? • Todos os bancos de dados tem pelo menos um caminho de acesso a rede. • Se há acesso aos usuários do banco de dados pela internet, o cenário “começa a ficar mais interessante”, pois existem mais caminhos. Resumindo, atacar bancos de dados pode ser muito fácil! FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html 13 © 2015 Progress Software Corporation. All rights reserved. Mais verdades desconfortáveis Na maioria das vezes o foco está totalmente errado! Por muitos anos (e ainda hoje), as empresas estão focadas em: • Prevenção • Proteção Prevenção e proteção não é o suficiente! As organizações visionárias estão entendendo a importância da • Detecção • Resposta / Contra ataque 14 © 2015 Progress Software Corporation. All rights reserved. O que já sabemos? Bancos de dados são alvos muito valiosos. Aplicações geralmente são escritas por Desenvolvedores • Desenvolvedores não são profissionais de Segurança (Desculpe, alguém tem que dizer isso.) Aplicações geralmente acessam bancos de dados e sua configuração não está protegida. É fácil burlar monitoramento de dados no funcionamento regular entre a aplicação / banco. Bancos de dados em cloud, geralmente podem facilitar o trabalho dos invasores. FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html 15 © 2015 Progress Software Corporation. All rights reserved. Como os invasores agem? Trabalho de reconhecimento (começam por simples pesquisas on-line) • O que você está expondo? • Informações de SO / Infra / Serviços Avaliação de valor • O que parece interessante e tem algum valor Busca de vulnerabilidades Plano de ataque • Como explorar as vulnerabilidades. Execução do ataque 16 © 2015 Progress Software Corporation. All rights reserved. Ataques comuns a bancos de dados Principais ataques a bancos de dados • Dados com senhas “fracas” ou excessivamente expostas • SQL injection • Vulnerabilities/Exploits • Escalated privileges • Denial of Service (DoS) • Sequestro de backup • PESSOAS • Muito mais, mas isto é um bom começo. FONTE: http://www.darkreading.com/risk/hackers-choice-top-six-database-attacks/d/d-id/1129481 http://www.netlib.com/blog/data-protection/The-10-Most-Common-Database-Vulnerabilities.asp https://www.exploit-db.com/search/ 17 © 2015 Progress Software Corporation. All rights reserved. Não se esqueça das vulnerabilidades das aplicações Aplicações são geralmente “trusted entities” Autenticação pode não ser suficiente É fácil encontrar credenciais armazenadas principalmente em aplicações exportas web 18 © 2015 Progress Software Corporation. All rights reserved. Por que é tão fácil ser atacado? Listas de exploits e vulnerabilidades estão publicadas on-line • Diversas listas de “Top of n Database Attacks” Fácil de encontrar e entrar, mesmo para script-kids! É muito difícil cobrir todos os back doors • É caro e demanda muito tempo Como resultado, muitos bancos de dados ficam vulneráveis. • Vulnerabilidades sem correção • Nomes padrão de usuário/senha/services • Permissões excessivas. 19 © 2015 Progress Software Corporation. All rights reserved. Tipos de ataques favoritos SQL Injection Engenharia Social • Chame alguém para fazer o trabalho sujo por você. • Muitos ataques dependem da bondade das pessoas! Gerenciamento de senhas “preguiçoso”. • Muitas senhas para gerenciar! • Todos nós somos preguiçosos…. às vezes. • Cuidado com Banco de Dados com acesso anônimo Alguma de suas senhas está nesta lista? 20 © 2015 Progress Software Corporation. All rights reserved. As senhas mais comuns senha numero !qa@ws !@#$% 1qa2ws 123qwe qweasd asdflkjh 0987654321 !@#$qwer qwer!@#$ 12121212 zxcvqwer asdfghkj 21 © 2015 Progress Software Corporation. All rights reserved. Você pode se esconder? Não Bom, talvez um pouco! Máximo de proteção possivel é: sempre mais um 9 depois da virgula. Nunca 100% Prepare-se para ataques de qualquer tipo ou ameaça. • Gerenciamento de risco, 101% Reduza as possibilidades de ataque. • Exponha o mínimo possível. • Desabilite/Remova serviços indesejáveis, feche portas. • Mínimo privilégio possível. • Dê pouca visibilidade (não entregue o ouro!) 22 © 2015 Progress Software Corporation. All rights reserved. Qual é a melhor defesa? Melhores práticas • Instituto - SANS Critical Security Controls • Tenha planos de Continuidade, Disaster/Recovery e Gerenciamento de Risco. • Tenha criptografia em todas as conexões ao seu banco de dados com Progress DataDirect (https://www.progress.com/data-connectivity) Plano para prevenção e proteção, mas… • Também tenha um plano para detecção e resposta! Teste e revise regularmente seu Plano de Continuidade e Disaster Recovery Faça ciclos regulares de PenTest 23 © 2015 Progress Software Corporation. All rights reserved. Resumindo Esteja atualizado. Fique atendo as informações de ataques relevantes. Entenda o valor dos seus dados. Conheça os pontos de vulnerabilidade do seu ambiente Prepare a melhor defesa! 24 © 2015 Progress Software Corporation. All rights reserved.