2. PRINCIPAIS DESAFIOS
SEGURANÇA DA INFORMAÇÃO
NO AMBIENTE GLOBAL
# id
Cássio Alexandre Ramos
cassioaramos (at) gmail (dot) com
http://www.facebook.com/cassioaramos
http://cassioaramos.blogspot.com
3. Agenda
• Informações do Underground
• Desafios
• Guerra Cibernética
• Internet das Coisas
• Espionagem Digital
• BYOD
• Anonimato na Web
• Engenharia Social
4. Informações do Underground
• Existe muita informação sobre vulnerabilidades de segurança
disponível publicamente
• Ferramentas de ataque cada vez mais amigáveis e fáceis de se
distribuir
• Script kiddies abusam dessas ferramentas
• Existe debate a respeito – vulnerabilidades de segurança
devem ser publicadas ou devem ser escondidas até que a
efetiva defesa esteja disponível
5. Informações do Underground
• Atacantes tem excelente rede de comunicações
• Chat, IRC, web, grupos informais e até conferências oficiais (DEFCON)
• Pessoal de segurança precisa aprender a compartilhar essas informações
• Aumento nas atividades de hacktivismo
• Interesses políticos
6. Informações do Underground
• Atacantes alteram site web/ftp e incluem backdoor
• Cases
• Novembro 2002: tcpdump.org – alteração na libpcap por backdoor –
funcionalidades do tcpdump não foram alteradas
• Novembro
de
comprometidos
2003:
servidores
de
desenvolvimento
Debian
• Janeiro 2005: jabber.org comprometido – arquivos de vários projetos
alterados
• Junho de 2012: Windows Update - Flame
• Época
de ouro para hacking e cracking –
conseqüentemente é tempo de Segurança da Informação
7. Principais Desafios
• Guerra Cibernética
• “Envolve ações realizadas no mundo cibernético. Realidade virtual
compreendida numa coleção de computadores e redes”
• A definição militar mais próxima para o termo “É uma combinação de
ataque e defesa a redes de computadores e operações especiais de
informação, de interesse militar”
• Guerra cinética
• É a guerra praticada no “mundo real”. Tanques, navios, aviões e soldados
são os protagonistas da guerra cinética
8. Principais Desafios
• Guerra Cibernética
• Necessário patrocínio estatal e inserida em Planejamento Militar.
• Em caso de hostilidades e/ou beligerância entre dois Estados, a
exploração dos sistemas do país oponente constitui uma eficiente
maneira de obter vantagens sobre o mesmo
• GC impõe uma nova realidade para os teatros de operações militares
• Alvos - IC: Setores de energia, transporte, água, comunicações, finanças,
sistemas militares (sistemas de C2 e sistemas de armas das forças em
operações), serviços de emergência e segurança pública
• Guia de Referência para a Segurança das Infraestruturas Críticas da
Informação do GSI-PR
http://dsic.planalto.gov.br/documentos/publicacoes/2_Guia_SICI.pdf
9. Principais Desafios
Guerra Cibernética
•Caso Estônia
• Serviços estatais na Internet (primeiro país a realizar eleições pela
Internet)
• Em abril de 2007, sites governamentais, sites de jornais e emissoras de
televisão foram atacados e ficaram temporariamente fora do ar
• Ataques creditados a hackers russos.
• Motivação: remoção da estátua de bronze do soldado russo. Símbolo da
vitória contra o nazismo. Para a Estônia, lembrava apenas a ocupação
soviética do território
10. Principais Desafios
Guerra Cibernética
•Caso de Uso - Malware Stuxnet (junho de 2010)
• Criado pelos EUA e Israel
• Alvo – Sistema SCADA – controle da centrífuga
• 04 windows zero-days
• Propaga via LAN ou USB
• Altera velocidade da centrífuga
•Caso de Uso – Malware Flame (Maio de 2012)
• Grava áudio, teclado, tela, captura tráfego de rede, grava skype. Envia
dados para diversos servidores de C2
11. Principais Desafios
Internet das Coisas
•Dispositivos em rede/e ou na Internet
• Eletrodomésticos,
carros, tablets, hardwares, Marca-passo,
modem da operadora, consoles de jogos, câmeras de vigilância etc
• Dispositivos com S.O bastante simples
• Como se proteger?
• Exigência de conformidade com normas de
segurança
• Fortalecer industria nacional de hardware e
software
13. Principais Desafios
• Espionagem Digital
• Caso Edward Joseph Snowden - PRISM
• Empresas afetadas – Microsoft, google, facebook,
yahoo, Apple etc
• Perda da Privacidade
• Monitoramento de redes sociais, mecanismos de
busca etc
• Novidade????
• Oportunidades
• Empresa Estratégica de Defesa, com base da lei
12.598 de março de 2012. ( EED)
• Produto de Defesa – atende as necessidades da
Marinha, Exercito e Aeronáutica
14. Principais Desafios
BYOD – Bring Your own Device
•O termo se refere a política de permitir o uso de dispositivos
pessoais (laptops, tablets, and smart phones) no local de
trabalho, para o acesso a informações privilegiadas da empresa.
15. Principais Desafios
• Razões para Aderir ao BYOD
• Maior satisfação e produtividade dos funcionários
• Menores custos com equipamentos e dispositivos
• Melhor integração entre a instituição e seus funcionários
• Mobilidade e acessibilidade para executar tarefas
16. Principais Desafios
• Desafios na Implantação
• Bom senso das empresas e funcionarios na formulação e
aceitação das regras
• Modelo de Implantação
• Definição de política específicas para BYOD
• Requisitos mínimos para escolha de ferramenta de MDM
• Definição das permissões de acesso
• Definição do plano de comunicações
• Estratégia de Lançamento
17. Principais Desafios
Anonimato na Web
•Rede Cebola – Projeto Militar
•Conjunto de técnicas para se manter anonimo na web
• Utilizado por atacantes e contraventores
• Redes TOR, I2P; 3G, VPNs, email temporários, proxies etc
• Dificulta rastreamento
•Propósito das redes anonimas – nobre
• Sistemas anônimos de comunicação
• Proteção
da liberdade de expressão, contra regimes
ditatoriais.
http://cassioaramos.blogspot.com.br/2011/12/artigo-do-grupo-anonymous.html
18. Principais Desafios
Anonimato na Web
•Dark Net ou Deep Web
• Informação inacessível para os mecanismos de busca
• enxergamos equivale à superfície da internet
• Acesso
• Tails - The Amnesic Incognito Live
System
19. Principais Desafios
Deep Web
•O que tem?
• Manuais de construção de bombas
• Venda de drogas
• Todos os tipos de *filia
• Venda de documentos falsificados
• Compartilhamento de arquivos
• Wikileaks
• Anonymous
• etc
20. Principais Desafios
Engenharia Social
•Práticas utilizadas para obter acesso a informações importantes
ou sigilosas em organizações ou sistemas por meio da
enganação ou exploração da confiança das pessoas. Para isso, o
golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área,
etc.
28. Ferramentas
• SET
• Fishing scam
• Web attacks – java, clonning etc
• Arquivos contaminados
• Mídias infectadas
• Fake AP
• Etc........
29. Ferramentas
• Spoofing Phone Number
• www.spoofcard.com
• Comprar créditos no site (usar técnicas de anonimato)
• Ligar para o telefone de acesso
• Inserir o PIN
• Inserir o número a discar
• Inserir o número a aparecer na vítima
• Existem apps para isso
Estamos falando de ativos relevantes, como: Energia Elétrica (Hidrelétricas, Linhas de Transmissão, Subestações); Petróleo e Gás (Refinarias, Terminais, Oleodutos, Gasodutos); Transporte (Aeroportos, Rodovias, Portos, Hidrovias, Ferrovias); Água (Barragens, Abastecimento Urbano); Comunicações (Backbones, Centrais telefônicas, Centros de Distribuição, Radiodifusão) e Finanças (Sistema de Pagamentos Brasileiro, Redes de agências).