cnasi cyber, forense e cissp
Post on 14-Jan-2017
192 Views
Preview:
TRANSCRIPT
CYBER SECURITYEstratégias de Invasão, Forense e
Recomendações CISSP(Apresentação CNASI 2016)
Carlos Castro Segurança da Informação
Agenda
1. Conceitos
2. Cenários
3. Metodologia de Invasão
4. Forense
5. Recomendações CISSP
6. Encerramento
FraquezasCenários
Bugs em Produtos
Vulnerabilidades em Aplicações
Ambiente Desprotegido
Sistemas Operacionais com Serviços
Desatualizados
Diferentes Fronteiras de Exposição
Fraca Proteção Contra Mau Uso
Controles de Acesso
Camadas de Responsabilidade
Principais Vulnerabilidades (OWASP)
FraquezasCenários
Vulnerabilidade Descrição
Injections (SQL, XML, Buffer Overflow, etc)Injeção de código SQL, Estouro forçado de buffers em
memória, etc.
Autenticação e Sessões frágeisProcesso de autenticação é fraco desde a forma como o
usuário é criado
XSS (Cross Site Scripting)Código de scripts (javascript, etc) é inserido de maneira
arbitrária no navegador do usuário
Referências direta a objetosDesenvolvedor expõe objetos (arquivos, etc) que conseguem
ser acessados de fora da aplicação
Falhas de ConfiguraçãoMecanismos para tornar os servidores mais seguros não são
habilitados e configurações padrão são usadas
Exposição de Informações SensíveisInformações são apresentadas em texto claro ou trafegam por
canais não encriptados
Falhas no uso do Controle de Acesso Páginas ou arquivos indevidamente acessados
Forjar requisição válida (CSRF) Requisição forjada através de usuário válido
Usar componentes com falhas Manter componentes com falhas conhecidas
Redirecionamentos não validados Permissão de redirecionamento sem validação
Preço de Dados Roubados Caiu
46% dos Ataques Originados na China
Aumento Reclamação de Seguro Cyber
Exposição das Ferramentas do
Hacking Team
Aumento de Ataques sobre Saúde
Butterfly – Ataques para Ganhos
Comerciais
Ataques sobre IoT e Telefones
Sextorsão(fonte: Symantec)
2015 - EVENTOSCenários
TCP/IP, Sockets e Portas
TCP/IPConceitos
Default Gateway e Protocolo ARP (address resolution protocol)
• Descoberta do MAC e Cache ARP
ARPConceitos
Requerimento (broadcast)
Who has 192.168.116.2?
Resposta de 192.168.116.2
90-EF-DD-A1-87-4A
Bits de Controle (SYN,ACK,RST,FIN,URG,PSH,CWR,ECE)
TCP/IPConceitos
Identificar o Alvo
Buscar o Anonimato
Levantar as Vulnerabilidades
Explorar as Vulnerabilidades
Migrar entre Processos
Escalar Privilégios
Deixar a Porta Aberta e Manter-se
Invisível
ESTRATÉGIAInvasão
Identificar o Alvo (levantamento)
Tipos de domínio (aero, edu, biz, firm, gov,
info, jobs, ltd, org, store, tel, travel)
Google Search Engine• site:endereço
• inurl:palavra
• filetype ou ext:extensão
• GHDB (Google Hacking DataBase)
Ex: site:.gov ext:xlsx inurl:con
Estratégias IDENTIFICAR
Estratégias IDENTIFICAR
Ex: site:.gov ext:xlsx inurl:con
Escondendo o IP de Origem
TOR (rede de computadores conectados
anonimamente através da infraestrutura da
internet – The Onion Router (DeepWeb))
VPN (Virtual Private Network)
• IP de origem é mascarado
• Escopo de endereçamento do
provedor do serviço
• Dados encriptados
Linux Tails
Estratégias ANONIMATO
DEEPWEB ouREDE PRIVADA (VPN)
ATACANTE ALVO
CONEXÃO NÃO É DIRETA EO IP ORIGEM FICA MASCARADO
Ação Correta Deve Estar Respaldada
por Contrato e Autorização
Invasão
Redes
• Exploits (explora vulnerabilidade)
• Payloads (código executado através do Exploit)
• Man In The Middle (MITM)
• Falhas em Serviços
Aplicações
• Injections (explora fragilidades do código)
• Brute Force
TIPOSInvasão
Levantar as Vulnerabilidades com o
NMAP
Explorar as Vulnerabilidades com os
Exploits e Payloads
• Migrar entre Processos
• Escalar Privilégios
Deixar a Porta Aberta Deixando um
Componente Instalado
Capturando Usuário e Senha no MITM
EXEMPLOInvasão
Planejar a Investigação
Post-Mortem ou Alive
Preservar Provas
Cadeia de Custódia
Buscar Evidências
Preparar o Laudo
Destruir Cópias
PASSOSForense
CUSTÓDIAForense
O que é uma Cadeira de Custódia?
Como Proceder?
Direitos e Cuidados
BUSCAForense
Em Busca de Pistas
Onde Procurar?
• Memória
• Disco (logs, históricos, etc)
• Como Procurar?
• FTK, Helix
• Volatily, MDD
DUPLICAÇÃOForense
CAUSASCISSP
Razões para Vulnerabilidades
• Requisitos não Incluem Segurança
• Enfoque em Segurança é mais Recente
• Perfil de Segurança X Desenvolvedor
• Pressão por Prazos e Concorrência
• Funcionalidade Maior que Segurança
Baixa Qualidade no Desenvolvimento
Negligência no Controle de Acessos
• Não Segmentação
RecomendaçõesCISSP
Segurança na Aplicação
• Autenticação, Validação da Entrada de
Dados, Controle de Sessões, Banco de
Dados, Evitar Expor Informações
Desnecessárias
Controles de Acesso
• Restrições no Nível da Aplicação, do
Banco e do Sistema Operacional
Atualização Quanto as Ameaças
• Virus, Exploits, Injections
PerguntasEncerramento
ContatosEncerramento
Carlos Castroforense.digital.com@gmail.com
facebook.com/ForenseDigital
top related