Por que os hackers amam o seu banco de dados? Renato Bognar Principal System Engineer

(1)

Por que os “hackers” amam

o seu banco de dados?

Renato Bognar

(2)

O que iremos ver

 Por que seus bancos de dados são tão atrativos?

 Quais os pontos de atenção?

 Quem são os “hackers” afinal?

 Você pode se protege?

(3)

Ataques divulgados recentemente

É fácil de encontrar violações de dados! Os mais recentemente são:

 Starbucks

 Target

 Home Depot

 Evernote

 Ashley Madison

 Além de muitos outros...

A maior parte das invasões envolve bancos de dados

(4)

Invasões

(5)

Ataques para extorção

Domino’s Pizza (2014)

 Foram roubados dados de mais de 650.000 dados de clientes

• Bélgica e França

• Entre os dados roubados, estavam informações pessoais dos clientes

 O objetivo do ataque era extorquir US$ 40,000.00

 O não pagamento do “resgate” poderia resultar na publicação de todos os dados.

 A Domino’s não pagou.

(6)

Ataques mais comuns

 Informações de cartão de crédito.

 Qual é o melhor lugar para encontrar centenas de pessoas com “bons” cartão de crédito?

• Sistemas on-line ou de alguma forma expostos

 38% de ataques são para capturar cartões de crédito, ocorrem em sistemas de hotéis.

 A maior parte dos ataques aos hotéis acontecem no ponto de venda ou ao banco de dados.

(7)

Atenção!

 Criminosos são criminosos

• Não subestime isso.

• Todo o crime tem fatores de motivação.

 Motivações principais

• Interesses financeiros.

• Retaliação, causar prejuízos.

• Publicidade, notoriedade.

• Poder

• Espionagem industrial

(8)

E não para por ai…

 O prejuízo causado pelos ataques pode chegar a US$ 2.1 tri por ano até 2019.

 Em média um ataque causa prejuízo de US$ 6 mi

 Alguns ataques que causaram grandes estragos:

• Target: US$ 162 mi

• Sony Pictures: US$ 100 mi

• TJX: US$ 250 mi

 Em quanto tempo?

• 170 dias em média é o prazo para se detectar um ataque.

• 45 dias é o prazo médio para se resolver um incidente.

FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019 http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study

(9)

Porém

Sempre deixam rastro!

FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019 http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study

(10)

Por que os dados da sua empresa são tão atrativos?

 Dados são moeda de troca

 Principais “clientes” de dados pessoais:

• Ladrões de documentos.

• Crime organizado.

• Spammers

• Operadores/locadores de Botnets (malware que possibilita o uso remoto de um computador infectado )

 Valor dos dados pessoais

• Pode variar entre US$ 0,01 até um pouco mais de US$ 1 – Nome ou e-mail

– Phishing (roubo de dados pessoais), spam, crimes de falsidade ideológica.

(11)

Informação mínima para fazer dinheiro

 Qual é a quantidade de informações que alguem precisa para fazer dinheiro?

> Somente um endereço de e-mail.

 Sim, somente isso!

 Qualquer coisa a mais é lucro certo.

(12)

Por que os dados da sua empresa são tão atrativos?

 Extorsão / pedido de resgate

 Reputação da empresa, perda de status, prejuízo financeiro.

 Prejuízos a organização.

 Quanto o seu concorrente pagaria por acesso ao seu banco de dados?

 Qual seria o tamanho do seu prejuízo se seu banco de dados ficasse indisponível?

(13)

Quais tipos de bancos de dados são visados?

 Bancos de dados são presas fáceis

 Por que?

• Todos os bancos de dados tem pelo menos um caminho de acesso a rede.

• Se há acesso aos usuários do banco de dados pela internet, o cenário “começa a ficar mais interessante”, pois existem mais caminhos.

 Resumindo, atacar bancos de dados pode ser muito fácil!

(14)

Mais verdades desconfortáveis

 Na maioria das vezes o foco está totalmente errado!

 Por muitos anos (e ainda hoje), as empresas estão focadas em:

• Prevenção

• Proteção

 Prevenção e proteção não é o suficiente!

 As organizações visionárias estão entendendo a importância da

• Detecção

(15)

O que já sabemos?

 Bancos de dados são alvos muito valiosos.

 Aplicações geralmente são escritas por Desenvolvedores

• Desenvolvedores não são profissionais de Segurança (Desculpe, alguém tem que dizer isso.)

 Aplicações geralmente acessam bancos de dados e sua configuração não está protegida.

 É fácil burlar monitoramento de dados no funcionamento regular entre a aplicação / banco.

 Bancos de dados em cloud, geralmente podem facilitar o trabalho dos invasores.

(16)

Como os invasores agem?

 Trabalho de reconhecimento (começam por simples pesquisas on-line)

• O que você está expondo?

• Informações de SO / Infra / Serviços

 Avaliação de valor

• O que parece interessante e tem algum valor

 Busca de vulnerabilidades

 Plano de ataque

• Como explorar as vulnerabilidades.

(17)

Ataques comuns a bancos de dados

 Principais ataques a bancos de dados

• Dados com senhas “fracas” ou excessivamente expostas

• SQL injection

• Vulnerabilities/Exploits

• Escalated privileges

• Denial of Service (DoS)

• Sequestro de backup

• PESSOAS

• Muito mais, mas isto é um bom começo.

FONTE: http://www.darkreading.com/risk/hackers-choice-top-six-database-attacks/d/d-id/1129481 http://www.netlib.com/blog/data-protection/The-10-Most-Common-Database-Vulnerabilities.asp https://www.exploit-db.com/search/

(18)

Não se esqueça das vulnerabilidades das aplicações

 Aplicações são geralmente “trusted entities”

 Autenticação pode não ser suficiente

 É fácil encontrar credenciais armazenadas principalmente em aplicações exportas web

(19)

Por que é tão fácil ser atacado?

 Listas de exploits e vulnerabilidades estão publicadas on-line

• Diversas listas de “Top of n Database Attacks”

 Fácil de encontrar e entrar, mesmo para script-kids!

 É muito difícil cobrir todos os back doors

• É caro e demanda muito tempo

 Como resultado, muitos bancos de dados ficam vulneráveis.

• Vulnerabilidades sem correção

• Nomes padrão de usuário/senha/services

(20)

Tipos de ataques favoritos

 SQL Injection

 Engenharia Social

• Chame alguém para fazer o trabalho sujo por você.

• Muitos ataques dependem da bondade das pessoas!

 Gerenciamento de senhas “preguiçoso”.

• Muitas senhas para gerenciar!

• Todos nós somos preguiçosos…. às vezes.

• Cuidado com Banco de Dados com acesso anônimo

(21)

As senhas mais comuns

senha numero !qa@ws !@#$% 1qa2ws 123qwe qweasd asdflkjh 0987654321 !@#$qwer qwer!@#$ 12121212 zxcvqwer asdfghkj

(22)

Você pode se esconder?

 Não

 Bom, talvez um pouco!

 Máximo de proteção possivel é: sempre mais um 9 depois da virgula. Nunca 100%

 Prepare-se para ataques de qualquer tipo ou ameaça.

• Gerenciamento de risco, 101%

 Reduza as possibilidades de ataque.

• Exponha o mínimo possível.

• Desabilite/Remova serviços indesejáveis, feche portas.

• Mínimo privilégio possível.

(23)

Qual é a melhor defesa?

 Melhores práticas

• Instituto - SANS Critical Security Controls

• Tenha planos de Continuidade, Disaster/Recovery e Gerenciamento de Risco.

• Tenha criptografia em todas as conexões ao seu banco de dados com Progress DataDirect (https://www.progress.com/data-connectivity)

 Plano para prevenção e proteção, mas…

• Também tenha um plano para detecção e resposta!

 Teste e revise regularmente seu Plano de Continuidade e Disaster Recovery

(24)

Resumindo

 Esteja atualizado.

 Fique atendo as informações de ataques relevantes.

 Entenda o valor dos seus dados.

 Conheça os pontos de vulnerabilidade do seu ambiente

(25)