Por que os “hackers” amam
o seu banco de dados?
Renato Bognar
O que iremos ver
Por que seus bancos de dados são tão atrativos?
Quais os pontos de atenção?
Quem são os “hackers” afinal?
Você pode se protege?
Ataques divulgados recentemente
É fácil de encontrar violações de dados! Os mais recentemente são:
Starbucks
Target
Home Depot
Evernote
Ashley Madison
Além de muitos outros...
A maior parte das invasões envolve bancos de dados
Invasões
Ataques para extorção
Domino’s Pizza (2014)
Foram roubados dados de mais de 650.000 dados de clientes
• Bélgica e França
• Entre os dados roubados, estavam informações pessoais dos clientes
O objetivo do ataque era extorquir US$ 40,000.00
O não pagamento do “resgate” poderia resultar na publicação de todos os dados.
A Domino’s não pagou.
Ataques mais comuns
Informações de cartão de crédito.
Qual é o melhor lugar para encontrar centenas de pessoas com “bons” cartão de crédito?
• Sistemas on-line ou de alguma forma expostos
38% de ataques são para capturar cartões de crédito, ocorrem em sistemas de hotéis.
A maior parte dos ataques aos hotéis acontecem no ponto de venda ou ao banco de dados.
Atenção!
Criminosos são criminosos
• Não subestime isso.
• Todo o crime tem fatores de motivação.
Motivações principais
• Interesses financeiros.
• Retaliação, causar prejuízos.
• Publicidade, notoriedade.
• Poder
• Espionagem industrial
E não para por ai…
O prejuízo causado pelos ataques pode chegar a US$ 2.1 tri por ano até 2019.
Em média um ataque causa prejuízo de US$ 6 mi
Alguns ataques que causaram grandes estragos:
• Target: US$ 162 mi
• Sony Pictures: US$ 100 mi
• TJX: US$ 250 mi
Em quanto tempo?
• 170 dias em média é o prazo para se detectar um ataque.
• 45 dias é o prazo médio para se resolver um incidente.
FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019 http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study
Porém
Sempre deixam rastro!
FONTE: http://www.computing.co.uk/ctg/news/2408344/the-cost-of-insecurity-usd21-trillion-every-year-by-2019 http://www.securityweek.com/cost-cyber-attacks-jumps-us-firms-study
Por que os dados da sua empresa são tão atrativos?
Dados são moeda de troca
Principais “clientes” de dados pessoais:
• Ladrões de documentos.
• Crime organizado.
• Spammers
• Operadores/locadores de Botnets (malware que possibilita o uso remoto de um computador infectado )
Valor dos dados pessoais
• Pode variar entre US$ 0,01 até um pouco mais de US$ 1 – Nome ou e-mail
– Phishing (roubo de dados pessoais), spam, crimes de falsidade ideológica.
Informação mínima para fazer dinheiro
Qual é a quantidade de informações que alguem precisa para fazer dinheiro?
> Somente um endereço de e-mail.
Sim, somente isso!
Qualquer coisa a mais é lucro certo.
Por que os dados da sua empresa são tão atrativos?
Extorsão / pedido de resgate
Reputação da empresa, perda de status, prejuízo financeiro.
Prejuízos a organização.
Quanto o seu concorrente pagaria por acesso ao seu banco de dados?
Qual seria o tamanho do seu prejuízo se seu banco de dados ficasse indisponível?
Quais tipos de bancos de dados são visados?
Bancos de dados são presas fáceis
Por que?
• Todos os bancos de dados tem pelo menos um caminho de acesso a rede.
• Se há acesso aos usuários do banco de dados pela internet, o cenário “começa a ficar mais interessante”, pois existem mais caminhos.
Resumindo, atacar bancos de dados pode ser muito fácil!
Mais verdades desconfortáveis
Na maioria das vezes o foco está totalmente errado!
Por muitos anos (e ainda hoje), as empresas estão focadas em:
• Prevenção
• Proteção
Prevenção e proteção não é o suficiente!
As organizações visionárias estão entendendo a importância da
• Detecção
O que já sabemos?
Bancos de dados são alvos muito valiosos.
Aplicações geralmente são escritas por Desenvolvedores
• Desenvolvedores não são profissionais de Segurança (Desculpe, alguém tem que dizer isso.)
Aplicações geralmente acessam bancos de dados e sua configuração não está protegida.
É fácil burlar monitoramento de dados no funcionamento regular entre a aplicação / banco.
Bancos de dados em cloud, geralmente podem facilitar o trabalho dos invasores.
Como os invasores agem?
Trabalho de reconhecimento (começam por simples pesquisas on-line)
• O que você está expondo?
• Informações de SO / Infra / Serviços
Avaliação de valor
• O que parece interessante e tem algum valor
Busca de vulnerabilidades
Plano de ataque
• Como explorar as vulnerabilidades.
Ataques comuns a bancos de dados
Principais ataques a bancos de dados
• Dados com senhas “fracas” ou excessivamente expostas
• SQL injection
• Vulnerabilities/Exploits
• Escalated privileges
• Denial of Service (DoS)
• Sequestro de backup
•
PESSOAS
• Muito mais, mas isto é um bom começo.
FONTE: http://www.darkreading.com/risk/hackers-choice-top-six-database-attacks/d/d-id/1129481 http://www.netlib.com/blog/data-protection/The-10-Most-Common-Database-Vulnerabilities.asp https://www.exploit-db.com/search/
Não se esqueça das vulnerabilidades das aplicações
Aplicações são geralmente “trusted entities”
Autenticação pode não ser suficiente
É fácil encontrar credenciais armazenadas principalmente em aplicações exportas web
Por que é tão fácil ser atacado?
Listas de exploits e vulnerabilidades estão publicadas on-line
• Diversas listas de “Top of n Database Attacks”
Fácil de encontrar e entrar, mesmo para script-kids!
É muito difícil cobrir todos os back doors
• É caro e demanda muito tempo
Como resultado, muitos bancos de dados ficam vulneráveis.
• Vulnerabilidades sem correção
• Nomes padrão de usuário/senha/services
Tipos de ataques favoritos
SQL Injection
Engenharia Social
• Chame alguém para fazer o trabalho sujo por você.
• Muitos ataques dependem da bondade das pessoas!
Gerenciamento de senhas “preguiçoso”.
• Muitas senhas para gerenciar!
• Todos nós somos preguiçosos…. às vezes.
• Cuidado com Banco de Dados com acesso anônimo
As senhas mais comuns
senha numero !qa@ws !@#$% 1qa2ws 123qwe qweasd asdflkjh 0987654321 !@#$qwer qwer!@#$ 12121212 zxcvqwer asdfghkjVocê pode se esconder?
Não
Bom, talvez um pouco!
Máximo de proteção possivel é: sempre mais um 9 depois da virgula. Nunca 100%
Prepare-se para ataques de qualquer tipo ou ameaça.
• Gerenciamento de risco, 101%
Reduza as possibilidades de ataque.
• Exponha o mínimo possível.
• Desabilite/Remova serviços indesejáveis, feche portas.
• Mínimo privilégio possível.
Qual é a melhor defesa?
Melhores práticas
• Instituto - SANS Critical Security Controls
• Tenha planos de Continuidade, Disaster/Recovery e Gerenciamento de Risco.
• Tenha criptografia em todas as conexões ao seu banco de dados com Progress DataDirect (https://www.progress.com/data-connectivity)
Plano para prevenção e proteção, mas…
• Também tenha um plano para detecção e resposta!
Teste e revise regularmente seu Plano de Continuidade e Disaster Recovery
Resumindo
Esteja atualizado.
Fique atendo as informações de ataques relevantes.
Entenda o valor dos seus dados.
Conheça os pontos de vulnerabilidade do seu ambiente