cnasi cyber, forense e cissp

CYBER SECURITYEstratégias de Invasão, Forense e

Recomendações CISSP(Apresentação CNASI 2016)

Carlos Castro Segurança da Informação

Agenda

1. Conceitos

2. Cenários

3. Metodologia de Invasão

4. Forense

5. Recomendações CISSP

6. Encerramento

FraquezasCenários

Bugs em Produtos

Vulnerabilidades em Aplicações

Ambiente Desprotegido

Sistemas Operacionais com Serviços

Desatualizados

Diferentes Fronteiras de Exposição

Fraca Proteção Contra Mau Uso

Controles de Acesso

Camadas de Responsabilidade

Principais Vulnerabilidades (OWASP)

FraquezasCenários

Vulnerabilidade Descrição

Injections (SQL, XML, Buffer Overflow, etc)Injeção de código SQL, Estouro forçado de buffers em

memória, etc.

Autenticação e Sessões frágeisProcesso de autenticação é fraco desde a forma como o

usuário é criado

XSS (Cross Site Scripting)Código de scripts (javascript, etc) é inserido de maneira

arbitrária no navegador do usuário

Referências direta a objetosDesenvolvedor expõe objetos (arquivos, etc) que conseguem

ser acessados de fora da aplicação

Falhas de ConfiguraçãoMecanismos para tornar os servidores mais seguros não são

habilitados e configurações padrão são usadas

Exposição de Informações SensíveisInformações são apresentadas em texto claro ou trafegam por

canais não encriptados

Falhas no uso do Controle de Acesso Páginas ou arquivos indevidamente acessados

Forjar requisição válida (CSRF) Requisição forjada através de usuário válido

Usar componentes com falhas Manter componentes com falhas conhecidas

Redirecionamentos não validados Permissão de redirecionamento sem validação

Preço de Dados Roubados Caiu

46% dos Ataques Originados na China

Aumento Reclamação de Seguro Cyber

Exposição das Ferramentas do

Hacking Team

Aumento de Ataques sobre Saúde

Butterfly – Ataques para Ganhos

Comerciais

Ataques sobre IoT e Telefones

Sextorsão(fonte: Symantec)

2015 - EVENTOSCenários

TCP/IP, Sockets e Portas

TCP/IPConceitos

Default Gateway e Protocolo ARP (address resolution protocol)

• Descoberta do MAC e Cache ARP

ARPConceitos

Requerimento (broadcast)

Who has 192.168.116.2?

Resposta de 192.168.116.2

90-EF-DD-A1-87-4A

Bits de Controle (SYN,ACK,RST,FIN,URG,PSH,CWR,ECE)

TCP/IPConceitos

Identificar o Alvo

Buscar o Anonimato

Levantar as Vulnerabilidades

Explorar as Vulnerabilidades

Migrar entre Processos

Escalar Privilégios

Deixar a Porta Aberta e Manter-se

Invisível

ESTRATÉGIAInvasão

Identificar o Alvo (levantamento)

Tipos de domínio (aero, edu, biz, firm, gov,

info, jobs, ltd, org, store, tel, travel)

Google Search Engine• site:endereço

• inurl:palavra

• filetype ou ext:extensão

• GHDB (Google Hacking DataBase)

Ex: site:.gov ext:xlsx inurl:con

Estratégias IDENTIFICAR

Estratégias IDENTIFICAR

Ex: site:.gov ext:xlsx inurl:con

Escondendo o IP de Origem

TOR (rede de computadores conectados

anonimamente através da infraestrutura da

internet – The Onion Router (DeepWeb))

VPN (Virtual Private Network)

• IP de origem é mascarado

• Escopo de endereçamento do

provedor do serviço

• Dados encriptados

Linux Tails

Estratégias ANONIMATO

DEEPWEB ouREDE PRIVADA (VPN)

ATACANTE ALVO

CONEXÃO NÃO É DIRETA EO IP ORIGEM FICA MASCARADO

Ação Correta Deve Estar Respaldada

por Contrato e Autorização

Invasão

Redes

• Exploits (explora vulnerabilidade)

• Payloads (código executado através do Exploit)

• Man In The Middle (MITM)

• Falhas em Serviços

Aplicações

• Injections (explora fragilidades do código)

• Brute Force

TIPOSInvasão

Levantar as Vulnerabilidades com o

NMAP

Explorar as Vulnerabilidades com os

Exploits e Payloads

• Migrar entre Processos

• Escalar Privilégios

Deixar a Porta Aberta Deixando um

Componente Instalado

Capturando Usuário e Senha no MITM

EXEMPLOInvasão

Planejar a Investigação

Post-Mortem ou Alive

Preservar Provas

Cadeia de Custódia

Buscar Evidências

Preparar o Laudo

Destruir Cópias

PASSOSForense

CUSTÓDIAForense

O que é uma Cadeira de Custódia?

Como Proceder?

Direitos e Cuidados

BUSCAForense

Em Busca de Pistas

Onde Procurar?

• Memória

• Disco (logs, históricos, etc)

• Como Procurar?

• FTK, Helix

• Volatily, MDD

DUPLICAÇÃOForense

CAUSASCISSP

Razões para Vulnerabilidades

• Requisitos não Incluem Segurança

• Enfoque em Segurança é mais Recente

• Perfil de Segurança X Desenvolvedor

• Pressão por Prazos e Concorrência

• Funcionalidade Maior que Segurança

Baixa Qualidade no Desenvolvimento

Negligência no Controle de Acessos

• Não Segmentação

RecomendaçõesCISSP

Segurança na Aplicação

• Autenticação, Validação da Entrada de

Dados, Controle de Sessões, Banco de

Dados, Evitar Expor Informações

Desnecessárias

Controles de Acesso

• Restrições no Nível da Aplicação, do

Banco e do Sistema Operacional

Atualização Quanto as Ameaças

• Virus, Exploits, Injections

PerguntasEncerramento

ContatosEncerramento

Carlos Castroforense.digital.com@gmail.com

facebook.com/ForenseDigital