Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Loading content…
Loading…
Transcript

Como identificar um ataque

Objetivos de aprendizagem

Ao final desta aula, você deve apresentar os seguintes aprendizados:

Identificar as principais formas de ataques.

Definir formas de monitoramento a ataques.

Reconhecer ataques autenticados e não autenticados.

Principais formas de ataque

A segurança da informação está diretamente relacionada com a proteção de um conjunto de informações. A necessidade de investir em assegurar as informações não para de crescer.

Vivemos em um cenário em que os ataques são feitos por inúmeros meios de vulnerabilidade, de modo que os gestores da área de Tecnologia da Informação devem estar preparados para detectar os principais pontos de atenção na sua infraestrutura.

Nesta aula, você vai aprender sobre os ataques, vendo como identificá-los, monitorá-los e como reconhecer ataques autenticados e não autenticados.

Para se proteger de contra-ataques na área digital, a melhor abordagem é ter conhecimento dos tipos de ataques e vulnerabilidades exploradas por invasores.

Segundo Goodrich e Tamassia (2013), software malicioso (software utilizado para ataques) é um software que tem como objetivo causar malefícios e trazer consequências negativas ou involuntárias. A seguir, veja algumas formas de ataque.

Formas de ataque

Ataques internos

São brechas de segurança ocasionadas por um indivíduo que faz parte de uma organização, que controla os bens que devem ser protegidos, como, por exemplo, o usuário de um sistema, que deve proteger as informações contidas nele. Veja alguns exemplos de ataques internos:

 Entradas clandestinas:

Entradas clandestinas: uma entrada clandestina envolve introduzir deliberadamente uma vulnerabilidade em um software, como, por exemplo, o overflow, que consiste em o invasor explorar bugs de implementação nos quais o controle da memória temporária para armazenamento dos dados não tenha sido feito adequadamente. Quando o profissional conhece essa falha, de forma maliciosa, pode explorá-la para obter privilégios elevados. Entretanto, nem sempre as entradas clandestinas se dão de forma maliciosa. Imagine a seguinte situação: um sistema de identificação biométrica de um banco pode conter uma entrada clandestina inserida por um programador no desenvolvimento do sistema; se essa entrada clandestina for mantida como ativa, ela poderá fornecer mecanismos de entrada em caso de algum problema imprevisto.

Easter eggs: um software pode incluir características escondidas que

podem ser processadas de forma similar às entradas clandestinas.

Bombas lógicas: programa que realiza ação maliciosa como resultado de alguma condição lógica do sistema que está tentando danificar. Para ser considerada uma bomba lógica, deve haver intenção maliciosa por parte do programador.

Vírus de computador

É um software ou código de computador que pode replicar-se pela modificação de outros arquivos e programas para inserir código capaz de replicação posterior. Segundo Levine e Young (2013), vírus de computador são programas que passam entre computadores, da mesma forma que um vírus biológico passa entre pessoas — como, por exemplo, a gripe.

Seu principal objetivo é a danificação de um computador, corrompendo arquivos do sistema, utilizando recursos da máquina, destruindo dados ou deixando pastas ocultas.

Tipos de vírus

Vírus de macro: é ativado quando um documento é aberto, momento em que o vírus pode procurar outros documentos para infectar.

Vírus de setor de carga (boot sector): é um tipo de vírus que infecta o código no setor de carga de uma unidade, que é executado sempre que o computador é ligado ou reiniciado. É o primeiro programa que o computador executa.

Vírus mutantes ou polimórficos: possuem a capacidade de gerar réplicas de si, utilizando chaves de encriptação diversas e fazendo com que suas cópias possuam formas diferentes.

Vírus encriptados: são vírus que, por estarem codificados, acabam dificultando a ação de softwares antivírus.

Vírus de computador são um tipo de malware. Um malware é um ataque interno que se refere a um furo de segurança criado em um software por um de seus programadores. Esse tipo de ataque é perigoso, pois é iniciado por alguém considerado de confiança dentro de uma organização e que tem, portanto, acesso ao sistema. O malware embutido pode iniciar a escalação de privilégios, causando danos por algum evento do sistema ou instalando um segundo malware.

Ransomware corporativo: é um malware que tem como principal função criptografar todos os dados visíveis para o usuário. A intenção é, a partir do Ransomware, solicitar resgate às informações bloqueadas. Caso o usuário tente quebrar a segurança do malware por meio de alguma técnica de força bruta, parte dos dados (ou todos os dados) pode ser deletada.

Cavalo de Troia: é um malware que finge ser um software legítimo ou vem integrado a um. Ele engana o usuário, estimulando-o a “abrir portas” e instalar outros malwares a fim de infectar uma máquina.

Spyware: é um malware projetado para espionar usuários, salvar suas senhas, informações pessoais e enviar esses dados a um destino.

Adware: é um malware que importuna vítimas com anúncios indesejados e abre pontos de segurança vulneráveis para outros malwares.

Rootkit: é um malware que altera utilitários do sistema em uso ou do sistema operacional. Muitas vezes, esconde arquivos do disco. Rootkits são, frequentemente, utilizados para esconder ações maliciosas ou outros tipos de malware, como Cavalos de Troia.

Ataques de dia zero: é um ataque que explora uma vulnerabilidade previamente desconhecida, mesmo pelos projetistas e desenvolvedores de software que criaram o sistema contendo essa vulnerabilidade. Esse nome vem pelo fato de que, se um malware explora uma vulnerabilidade que os desenvolvedores desconhecem, diz-se que esse ataque aconteceu no “dia zero” a partir do seu conhecimento.

Distributed Denial of Service (DDoS): é uma das principais técnicas utilizadas para impedir o acesso a páginas e serviços web. É conhecido como ataques de negação de serviço distribuído e consiste no uso de várias máquinas zumbis para a distribuição de múltiplos pacotes e requisições para um único servidor. Dessa forma, é possível dificultar e/ou inviabilizar completamente a visualização de aplicativos e sites hospedados em um determinado IP.

Invasões

Técnicas de invasão voltadas para equipamentos da Internet das Coisas

A Internet das Coisas traz inúmeros benefícios, como, por exemplo, os dispositivos que se conectam a redes e softwares por meio de conexões sem fio e que nos auxiliam na automatização de processos no ambiente corporativo, na otimização de rotinas e na redução de custos. Porém, o uso dessa tecnologia torna os equipamentos utilizados vulneráveis ao acesso de hackers, que buscam formas de capturar dados privados, além de permitir sua integração a redes de bots.

Vulnerabilidades causadas pela incorporação do BYOD (Bring Your Own Device ou Traga o Seu Próprio Dispositivo) no ambiente corporativo

BYOD (Bring Your Own Device ou Traga o Seu Próprio Dispositivo) é uma política administrativa em que empresas incentivam os seus profissionais a utilizarem os próprios equipamentos. Essa política tem como objetivos a redução de custos operacionais, a melhoria do ambiente interno e a atualização mais ágil dos dispositivos internos. Porém, se não houver um cuidado de segurança, a vulnerabilidade interna aumenta, ampliando as chances de alguma ameaça atingir a empresa.

Ataques pelo browser: criminosos virtuais se utilizam de engenharia social e de diferentes técnicas de phishing a fim de encontrar uma brecha. Alguns exemplos são as URLs suspeitas, links que enviam o usuário para outro domínio que facilita a invasão, sites clonados que pedem informações pessoais, pop-ups com anúncios enganosos.

Ataques evasivos: hackers criam estratégias que podem modificar softwares maliciosos e/ou evitar a detecção por firewalls. Essa técnica é usada pelos criminosos para explorar vulnerabilidades e confundir os dispositivos de rede a fim de encobrir a existência do malware.

Ataques SSL (Secure Socket Layers) e TLS (Transport Layer Security): é um padrão que diz respeito à criptografia virtual. Nesse caso, os hackers se escondem no tráfego criptografado, pois sabem que muitas empresas não utilizam ferramentas adequadas para inspecioná-los. Já o TLS foi desenvolvido depois do SSL, é mais frequente nos programas de e-mails e usa mecanismos de criptografia mais fortes.

Ataques de força bruta: é a maneira mais famosa que existe para se quebrar senhas. Consiste em tentar todas as combinações possíveis até que o password seja encontrado.

Monitoramento de ataques

Formas de monitoramento de ataques

Por meio da identificação de vulnerabilidades na infraestrutura de TI, é possível prevenir possíveis ataques, trabalhando em soluções que possam corrigir as falhas encontradas.

Sistemas de monitoramento podem vasculhar o ambiente de TI de uma empresa para fazer varredura de vulnerabilidades, informações em logs, indicadores e falhas encontradas. Também é possível analisar os pontos críticos dos sistemas e possíveis falhas que venham a acontecer por excesso de demanda.

Ações de monitoramento incluem:

Monitorar os eventos em tempo real ou com o máximo de proximidade;

Inventariar, obter e armazenar dados acerca de softwares, redes e demais dispositivos em uso na empresa;

Executar varreduras constantes em busca de vulnerabilidades ou eventos suspeitos;

Análise e revisão periódica de informações sobre eventos críticos;

Criar indicadores e relatórios personalizados e claros para demonstrar os resultados do monitoramento;

Efetuar correções sobre as vulnerabilidades e falhas encontradas durante o processo.

Uma das ferramentas mais utilizadas na área de segurança é o firewall, que funciona como uma barreira a conteúdos maliciosos, enquanto permite que informações sejam recebidas e enviadas por meio da internet. Apenas passam na barreira dados que obedecem a certas regras, garantindo a integridade da rede. Existem, basicamente, duas maneiras de se implementar soluções de firewall: por meio de aplicativos, ou seja, software, e por meio de hardware, uma solução mais robusta, também conhecida como appliance.

Veja alguns softwares que podem auxiliar no monitoramento de ataques:

Cacti: software open source, com agilidade na análise de dados. O objetivo é recolher informações sobre o estado da rede e exibir os resultados com gráficos para o usuário. Além disso, também analisa a largura de banda utilizada e o desempenho da CPU.

Nagios: ferramenta open source que monitora, além dos serviços, os hosts. Por meio dessa ferramenta, é possível ter acesso ao momento em que o problema foi solucionado. Ele monitora serviços de rede, os recursos necessários para que ela funcione e também permite a criação de plugins, de forma que os usuários possam criar seus próprios modelos de monitoramento.

Inciga: open source, avisa o usuário sobre erros e quando eles são solucionados, gera relatórios de desempenho para o administrador. A partir dele, o monitoramento pode ser feito remotamente, ou seja, por smartphones e tablets, por exemplo.

Nedi: sua principal vantagem é o sistema de rastreamento de dispositivos pela rede, mantendo controle sobre cada um deles. O Nedi também mostra a localização de cada máquina conectada à rede.

Zabbix: open source, é uma solução que pode ser utilizada 100% on-line; permite o envio de dados por e-mail e SMS sobre problemas e suas resoluções.

Observium: oferece suporte para diversos sistemas, sendo uma plataforma open source desenvolvida em PHP/MySQL. Quando instalado na versão profissional, faz um rastreamento geográfico de todas as máquinas da rede, podendo encontrar aparelhos roubados.

Em relação a ataques internos, podemos ter defesas como:

Evitar pontos simples de falha, não deixando apenas uma pessoa criar

backups ou gerenciar recursos críticos.

Usar inspeções de códigos (no caso de ter programadores próprios na organização), fazendo com que cada programador saiba o que está ocorrendo em relação a erros com o código do colega e, dessa forma, conseguindo auxiliar na sua solução. Assim, um programador raramente conseguirá implementar uma bomba lógica.

Limitar autoridade e permissão, fazendo com que se estabeleça que cada programa ou usuário do sistema receba privilégios adequados a seu uso.

Limitar o comportamento dos empregados, especialmente se usuários máster e programadores estiverem com algum descontentamento.

Limitar instalações de softwares nas máquinas de uma empresa.

Existem várias formas de monitorar um ataque, mas é preciso saber a real necessidade de cada empresa para que seja escolhida a maneira mais adequada de proteção.

Ataques autenticados e não autenticados

Ataques autenticados e não autenticados

Primeiramente, devemos ter em mente que o ataque não autenticado é uma forma de descobrir e explorar falhas de segurança a partir do acesso a uma conta de usuário comum em uma empresa, bem como tentando comprometer uma máquina não muito crítica, como, por exemplo, um desktop ou notebook. O ataque autenticado ou “escala de privilégios”, por outro lado, será realizado com a tentativa de obter a conta do administrador da máquina invadida, conseguindo acesso à sua conta. Nesse tipo de ataque, o invasor tentará projetar-se para servidores até conseguir hackear toda a rede da empresa. A partir desse ataque, o hacker terá como acessar o sistema de forma remota a partir de seus backdoors. Usualmente, os mecanismos de autenticação incluem:

Autenticação baseada em conhecimento: utiliza uma informação que o usuário conhece para identificá-lo. Um exemplo é quando se inclui login e senha e, para lembrança futura do usuário, caso esqueça, solicita-se “perguntas-respostas”.

Autenticação baseada em token: utiliza um dispositivo específico, como, por exemplo, cartões de memória, chaves, crachás, smart cards, etc., para identificação do usuário.

Autenticação baseada em biometria: utiliza informações estáticas, como impressão digital, reconhecimento de retina, etc., para autenticação.

A funcionalidade de autenticação em um sistema está sujeita a muitas falhas, o que inclui a funcionalidade de login e também as de registro de usuário, mudança de senha e recuperação de conta. Podemos citar, dentre as falhas de projeto e implementação em mecanismos de autenticação: senhas fracas, força bruta de login, mensagens de erro detalhadas, transmissão vulnerável de credenciais, funcionalidade de alterar a senha, funcionalidade “lembre-me” da senha, funcionalidade “mantenha-me conectado”, funcionalidade representação de usuário, validação incompleta de credenciais, nomes de usuários não exclusivos, nomes de usuários previsíveis, senhas iniciais previsíveis, distribuição insegura de credenciais. Formas de quebra de sessão de usuários são:

Engenharia social: muitos usuários são facilmente enganados por aquilo que veem na internet; por isso, um atacante pode conseguir do próprio usuário as credenciais de acesso, como, por exemplo, por meio de um e-mail, que solicita seus dados de login e senha.

Bruteforce: por vezes, os usuários utilizam-se de senhas fracas em suas contas. Se a aplicação não tem nenhum método que impeça que ataques de bruteforce aconteçam, esse ataque pode acabar identificando a senha de um usuário (se o mesmo já for conhecido previamente) por meio de sua data de nascimento, seu nome, apelido, etc.

Transição limpa de troca de credenciais: cenário em que as credenciais de uma autenticação são capturadas em trânsito, e a requisição (nesse caso) poderá ser alterada para a obtenção de um resultado (entrar numa conta sem permissão).

Veja os ataques e as ameaças contra autenticação baseada em senhas:

Ataque por dicionário: obtém uma lista de palavras e testa todas as palavras possíveis contra o sistema.

Ataque por combinação exaustiva: caso o invasor conheça a quan- tidade máxima de caracteres que a senha possa ter e os limites de combinação, o usuário testa todas as possibilidades possíveis.

Ataque por senha popular: utiliza senhas fáceis, como, por exemplo, abc123, 123456, etc. Assim, há grande possibilidade de que um ou mais usuários utilizem o mesmo tipo de senha.

Ataque por informação conhecida: esse ataque utiliza dados do usuário para prever a senha, como, por exemplo, data de aniversário, número de telefone, nome do pai, nome da mãe, etc. É uma técnica utilizada para sistemas que exigem validação de perguntas para recuperação de senhas.

Para evitar a “adivinhação” de senhas, é possível “setar” uma série de ações relacionadas a bloqueio de contas, depois de um certo número de tentativas de acesso, configuração do nível de segurança das senhas, para que cumpram requisitos de segurança da organização, uso de auditoria e event log.

A seguir, confira ataques e ameaças contra autenticação baseada em tokens

e contra sistemas:

Token: esse tipo de ataque envolve o roubo ou empréstimo do elemento utilizado como token para parceiros. Nesse caso, é necessário adotar políticas de uso que proíbam empréstimo do token e uso por parte de terceiros, adoção de tecnologias redundantes, como câmeras, para monitorar qual pessoa está utilizando o recurso, e mecanismos para cancelamento de um determinado token, se o usuário o perdeu ou foi furtado.

Sistema: nesse caso, deve-se reduzir a quantidade de usuários que podem ter acesso diretamente ao sistema e aplicar políticas em relação a usuários, que, por exemplo, deixem a organização.

É preciso saber como usar a tecnologia de autenticação; portanto, a seguir, confira algumas dicas:

a) Definir os tipos de usuários e seus respectivos níveis de acesso vincu- lados a cada tipo.

b) Ao cadastrar um novo usuário, ele deve ser vinculado ao nível de acesso conveniente.

c) Se o usuário acessar um sistema publicamente, ferramentas de maior segurança deverão ser utilizadas.

d) Caso o usuário acesse um sistema disponível localmente, diferentes níveis de autenticação deverão ser utilizados. Recursos críticos deverão ter sistemas de autenticação mais exigentes, enquanto recursos não críticos deverão ter níveis menos exigentes.

e) Obrigar a troca periódica do recurso usado para autenticação.

Learn more about creating dynamic, engaging presentations with Prezi