Italo Valcy Seg e Auditoria de SI, 2013.1

MATC99 – Segurança e Auditoria de Sistemas de Informação

Italo Valcy <italo@dcc.ufba.br>

Malware, scam e fraudes

Italo Valcy Seg e Auditoria de SI, 2013.1

Fraudes

Fraudes na Internet

Engenharia social

Phishing / Scam

Código malicioso

Italo Valcy Seg e Auditoria de SI, 2013.1

Engenharia social

Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da

ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas

para ter acesso não autorizado a computadores ou informações.

Italo Valcy Seg e Auditoria de SI, 2013.1

Engenharia social: exemplos

E-mail do suporte técnico do banco dizendo que o arquivo em anexo resolve um problema de segurança do home banking.

Ligação de telefone dizendo ser o provedor da internet e informando que precisa da senha para corrigir um problema na conexão;

Salas de bate-papo para atrair crianças

Italo Valcy Seg e Auditoria de SI, 2013.1

Scam (golpe)

É qualquer esquema ou ação enganosa e/ou fraudulenta que, normalmente, tem

como finalidade obter vantagens financeiras.

Italo Valcy Seg e Auditoria de SI, 2013.1

Scam

Furto de identidade: uma pessoa tenta se passar por outra (falsa identidade)

Fraude de antecipação de recursos: atacante induz a vítima a fornecer informações confidenciais ou realizar pagamento antecipado

Phishing: atacante tenta obter dados pessoais e financeiros, usando engenharia social em meio eletrônico

Pharming: tipo específico de phishing usando poluição ou redirecionamento DNS

Tipos

Italo Valcy Seg e Auditoria de SI, 2013.1

Phishing ou Phishing/Scam

Phishing vem da analogia com "fishing". Iscas usadas para pescar senhas e dados financeiros.

Mensagem que procura induzir a instalação de códigos maliciosos.

Mensagem que apresentam no próprio conteúdo formulários para enviar dados.

Comprometimento do serviço DNS.

Italo Valcy Seg e Auditoria de SI, 2013.1

Catálogo de fraudes do CAIS

Catálogo de e-mails relacionados a fraudes na Internet, reportados por usuários colaboradores

http://www.rnp.br/cais/fraudes.php

artefatos@cais.rnp.br

phishing@cais.rnp.br

Base dados para consulta de fraudes

binários maliciosos

URLs maliciosas

imagens de sites de phishing

Italo Valcy Seg e Auditoria de SI, 2013.1

Catálogo de fraudes do CAIS

Italo Valcy Seg e Auditoria de SI, 2013.1

Como se proteger

Realizar transações apenas em sites de instituições confiáveis.

Certifica-se que o endereço apresentado no browser corresponde ao site que você deseja visitar.

Validação DNS

Certifica-se que o site faz uso de conexão segura.

Antes de aceitar certificado digital, verificá-lo junto ao administrador do site

Italo Valcy Seg e Auditoria de SI, 2013.1

Validação DNS

Como verificar a validade de um nome DNS?

Uso da tecnologia DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

Validação DNS

Como verificar a validade de um nome DNS?

Uso da tecnologia DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

Validação DNS

Como verificar a validade de um nome DNS?

Uso da tecnologia DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC

Extensão do protocolo DNS para adicionar mecanismos de segurança

Permite que se possa verificar as informações recebidas, invés de “confiar” em sua validade

Suas verificações ocorrem antes de diversas aplicações de segurança (SSL, HTTP, etc.)

Usa criptografia de chave pública / privada

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC

Texto emclaro

Texto emclaro

Chave deciframento

Chave dedeciframento

Algoritmo deciframento

Algoritmo dedeciframento

Beto Alice

Canalinseguro

Cifras simétricas

● Chave de ciframento <=> Chave de decriframento

Cifras assimétricas

● Chave pública + Chave privada

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC

Funciona a partir da adição de quatro novos tipos de registros no DNS:

DNSKEY: Divulgar a chave pública

RRSIG: Assinar os registros

NSEC/NSEC3: Garantir a não existência de um registro/tipo

DS: Criar o canal de confiança (chain of trust)

Italo Valcy Seg e Auditoria de SI, 2013.1

DNSSEC

Italo Valcy Seg e Auditoria de SI, 2013.1

SSL e Certificados digitais

Italo Valcy Seg e Auditoria de SI, 2013.1

SSL e Certificados digitais

SSL: Prover serviços de autenticação do servidor, comunicação secreta e integridade dos dados;

Definição da chave secreta: Cript. Assimétrica

Criptografia dos dados: Cript. Simétrica

Requer a existência de uma autoridade certificadora confiável para garantia das propriedades do SSL

Comprometimento das CA's (o risco das maças podres)

Dificuldade na inserção de novas CA's na lista de CA's confiáveis dos sistemas (e.g. browsers, S.O.'s)

Italo Valcy Seg e Auditoria de SI, 2013.1

SSL e Certificados digitais

DANE: DNS-based Authentication of Named Entities

Objetivo: usar o DNS (e DNSSEC) para fornecer aos clientes informações adicionais sobre as credenciais criptográficas associadas com um domínio

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

O problema em imagens...

Nota: imagens a partir de “DANE, the next big thing after DNSSEC”, Marco Davids/SIDN:

https://www.ncsc.nl/english/conference/conference-2013/speakers/sidn.html

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Ataque-me!

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Genuine certificate matches the TLSA, fake certificate does not

Italo Valcy Seg e Auditoria de SI, 2013.1

DANE

Genuine certificate matches the TLSA, fake certificate does not

Italo Valcy Seg e Auditoria de SI, 2013.1

Códigos maliciosos

Italo Valcy Seg e Auditoria de SI, 2013.1

Código malicioso (malware)

Programas desenvolvidos para executar ações danosas e atividades maliciosas no computador

Formas de infecção/comprometimento:

Exploração de vulnerabilidades

Auto-execução de mídias removíveis

Acesso à páginas web maliciosas a partir de navegadores vulneráveis

Italo Valcy Seg e Auditoria de SI, 2013.1

Código malicioso (malware)

Principais tipos de malware:

Vírus

Worm

Bot/botnet

Spyware

Backdoor

Cavalo de troia (trojan)

Rootkit

Leitura: http://cartilha.cert.br/malware/

Italo Valcy Seg e Auditoria de SI, 2013.1

Código malicioso (malware)

Análise de malware:

Desenvolver regras para NIDSBaseado em IP / DNS (Predição de DGA's)

Desenvolver vacinas

Entender o comportamento e funcionamento

Realizar resposta a incidentes mais efetivamente

Desenvolver patchs de correção

Ganhar o controle do código malicioso e utilizá-lo para outros fins

Italo Valcy Seg e Auditoria de SI, 2013.1

Análise de malware

Ferramentas de apoio (hexdump, objdump, gdb, strace, systemtap, tcpdump, etc)

Sandboxes

Anubis

Malware Analyzer

Truman

TWMAN

Cuckoo

Italo Valcy Seg e Auditoria de SI, 2013.1

Análise de malware

Ferramentas online (malware scan):

http://www.virustotal.com/

http://virscan.org/

Análise do comportamento do malware:

http://www.uploadmalware.com/

http://anubis.iseclab.org/

http://camas.comodo.com/

Italo Valcy Seg e Auditoria de SI, 2013.1

Análise de malware

Onde obter mais informações:

http://iseclab.org/papers/forecast_acsac11.pdf

http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ceseg:2011-sbseg-mc1.pdf

Italo Valcy Seg e Auditoria de SI, 2013.1

Exercício

Exer01

analisar os dois malwares contidos no pacote fornecido pelo professor (relatório VirusTotal e VirScan, além de execução em ambiente virtual – VirtualBox + Windows XP)

Trafego de rede

Arquivos modificados no sistema

Arquivos baixados

Etc.

analisar as duas fraudes contidas no mesmo pacote fornecido pelo professor.

Análise similar ao do catálogo de fraudes

Italo Valcy Seg e Auditoria de SI, 2013.1 37 / 7

Referências

Dócea, Marcos – UFS. Conceitos em Segurança da Informação. Slides

Sêmola, Marcos. A Importância da Gestão da Segurança da Informação. Slides.

Guia de Referência Sobre Ataques Via Internet. Febraban. 2000.