SEG
©
2002-14 P. Veríssimo, A. Bessani – All rights reserved. Reproduction only by permissionA segurança hoje em dia…
Segurança
Antivirus
Criptografia
Actualizações
Actualizações
Passwords
Educação
Educação
Firewall
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservados• Symantec’s Global Intelligence Network
– Mais de 60 milhões
de sensores a monitorar a actividade na rede em
mais de 200 países (milhares de eventos por segundo)
– Obtém dados sobre código malicioso juntamente com denúncias de
spyware e adware de mais de 120 milhões de máquinas
– Mantém uma das maiores bases de dados de vulnerabilidades do
mundo, detalhando dezenas de milhar de vulnerabilidades
– Opera um dos mais populares fóruns sobre descoberta e discussão
de vulnerabilidades na Internet
– Tem sistemas de honeypot e black-holing, que atraem mensagens e
interacções de vários países e permite obter dados sobre actividade
global de malware, spam e phishing
• A seguir apresentamos os resultados de alguns
estudos feitos pela Symantec… e mais alguns outros
Como está a segurança hoje em dia?
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosMudança no espectro de ameaças
• Um novo panorama no estudo da segurança informático será
dominado por novas ameaças como
– Botnets
– Códigos adaptáveis maliciosos
– Ataques direcionados
a aplicações web
• Actividades de ataques tradicionais eram dantes motivadas por
curiosidade e vontade de mostrar virtuosidade técnica, hoje em
dia são motivadas
por lucro
e por
política
• Algumas vezes os ataques são tentativas de perpetrar
actos
criminosos
como roubo de identidade, extorsão ou fraude
– Existem relatórios consistentes que caracterizam o modus operandi de
alguns grupos de “hackers” como muito semelhante ao de organizações
criminosas
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAlgumas Estatísticas
(Symantec - 2011)
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAlgumas Estatísticas
(Symantec - 2011)
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosSEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosActividade de botnets
continua a crescer
• O que é uma botnet?
– Programas Bot cooperam formando botnets
– Botnets conduzem actividades maliciosas como ataques de (D)DoS
• Bot computers (+30.000)
• Aumento no número de ataques DoS: +680% (970/dia)
• Mais por vingança, alguns por razões financeiras
Vírus no teu
computador
IRC
(Chat line)
Pedidos de
Conexão
O poder das Botnets
• Após o desligamento de UMA botnet (McColo Corp.),
o volume de spam na Internet caiu 41%
– medição de outubro de 2008 e novembro 2008
• Aqui percebe-se claramente que as botnets não
servem apenas para fazer grandes ataques a sites…
• De onde será que vem esse spam que recebemos
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosNegação de Serviço (DoS)
…
• “Immense network assault takes down Yahoo” - CNN (2001).
• “Attack knocks out Microsoft Web sites” – CNET News (2001).
• “Attack disables music industry Web site” – CNET news (2002).
• “After months of DDoS attacks, DALnet completely overloaded on
Jan. 9, service unavailable to millions of users worldwide.” –
Infoworld (2003).
• “Euro 2004 Gambling Sites Hit By DoS Attacks”
– Netcraft News (2004).
• “Gangs extort companies with DDoS attacks”
- Slashdot (2005).
• “Global internet slows after 'biggest attack in history’ “
• - BBC News (2013)
…
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosSEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosCódigo Malicioso Lucrativo
• Código malicioso que pode ser usado para gerar lucro
está em alta
• 64% dos top 50 códigos maliciosos conhecidos
permitem encaminhamento de email
• Novos métodos para ganho financeiro
– Trojan ex: Gpcoder
• botnets disponíveis para arrendar!
Código Malicioso para
Dispositivos Móveis
• O número de variantes de códigos maliciosos para
dispositivos móveis tem vindo a aumentar
• Em Março/2007, o primeiro worm espalhado por MMS
(Commwarrior) foi descoberto.
• Já há worms que se espalham por bluetooth
• E mais… vem aí código malicioso para tudo:
– Automóveis
– Impressoras, Mp3 players
– ???
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAtaques no sector móvel
(em franco crescimento)
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosNovas Vulnerabilidades em Software
estabilizou, mas num nr. muito elevado
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosPhishing e Spam
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosSítios Web maliciosos
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosOs problemas dos ISPs
(Pesquisa de 2008 da Arbor Networks)
• Primeiras três preocupações dos ISPs (Internet
Service Providers) no que respeita a gasto de
recursos:
– Spam
– Ataques de DDoS
– Tráfego P2P
• Números dos ataques de DDoS:
– O ataque mais forte conhecido é de 42Gbps (2013)
– Mais de 50% dos ISPs leva 1h ou mais para controlar esses ataques
• Principais alvos de ataques de DDoS:
– Servidores DNS
– Encaminhadores
– Equipamento VoIP
– Distribuidores de carga
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosA primeira “cyber-guerra”
• Entre Abril e Maio de 2007 Estónia e Rússia estiveram em
ciberguerra
• Tudo começou devido a Estónia remover uma estátua de um
“soldado desconhecido” russo de Tallinn
• No dia 27 de abril vários sites do governo e de organizações
importantes (banca, media, etc.) da Estónia sofreram pesados
ataques de negação de serviço
– Os ataques vieram de grandes botnets espalhadas pelo mundo
– Algumas máquinas foram identificadas como pertencentes ao governo russo
– Vários sites ficaram indisponíveis por muito tempo
– Houve ainda mais duas “ondas” de ataques em Maio
• A NATO não sabe como tratar o problema…
– A Rússia nega envolvimento
– É muito difícil provar que o ataque foi arquitectado pelo governo russo, mas as
evidências são bastante “EVIDENTES”
– O facto é: A Estónia foi atacada! se fosse por um míssil, seria um ataque a toda
NATO, mas pela Internet não havia nada que se pudesse fazer.
Os primeiros “cyber-exércitos”
•
Vários países têm investido muito em protecção,
ataque e contra-ataque na Internet
•
Maiores esforços (budget investido)
1. China (56B USD)
2. Rússia (44B USD)
3. Irão (9,7B USD)
4. Estados Unidos (?)
•
Pense comigo:
P: “Se eu quiser desestabilizar um país sem derramar sangue, qual a
melhor forma de fazê-lo?”
R: “Destruir a sua economia”
A Internet e os sistemas computacionais são cruciais para qualquer
economia hoje em dia!
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosO Problema das Infra-estruturas Críticas
• Considere as Infra-estruturas Críticas das quais nossa sociedade
depende:
– Sistema eléctrico
– Telecomunicações
– Distribuição de Gás, Agua, etc…
• Antigamente eram sistemas informáticos fechados e que usavam
tecnologia proprietária
• Hoje, estes sistemas estão instalados em PCs que comunicam
através de TCP/UDP sobre redes IP
• IC estão expostas através dos seus subsistemas de informação,
normalmente conectado a Internet
• As vulnerabilidade em sistemas de controlo de ICs estão a ser
reportadas progressivamente
• Ataques direccionados são um problema esperado (sabotagem,
cyber-terrorismo, etc.)
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosArquitectura de uma IC
remote control, computerisation, interconnection
System Servers D a t a N e t w o r k O p e r a t io n a l N e t w o r k
Critical Infrastr.
SCADA Network
System S ervers S ecurity Server Client System S ervers S ecurity ServerPrivate
Corporate Network
Network
Internet
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAdvanced
Intruders
Discover
Vulnerability
Crude Exploit
Tools Distributed
Novice Intruders
Use Crude
Exploit Tools
Automated
Scanning/Exploit
Tools Developed
Widespread Use
of Automated
Scanning/Exploit
Tools
Intruders Begin
Using New Types
of Exploits
Vulnerability Exploit Cycle
past and present
Increased likelihood of:
- small scale, average severity intrusions
- massive scale, high severity intrusions
Advanced
Intruders
Discover
Vulnerability
Crude Exploit
Tools Distributed
Novice Intruders
Use Crude
Exploit Tools
Automated
Scanning/Exploit
Tools Developed
Widespread Use
of Automated
Scanning/Exploit
Tools
Intruders Begin
Using New Types
of Exploits
Vulnerability Exploit Cycle
present and future
Increased likelihood of:
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAtaques direccionados
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAttack sophistication vs. attacker expertise
High
Low
1980
1985
1990
1995
2000
password guessing
self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits
back doors
hijacking
sessions
sweepers
sniffers
packet spoofing
GUI
automated probes/scans
denial of
service
www
attacks
Tools
Attackers
“stealth” / advanced
scanning techniques
burglaries
network mgmt. diagnostics
DDOS
attacks
20xx…
(Source: Adapted from Lipson, H. F., Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues, Special Report CMS/SEI-2002-SR-009, November 2002. (CERT)
Bot
Nets
Embedded
malicious
code
SEG
©
2002-14 P. Veríssimo, A. N. Bessani – Todos os direitos reservadosAttack sophistication vs. attacker expertise
(Source: Adapted from Lipson, H. F., Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues, Special Report CMS/SEI-2002-SR-009, November 2002. (CERT)