A segurança hoje em dia

SEG

©

A segurança hoje em dia…

Segurança

Antivirus

Criptografia

Actualizações

Actualizações

Passwords

Educação

Educação

Firewall

SEG

©

• Symantec’s Global Intelligence Network

– Mais de 60 milhões

de sensores a monitorar a actividade na rede em

mais de 200 países (milhares de eventos por segundo)

– Obtém dados sobre código malicioso juntamente com denúncias de

spyware e adware de mais de 120 milhões de máquinas

– Mantém uma das maiores bases de dados de vulnerabilidades do

mundo, detalhando dezenas de milhar de vulnerabilidades

– Opera um dos mais populares fóruns sobre descoberta e discussão

de vulnerabilidades na Internet

– Tem sistemas de honeypot e black-holing, que atraem mensagens e

interacções de vários países e permite obter dados sobre actividade

global de malware, spam e phishing

• A seguir apresentamos os resultados de alguns

estudos feitos pela Symantec… e mais alguns outros

Como está a segurança hoje em dia?

SEG

©

Mudança no espectro de ameaças

• Um novo panorama no estudo da segurança informático será

dominado por novas ameaças como

– Botnets

– Códigos adaptáveis maliciosos

– Ataques direcionados

a aplicações web

• Actividades de ataques tradicionais eram dantes motivadas por

curiosidade e vontade de mostrar virtuosidade técnica, hoje em

dia são motivadas

por lucro

e por

política

• Algumas vezes os ataques são tentativas de perpetrar

actos

criminosos

como roubo de identidade, extorsão ou fraude

– Existem relatórios consistentes que caracterizam o modus operandi de

alguns grupos de “hackers” como muito semelhante ao de organizações

criminosas

SEG

©

Algumas Estatísticas

(Symantec - 2011)

SEG

©

Algumas Estatísticas

(Symantec - 2011)

SEG

©

SEG

©

Actividade de botnets

continua a crescer

• O que é uma botnet?

– Programas Bot cooperam formando botnets

– Botnets conduzem actividades maliciosas como ataques de (D)DoS

• Bot computers (+30.000)

• Aumento no número de ataques DoS: +680% (970/dia)

• Mais por vingança, alguns por razões financeiras

Vírus no teu

computador

IRC

(Chat line)

Pedidos de

Conexão

O poder das Botnets

• Após o desligamento de UMA botnet (McColo Corp.),

o volume de spam na Internet caiu 41%

– medição de outubro de 2008 e novembro 2008

• Aqui percebe-se claramente que as botnets não

servem apenas para fazer grandes ataques a sites…

• De onde será que vem esse spam que recebemos

SEG

©

Negação de Serviço (DoS)

…

• “Immense network assault takes down Yahoo” - CNN (2001).

• “Attack knocks out Microsoft Web sites” – CNET News (2001).

• “Attack disables music industry Web site” – CNET news (2002).

• “After months of DDoS attacks, DALnet completely overloaded on

Jan. 9, service unavailable to millions of users worldwide.” –

Infoworld (2003).

• “Euro 2004 Gambling Sites Hit By DoS Attacks”

– Netcraft News (2004).

• “Gangs extort companies with DDoS attacks”

- Slashdot (2005).

• “Global internet slows after 'biggest attack in history’ “

• - BBC News (2013)

…

SEG

©

SEG

©

Código Malicioso Lucrativo

• Código malicioso que pode ser usado para gerar lucro

está em alta

• 64% dos top 50 códigos maliciosos conhecidos

permitem encaminhamento de email

• Novos métodos para ganho financeiro

– Trojan ex: Gpcoder

• botnets disponíveis para arrendar!

Código Malicioso para

Dispositivos Móveis

• O número de variantes de códigos maliciosos para

dispositivos móveis tem vindo a aumentar

• Em Março/2007, o primeiro worm espalhado por MMS

(Commwarrior) foi descoberto.

• Já há worms que se espalham por bluetooth

• E mais… vem aí código malicioso para tudo:

– Automóveis

– Impressoras, Mp3 players

– ???

SEG

©

Ataques no sector móvel

(em franco crescimento)

SEG

©

Novas Vulnerabilidades em Software

estabilizou, mas num nr. muito elevado

SEG

©

Phishing e Spam

SEG

©

Sítios Web maliciosos

SEG

©

Os problemas dos ISPs

(Pesquisa de 2008 da Arbor Networks)

• Primeiras três preocupações dos ISPs (Internet

Service Providers) no que respeita a gasto de

recursos:

– Spam

– Ataques de DDoS

– Tráfego P2P

• Números dos ataques de DDoS:

– O ataque mais forte conhecido é de 42Gbps (2013)

– Mais de 50% dos ISPs leva 1h ou mais para controlar esses ataques

• Principais alvos de ataques de DDoS:

– Servidores DNS

– Encaminhadores

– Equipamento VoIP

– Distribuidores de carga

SEG

©

A primeira “cyber-guerra”

• Entre Abril e Maio de 2007 Estónia e Rússia estiveram em

ciberguerra

• Tudo começou devido a Estónia remover uma estátua de um

“soldado desconhecido” russo de Tallinn

• No dia 27 de abril vários sites do governo e de organizações

importantes (banca, media, etc.) da Estónia sofreram pesados

ataques de negação de serviço

– Os ataques vieram de grandes botnets espalhadas pelo mundo

– Algumas máquinas foram identificadas como pertencentes ao governo russo

– Vários sites ficaram indisponíveis por muito tempo

– Houve ainda mais duas “ondas” de ataques em Maio

• A NATO não sabe como tratar o problema…

– A Rússia nega envolvimento

– É muito difícil provar que o ataque foi arquitectado pelo governo russo, mas as

evidências são bastante “EVIDENTES”

– O facto é: A Estónia foi atacada! se fosse por um míssil, seria um ataque a toda

NATO, mas pela Internet não havia nada que se pudesse fazer.

Os primeiros “cyber-exércitos”

•

Vários países têm investido muito em protecção,

ataque e contra-ataque na Internet

•

Maiores esforços (budget investido)

1. China (56B USD)

2. Rússia (44B USD)

3. Irão (9,7B USD)

4. Estados Unidos (?)

•

Pense comigo:

P: “Se eu quiser desestabilizar um país sem derramar sangue, qual a

melhor forma de fazê-lo?”

R: “Destruir a sua economia”

A Internet e os sistemas computacionais são cruciais para qualquer

economia hoje em dia!

SEG

©

O Problema das Infra-estruturas Críticas

• Considere as Infra-estruturas Críticas das quais nossa sociedade

depende:

– Sistema eléctrico

– Telecomunicações

– Distribuição de Gás, Agua, etc…

• Antigamente eram sistemas informáticos fechados e que usavam

tecnologia proprietária

• Hoje, estes sistemas estão instalados em PCs que comunicam

através de TCP/UDP sobre redes IP

• IC estão expostas através dos seus subsistemas de informação,

normalmente conectado a Internet

• As vulnerabilidade em sistemas de controlo de ICs estão a ser

reportadas progressivamente

• Ataques direccionados são um problema esperado (sabotagem,

cyber-terrorismo, etc.)

SEG

©

Arquitectura de uma IC

remote control, computerisation, interconnection

System Servers D a t a N e t w o r k O p e r a t io n a l N e t w o r k

Critical Infrastr.

SCADA Network

Private

Corporate Network

Network

Internet

SEG

©

Advanced

Intruders

Discover

Vulnerability

Crude Exploit

Tools Distributed

Novice Intruders

Use Crude

Exploit Tools

Automated

Scanning/Exploit

Tools Developed

Widespread Use

of Automated

Scanning/Exploit

Tools

Intruders Begin

Using New Types

of Exploits

Vulnerability Exploit Cycle

past and present

_{Increased likelihood of:}

- small scale, average severity intrusions

- massive scale, high severity intrusions

Advanced

Intruders

Discover

Vulnerability

Crude Exploit

Tools Distributed

Novice Intruders

Use Crude

Exploit Tools

Automated

Scanning/Exploit

Tools Developed

Widespread Use

of Automated

Scanning/Exploit

Tools

Intruders Begin

Using New Types

of Exploits

Vulnerability Exploit Cycle

present and future

Increased likelihood of:

SEG

©

Ataques direccionados

SEG

©

Attack sophistication vs. attacker expertise

High

Low

1980

1985

1990

1995

2000

password guessing

self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits

back doors

hijacking

sessions

sweepers

sniffers

packet spoofing

GUI

automated probes/scans

denial of

service

www

attacks

Tools

Attackers

“stealth” / advanced

scanning techniques

burglaries

network mgmt. diagnostics

DDOS

attacks

20xx…

(Source: Adapted from Lipson, H. F., Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues, Special Report CMS/SEI-2002-SR-009, November 2002. (CERT)

Bot

Nets

Embedded

malicious

code

SEG

©

Attack sophistication vs. attacker expertise

(Source: Adapted from Lipson, H. F., Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues, Special Report CMS/SEI-2002-SR-009, November 2002. (CERT)

High

Low

1980

1985

1990

1995

2000

password guessing

self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits

back doors

hijacking

sessions

sweepers

sniffers

packet spoofing

GUI

automated probes/scans

denial of

service

www

attacks

Tools

Attackers

“stealth” / advanced

scanning techniques

burglaries

network mgmt. diagnostics

DDOS

attacks

20xx…

Bot

Nets

Embedded

malicious

code

Required Attacker

expertise

Available

Attack

sophistication

TARGETED

ATTACKS