porque hackers amam seus bancos de dados

Propaganda
Por que os “hackers” amam
o seu banco de dados?
Renato Bognar
Principal System Engineer
O que iremos ver
 Por que seus bancos de dados são tão atrativos?
 Quais os pontos de atenção?
 Quem são os “hackers” afinal?
 Você pode se protege?
 Qual é a melhor forma de se defender?
2
© 2015 Progress Software Corporation. All rights reserved.
Ataques divulgados recentemente
É fácil de encontrar violações de dados!
Os mais recentemente são:
 Starbucks
 Target
 Home Depot
 Evernote
 Ashley Madison
 Além de muitos outros...
A maior parte das invasões envolve bancos de dados
 E também envolve as aplicações que acessam estes bancos.
3
© 2015 Progress Software Corporation. All rights reserved.
Invasões
http://www.privacyrights.org/data-breach/new
4
© 2015 Progress Software Corporation. All rights reserved.
Ataques para extorção
Domino’s Pizza (2014)
 Foram roubados dados de mais de 650.000 dados de clientes
• Bélgica e França
• Entre os dados roubados, estavam informações pessoais
dos clientes
 O objetivo do ataque era extorquir US$ 40,000.00
 O não pagamento do “resgate” poderia resultar na publicação
de todos os dados.
 A Domino’s não pagou.
FONTE: https://nakedsecurity.sophos.com/2014/06/16/dominos-pizza-hacked-customer-database-held-to-ransom/#comments
5
© 2015 Progress Software Corporation. All rights reserved.
Ataques mais comuns
 Informações de cartão de crédito.
 Qual é o melhor lugar para encontrar centenas de pessoas com “bons” cartão de crédito?
• Sistemas on-line ou de alguma forma expostos
 38% de ataques são para capturar cartões de crédito, ocorrem em sistemas de hotéis.
 A maior parte dos ataques aos hotéis acontecem no
ponto de venda ou ao banco de dados.
FONTE: http://www.lockergnome.com/reflections/2010/07/06/hackers-love-to-attack-hotel-databases-to-grab-credit-card-info
6
© 2015 Progress Software Corporation. All rights reserved.
Atenção!
 Criminosos são criminosos
• Não subestime isso.
• Todo o crime tem fatores de motivação.
 Motivações principais
7
•
Interesses financeiros.
•
Retaliação, causar prejuízos.
•
Publicidade, notoriedade.
•
Poder
•
Espionagem industrial
•
Ataques realizados por interesses de organismos governamentais.
© 2015 Progress Software Corporation. All rights reserved.
E não para por ai…
 O prejuízo causado pelos ataques pode chegar a US$ 2.1 tri por ano até 2019.
 Em média um ataque causa prejuízo de US$ 6 mi
 Alguns ataques que causaram grandes estragos:
• Target: US$ 162 mi
• Sony Pictures: US$ 100 mi
• TJX: US$ 250 mi
 Em quanto tempo?
• 170 dias em média é o prazo para se detectar um ataque.
• 45 dias é o prazo médio para se resolver um incidente.
FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019
http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study
https://cybertab.boozallen.com/
8
© 2015 Progress Software Corporation. All rights reserved.
Porém
Sempre deixam rastro!
FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019
http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study
https://cybertab.boozallen.com/
9
© 2015 Progress Software Corporation. All rights reserved.
Por que os dados da sua empresa são tão atrativos?
 Dados são moeda de troca
 Principais “clientes” de dados pessoais:
•
Ladrões de documentos.
•
Crime organizado.
•
Spammers
•
Operadores/locadores de Botnets (malware que possibilita o uso remoto de um computador infectado )
 Valor dos dados pessoais
• Pode variar entre US$ 0,01 até um pouco mais de US$ 1
– Nome ou e-mail
– Phishing (roubo de dados pessoais), spam, crimes de falsidade ideológica.
FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html
10
© 2015 Progress Software Corporation. All rights reserved.
Informação mínima para fazer dinheiro
 Qual é a quantidade de informações que alguem precisa para fazer dinheiro?
> Somente um endereço de e-mail.
 Sim, somente isso!
 Qualquer coisa a mais é lucro certo.
FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html
11
© 2015 Progress Software Corporation. All rights reserved.
Por que os dados da sua empresa são tão atrativos?
 Extorsão / pedido de resgate
 Reputação da empresa, perda de status, prejuízo financeiro.
 Prejuízos a organização.
 Quanto o seu concorrente pagaria por acesso ao seu banco de dados?
 Qual seria o tamanho do seu prejuízo se seu banco de dados ficasse indisponível?
 Qual é o seu plano de recuperação? Em quanto tempo você está on-line de novo?
12
© 2015 Progress Software Corporation. All rights reserved.
Quais tipos de bancos de dados são visados?
 Bancos de dados são presas fáceis
 Por que?
• Todos os bancos de dados tem pelo menos um caminho de acesso a rede.
• Se há acesso aos usuários do banco de dados pela internet, o cenário “começa a ficar mais
interessante”, pois existem mais caminhos.
 Resumindo, atacar bancos de dados pode ser muito fácil!
FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html
13
© 2015 Progress Software Corporation. All rights reserved.
Mais verdades desconfortáveis
 Na maioria das vezes o foco está totalmente errado!
 Por muitos anos (e ainda hoje), as empresas estão focadas em:
• Prevenção
• Proteção
 Prevenção e proteção não é o suficiente!
 As organizações visionárias estão entendendo a importância da
• Detecção
• Resposta / Contra ataque
14
© 2015 Progress Software Corporation. All rights reserved.
O que já sabemos?
 Bancos de dados são alvos muito valiosos.
 Aplicações geralmente são escritas por Desenvolvedores
• Desenvolvedores não são profissionais de Segurança (Desculpe, alguém tem que dizer isso.)
 Aplicações geralmente acessam bancos de dados e sua configuração não está protegida.
 É fácil burlar monitoramento de dados no funcionamento regular entre a aplicação / banco.
 Bancos de dados em cloud, geralmente podem facilitar o trabalho dos invasores.
FONTE: http://www.cio.com/article/2400064/security0/are-you-at-risk--what-cybercriminals-do-with-your-personal-data.html
15
© 2015 Progress Software Corporation. All rights reserved.
Como os invasores agem?
 Trabalho de reconhecimento (começam por simples pesquisas on-line)
• O que você está expondo?
• Informações de SO / Infra / Serviços
 Avaliação de valor
• O que parece interessante e tem algum valor
 Busca de vulnerabilidades
 Plano de ataque
• Como explorar as vulnerabilidades.
 Execução do ataque
16
© 2015 Progress Software Corporation. All rights reserved.
Ataques comuns a bancos de dados
 Principais ataques a bancos de dados
• Dados com senhas “fracas” ou excessivamente expostas
• SQL injection
• Vulnerabilities/Exploits
• Escalated privileges
• Denial of Service (DoS)
• Sequestro de backup
• PESSOAS
• Muito mais, mas isto é um bom começo.
FONTE: http://www.darkreading.com/risk/hackers-choice-top-six-database-attacks/d/d-id/1129481
http://www.netlib.com/blog/data-protection/The-10-Most-Common-Database-Vulnerabilities.asp
https://www.exploit-db.com/search/
17
© 2015 Progress Software Corporation. All rights reserved.
Não se esqueça das vulnerabilidades das aplicações
 Aplicações são geralmente “trusted entities”
 Autenticação pode não ser suficiente
 É fácil encontrar credenciais armazenadas
principalmente em aplicações exportas web
18
© 2015 Progress Software Corporation. All rights reserved.
Por que é tão fácil ser atacado?
 Listas de exploits e vulnerabilidades estão publicadas on-line
• Diversas listas de “Top of n Database Attacks”
 Fácil de encontrar e entrar, mesmo para script-kids!
 É muito difícil cobrir todos os back doors
• É caro e demanda muito tempo
 Como resultado, muitos bancos de dados ficam vulneráveis.
• Vulnerabilidades sem correção
• Nomes padrão de usuário/senha/services
• Permissões excessivas.
19
© 2015 Progress Software Corporation. All rights reserved.
Tipos de ataques favoritos
 SQL Injection
 Engenharia Social
• Chame alguém para fazer o trabalho sujo por você.
• Muitos ataques dependem da bondade das pessoas!
 Gerenciamento de senhas “preguiçoso”.
• Muitas senhas para gerenciar!
• Todos nós somos preguiçosos…. às vezes.
• Cuidado com Banco de Dados com acesso anônimo
 Alguma de suas senhas está nesta lista?
20
© 2015 Progress Software Corporation. All rights reserved.
As senhas mais comuns
senha
numero
!qa@ws
!@#$%
1qa2ws
123qwe
qweasd
asdflkjh
0987654321
!@#$qwer
qwer!@#$
12121212
zxcvqwer
asdfghkj
21
© 2015 Progress Software Corporation. All rights reserved.
Você pode se esconder?
 Não
 Bom, talvez um pouco!
 Máximo de proteção possivel é: sempre mais um 9 depois da virgula. Nunca 100%
 Prepare-se para ataques de qualquer tipo ou ameaça.
• Gerenciamento de risco, 101%
 Reduza as possibilidades de ataque.
• Exponha o mínimo possível.
• Desabilite/Remova serviços indesejáveis, feche portas.
• Mínimo privilégio possível.
• Dê pouca visibilidade (não entregue o ouro!)
22
© 2015 Progress Software Corporation. All rights reserved.
Qual é a melhor defesa?
 Melhores práticas
• Instituto - SANS Critical Security Controls
• Tenha planos de Continuidade, Disaster/Recovery e Gerenciamento de Risco.
• Tenha criptografia em todas as conexões ao seu banco de dados com Progress DataDirect
(https://www.progress.com/data-connectivity)
 Plano para prevenção e proteção, mas…
• Também tenha um plano para detecção e resposta!
 Teste e revise regularmente seu Plano de Continuidade e Disaster Recovery
 Faça ciclos regulares de PenTest
23
© 2015 Progress Software Corporation. All rights reserved.
Resumindo
 Esteja atualizado.
 Fique atendo as informações de ataques relevantes.
 Entenda o valor dos seus dados.
 Conheça os pontos de vulnerabilidade do seu ambiente
 Prepare a melhor defesa!
24
© 2015 Progress Software Corporation. All rights reserved.
Download