![Page 1: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/1.jpg)
COMO FUNCIONAM AS AMEAÇASDA INTERNET E O CYBERCRIME
Mariano Sumrell Miranda
![Page 2: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/2.jpg)
APRESENTAÇÃO
Mariano Sumrell Miranda [email protected]
Winco Tec. e SistemasEmpresa com + 10 anos de desenvolvimento de tecnologia de
segurança e conectividade
Fabricante do Winconnection - Controle de Acesso à Internet, Filtro de Instant Messaging, Filtro de e-mail e servidor de e-mail
Fabricante do Winco Edge Security
- Filtro de Instant Messaging e Filtro de e-mail
Distribuidor no Brasil do AVG
- Alguns componentes do AVG feitos pela Winco
![Page 3: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/3.jpg)
AMEAÇAS NA INTERNET
Antigamente Hackers eram motivados por:fama
vencer desafios
provar conceitos
![Page 4: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/4.jpg)
HACKERS HOJE
Cybercrime atividade profissional (criminosa)Sofisticados e altamente organizados
AtividadesEspionagem industrial
Sabotagem de concorrentes
Roubo de Informações como cartões de créditos e senhas de banco
Envio de SPAM
Click Fraud
Chantagem e extorsão- Sequestro de HD- Ameaça de parar o sistemas computacional
![Page 5: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/5.jpg)
Venda de produtos e serviços.
Programa DDoS Bot: US$ 400
Envio de Spam: US$ 150 / milhão
Info sobre cartões de crédito: US$ 0,10 a US$25
Web Exploit ToolKit (WET): US$ 20 a US$400
Aluguel/Venda de Botnets
Informações Bancárias
Senhas de contas de e-mail
Aluguel de local para entrega de mercadorias
Conversão para dinheiro
CYBERCRIME
![Page 6: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/6.jpg)
Pela forma de propagaçãoVírusWormCavalo de Tróia
Pelo atividade realizadaBackdoorSpywareKeylogger e screenloggerDownloadersEtc
Por Características EspeciaisRootkit
CLASSIFICAÇÃO DE MALWARE
![Page 7: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/7.jpg)
Se anexa a programas hospedeiros Altera início de programa para executar o código
malicioso Código malicioso costuma infectar outros arquivos,
inclusive pelo compartilhamento de rede Pode criar novos executáveis e, através da Registry do
Windows forçar a sua execução na inicialização da máquina.
VÍRUS
![Page 8: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/8.jpg)
![Page 9: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/9.jpg)
![Page 10: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/10.jpg)
Não precisa de programa hospedeiro Se propaga pela rede Entra no computador explorando falhas de segurança (exploit)
Sistema OperacionalAplicativo
Exploit mais comum: buffer overflow
WORM
![Page 11: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/11.jpg)
Exige a ação da vítima para se instalar:Executar um anexo de e-mailFazer download de programa
Técnica mais utilizada pelos hackers:Engenharia Social nas suas mais diversas formas
CAVALO DE TRÓIA
![Page 12: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/12.jpg)
![Page 13: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/13.jpg)
![Page 14: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/14.jpg)
![Page 15: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/15.jpg)
![Page 16: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/16.jpg)
Programas que escondem a sua presença
tornando impossível a sua detecção pelos
mecanismos convencionais
Costumam alterar chamadas (API) do sistema operacional:Acesso a Arquivos: não mostram os arquivos maliciosos
Identificação de processos: não mostram os processos maliciosos
Podem ser instalados no kernel (módulos carregáveis,
device drivers) ou nas bibliotecas do S.O. (DLLs).
ROOTKIT
![Page 17: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/17.jpg)
1982 – Primeiro vírus disseminadoElk Cloner – Infectava disquetes (boot sector) do Apple II
A cada 50 boots apresentava um poema:
Elk Cloner: The program with a personalityIt will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!
HISTÓRIA
![Page 18: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/18.jpg)
1983 – Primeiro vírus de laboratório documentado. Cunhado o termo “Vírus de computador”.
1986 – Primeiros vírus de PC: Brain, ping-pongEram vírus de boot sector.
1987 – Primeiros vírus de arquivos.
1988 – Robert Morris lançou o primeiro “worm” da
Internet derrubando 6.000 máquinas por 36 horas.
1995 – Primeiro vírus de macro.
HISTÓRIA
![Page 19: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/19.jpg)
PING-PONG
![Page 20: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/20.jpg)
1999 – Mass mailing worms (Melissa, I Love You, MyDoom)
2001 – Bots and worms (Code Red, Nimda)Code Red contaminou 350 mil servidores em 12 h
2004 – Ataques WebWindows XP SP2 – firewall ligado por default
Portas Web (80 e 443) sempre abertas
HISTÓRIA
![Page 21: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/21.jpg)
Disquetes
E-mails
Worms explorando falhas de segurança
Sites comprometidos
VETORES DE PROPAGAÇÃO
![Page 22: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/22.jpg)
Antigamente, sites pornográficos e de jogatina eram as principais formas de ataque pela Web
Hoje se escondem em páginas de empresas idôneas
que foram atacadas sem o conhecimento dos
responsáveis.
Para se esconder, ficam pouco tempo em cada
página ou só se manifestam em 1 a cada N acessos.
AMEAÇAS NA NAVEGAÇÃO
![Page 23: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/23.jpg)
TEMPO DE VIDA DE DOMÍNIO COM CÓDIGO MALICIOSO
![Page 24: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/24.jpg)
![Page 25: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/25.jpg)
![Page 26: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/26.jpg)
![Page 27: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/27.jpg)
![Page 28: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/28.jpg)
Páginas Maliciosas:Download de programas maliciosos
(em geral com engenharia social)Exploit de falhas de segurança do browserAtaques em Active-X, Java ou JavaScript
Necessidade de detecção antes de chegar no browser Proteção baseada em base de dados → Proteção Limitada Necessidade de verificação em tempo real 8
ATAQUES NA NAVEGAÇÃO
![Page 29: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/29.jpg)
Explorando falhas de segurança do servidor Web
Explorando falhas de segurança da aplicação Web
Usando credenciais FTP utilizadas pelo dono do site
para fazer uploadNome de Usuários e Senhas trafegam em aberto no FTP.
COMO OS SITES SÃO ATACADOS
![Page 30: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/30.jpg)
Conjuntos de computadores “escravizados” por
cybercriminososEnvio de SPAM
Ataques (sabotagem, extorsão)
Botnet = Robot network
Máquinas comprometidas por vírus, worms ou
cavalos de tróia.
BOTNETS
![Page 31: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/31.jpg)
BOTNETS
Se comunicam através de um componente IRC
(Internet Relay Chat) que se conecta a um canal de um
ou mais servidores IRC.
Mais recentemente o Twitter foi usado para a comunicação.
![Page 32: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/32.jpg)
![Page 33: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/33.jpg)
Ataque que faz com que determinado serviço pare
de funcionar.
DDoS - Distributed DoS
Ataque feito de botnets.
DoS – DENIAL OF SERVICE
![Page 34: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/34.jpg)
Inundar um link
Inundar servidor de e-mail
SYN FloodMantém conexões TCP semi-abertas, consumindo recursos até a
exaustão dos mesmos.
PING of Death - Ping com mais de 64K bytes que derrubava
o Windows 95 e algumas versões do Linux.
Enviar pacotes mal formados que fazem o servidor
“crashar”.
DoS
![Page 35: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/35.jpg)
SniffersEm redes locais
Se houver switches: ARP Poisoning
Interceptando nos roteadores/redes no caminho
Se for criptografado: Man In the MiddlePode ser aplicado em redes locais com ARP Poisoning
CAPTURA DE INFORMAÇÕES TRAFEGANDO NA REDE
![Page 36: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/36.jpg)
Na conexão, cliente envia sua chave pública.
Servidor responde com sua chave pública, criptografada
pela chave pública do cliente.
Cliente responde, pedindo uma chave de sessão (usada
para criptografar o resto da comunicação).
Servidor envia chave de sessão, criptografada pela chave
pública do cliente.
A partir desse momento toda a comunicação se dá com a
chave de sessão (chave simétrica).
SSL (SECURE SOCKET LAYER)
![Page 37: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/37.jpg)
Se o cliente não tiver como verificar a chave do
servidor, é possível interceptar a comunicação.
Cliente Server
Hacker
MAN IN THE MIDDLE
![Page 38: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/38.jpg)
Usando Login/Senha de outra pessoaSniffer
Tentativa e erro:
- força bruta
- dicionário
Engenharia Social
Fingir ser outra pessoa em mensagens de e-mail,
MSN, sites sociais.
FINGIR SER OUTRA PESSOA
![Page 39: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/39.jpg)
Vírus e Worms
Usar Engenharia Social para induzir usuário a executar
certo programa.
Explorar Falhas de Segurança de Programas:
Buffer Overflow
Code/SQL Injection
FORÇAR A EXECUÇÃODE CÓDIGO
![Page 40: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/40.jpg)
Programa lê dados de entrada assumindo que tem certo
valor máximo.
Se dados forem maiores que o esperado há um estouro de
buffer.
Estouro provoca sobreposição de dados de dados na stack
(pilha).
É inserido código malicioso na stack e endereço de retorno a
alterado para a execução dos desse código.
Ataque pode vir pela rede ou através de dados (imagens,
videos, PDF, .doc) mal formados.
BUFFER OVERFLOW
![Page 41: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/41.jpg)
Formulário com campos “usuario” e “senha”:
Teste de login:- SELECT * from usuarios where usu = usuario and password =
senha;
Se em senha eu preencher:- senha; INSERT INTO usuarios (usu, passwd,priv) VALUES
(mariano,qualquer, all)
SQL INJECTION
![Page 42: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/42.jpg)
Maior interatividade sempre é uma porta sujeita a ser
invadida
Grande disponibilidade de informações pessoais.
Terreno fértil para o uso de Engenharia Social
WEB2.0 E SEGURANÇA
![Page 43: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/43.jpg)
Smarthphones são computadores com CPU,
memória,
área de armazenamento, sistemas operacional e
aplicativos e conectados à internet.
Mesmos problemas de segurança que desktops
e servidores.
MOBILIDADE E SEGURANÇA
![Page 44: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/44.jpg)
Já existem vírus para celulares
Podemos comprar na Internet programa que dá
acesso
à camera e microfone dos celulares, bem como acesso
às conversas telefônicas.
Assim como os notebooks, carregam uma série de
informações. Precisamos proteger essas informações
em casos de roubos e furtos.
MOBILIDADE E SEGURANÇA
![Page 45: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/45.jpg)
Segurança dos sistemas e dados a cargo do
provedor de serviço
“Que bom. Deixo a segurança a cargo de especialistas e menos
uma preocupação para mim.”
“Não gosto de perder o controle sobre os meus dados.”
CLOUD COMPUTING E SEGURANÇA
![Page 46: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/46.jpg)
Os sistemas são acessados remotamente. Mais
vulneráveis que datacenters isolados.
É necessária especial atenção para autenticação e
controle de acesso.
As ferramentas de segurança podem utilizar serviços
e informações na nuvem para proteger os seus
usuários.
CLOUD COMPUTING E SEGURANÇA
![Page 47: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/47.jpg)
OS ANTIVÍRUS FUNCIONAM?
![Page 48: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/48.jpg)
Detecção por assinatura é muito eficiente mas tem
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
OS ANTIVÍRUS FUNCIONAM?
![Page 49: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/49.jpg)
Detecção por assinatura é muito eficiente mas tem o
problema da janela de tempo entre a difusão da
ameaça na internet e o usuário ter a assinatura no
seu computador.
Os antivírus precisam incorporar outras técnicas
como
análise comportamental (ex.: IDP do AVG) e bloqueio
de sites comprometidos
OS ANTIVÍRUS FUNCIONAM?
![Page 50: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/50.jpg)
ANTIVÍRUS SÃO SUFICIENTES?
Antivírus e outras ferramentas como firewall, antispam,
filtros de conteúdo são apenas parte da solução
Conscientização e comportamento são a outra parte.Uso de senhas fortes, não acreditar que ganhou na loteria se
sequer apostou, fazer atualizações de segurança, etc.
![Page 51: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/51.jpg)
CASO ROBERT MOORE
Preso em 2007.
Parte de uma quadrilha que roubava serviços de VoIP e
vendia a seus clientes.
Invadiu centenas de empresas, sendo 15 de
telecomunicação.
Afirma que 70% das empresas que ele scaneou e 45 a
50% dos provedores de VoIP eram inseguros.
Maior falha de segurança: senhas default.
![Page 52: Como funcionam as ameaças da internet e o cybercrime](https://reader035.vdocuments.pub/reader035/viewer/2022081514/556c4d7ad8b42a23608b5198/html5/thumbnails/52.jpg)
DÚVIDAS?