Proteção de Infra-estrutura de Rede Crítica

Episódio I – O problema

Servidores DNS estão vulneráveis a ataques

Quinta-feira, 4 agosto de 2005 - 08:27IDG Now! Vários servidores de Sistemas de Nomes de Domínio (DNS),

parte crítica da infra-estrutura da internet, estão vulneráveis a ataques que poderiam levar a disseminar fraudes, revelou um especialista de segurança.

Em um mapeamento conduzido pelo pesquisador Dan Kaminsky foi constatado que dezenas de milhares de servidores podem estar vulneráveis a um tipo de ataque que direciona o tráfego da internet a sites maliciosos.

A técnica, conhecida como envenenamento de cache DNS, despertou atenção pública quando hackers direcionaram tráfego de um grande número de sites financeiros, de entretenimento, viagens e saúde a outros servidores a fim de instalar software malicioso.

Histórico de uma vulnerabilidade de software

Proteção de Infra-estrutura de Rede Crítica

Definição É apenas um dos assuntos de algo bem mais

abrangente a proteção de infra-estrutura crítica(CIP)

Proteção de Infra-estrutura de Rede Crítica

Definição É a toda atividade destinada a proteger os

acessos, as facilidades e os serviços de telecomunicações e de rede, que são essenciais para a operação dos elementos que podem comprometer a infra-estrutura crítica nacional,regional ou internacional .

Proteção de Infra-estrutura de Rede Crítica(CNI) Alcance

Mundial Regional Local

Atualmente a maior parte dos incidentes são locais , a não ser que as infra-estruturas sejam compartilhadas(ex Itaipu,Internet).

O que mudou?

Aumento no terrorismo internacional Aumento na dependência do governo e

iniciativa privada dos computadores e redes de telecom

Surgimento da Internet – possibilidade de cyber ataques

• “…a tecnologia da informação constitui o enlace de controle (control loop) de praticamente todas as infra-estruturas criticas…”

FONTE: Making the Nation Safer (NCR 2002)

• Essa dependência se torna tão forte que o que acontece a um sistema pode afetar outros sistemas não diretamente inter-relacionados.

Componentes Chaves da IRC

Telecomunicações Voz,dados,cabos, wireless, satélite e serviços de

internet Internet

Distribuída, muito utilizada, suscetível a um cyber ataque, pode ser usada para atacar outras redes sem fronteiras

Rede Elétrica Impacta todos os setores da economia

Quais os setores chaves para a IRC?

Financeiro Governo Suprimento de Energia e distribuição Transportes Emergência Saúde Água e Esgoto Produção, distribuição e guarda de alimentos

Há algo de novo no horizonte?

Desastres naturais , ataques físicos ou falhas de operação – extensão e dano imediatos , limitados geograficamente Ex- Florianópolis, WTC

Cyber ataque ?

Cyber-ataques são diferentes

Não é preciso contatoCom as vitimas

É Facil de aprender a fazer e adquirir ferramentas

Um pequeno investimento

causa um grande prejuizo

Muitas redes podemSer comprometidas

E muitos paisesenvolvidos

Deixa pouco ounenhum rastro

É facil seesconder

Não existe legislaçãoadequada em todos os lugares

Principios da Segurança da Informação

100% de segurança é um valor que não pode ser atingido

Riscos devem ser calculados e balanceados

Segurança tem quer ser calculada em relação a disponibilidade

Então cyber ataque existe?

Espaço Cibernético: o mundo dos bits

WWW

Deep WebIntranetsExtranets

Redes que não usamTecnologia Internet

Business to Business (B2B)

Satelite MilitaresEstradas de ferroTrafego AéreoNuclear

O que nós fazemos no e@?Transações

Suporte a processos

Publicações

Analises

E-commerceE-governo, transferencia de fundosReservas e Compras AéreasMensageriaNormalmente

São Criticas

EstatisticasData miningAnalises FinanceirasAnalises de atualizaçãoBusiness IntelligenceAnalise de Situação

Algumas são Missõe Critica

Alguns podem não sercritcos

Controle de trafego AéreolUtilidades

Logistica e acompanhamentoKnowledge managementAutomação de Escritório

Serviços de Redee-publishingBancos de dados-acessoPublicações

Aumentando oGrau de criticidade

lista em constantecrescimento

Tipos de cyber ataque .

Computadores e comunicações como ferramentas

Quebra de senhas DecriptografiaInterceptação

Computadores e comunicações como armas

Codigo MaliciosoDOSsabotagemArmas inteligentes

Computadores e comunicações como alvos Fraudes

Extorsão Espionagem

O que motiva os “ Bad Guys”?

nuances

Script Kiddies

Ethical HackersViolação de copyright

HacktivistsCyber-hooligansGarotos que pensam

Que são “big boys”ego-trip

Deny service (sit-in)Ser ouvidosCausar embaraçosMaliciososGanhar publicidade

AnarquistasDesrespeitar as leisTer ganhos financeiros

Mostrar o quanto são espertosIdentificar vulnerabilidades

Muitos querem se tornar consultoresDe segurança

O que motiva os “ Bad Guys”?

Espionagem Industrial

Industria da violação de copyright

Non-ethical Hackers (crackers)

Virus e worm designers

Sempre dinheiro

“Somente porque eles estão lá”

Testar novas maneiras de espalhar código maliciosoCausar perda ou corrupção de dadosEspalhar ID ou passwordsSpoofingEspalhar numeros de cartões de créditosSabotagem, etcPequeno risco de detecção e punição

O que motiva os “ Bad Guys”?

Crime organizado

Invasores

Denegrir a imagem de uma pessoa Intento Criminal: fraude, extorção, roubo,

Corupção de dados, sabotagem, etcBaixo risco de detecção e punição

Novas áreas de oportunidade - globaisFacilidade de se esconder no espaço cibernéticoFacilidade de estabelecer redes globaisFalta de legislação e jurisdição

O que motiva os “ Bad Guys”?

Cyber-terroristas

Facilidade de estabelecer redes globaisAbilidade de se esconderFalta de legislação ou jurisdição

Oportunidades ilimitadasBaixo volume de recursos necessáriosGrande impacto dos ataques bem sucedidosGrande visibilidade

Dirigidos pela ideologia

Formas de ataque

Fraudes,

CATEGORIAS

Relativos aos dadosInterceptação ModificaçãoRoubo

Relativos a RedeInterferencia

SabotagemAnonimato

Relativos ao acessoHacking

Distribuição de codigo malicioso

Relativos aosComputadores

Relativos a redes

Interferencia

SabotagemDenial of service

Controle servidores ou equipamentos de rede

Uso de acessos validos e confiaveis paraAcessar outras redes

“Sniffing” trafégoHoaxes-Boatos

Desconexão e quebras fisicasCorrupção de nomes de dominios

Ataques aos ISPAtaques a infra-estrutura crítica

AnonimatoRoubo e uso de celulares clonadosHijacking the ID and password de um usuário legitimo da rede

Relativos a dados

Interceptação

Modificação

Roubo

Defacement de websitee-mail spoofingBancos de dados e conteúdo de documentosTransações comerciais

Propriedade Intelectual Dados pessoaisUser IDs and passwordsInformações proprietárias

Voz e faxe-mail Transferência de dados

(fixo e movel)

10010101001

Relativos ao acesso

Hacking

Distribuição deCódigo malicioso

Accesso não autorizado a redes e sistemasde computadoresUso de serviços eletronicos sem pagamentoApagar e/ou destruir dadosDivulgação de falhas de segurança e descobrircomo explorarInvasão de privacidade

Para lançar e distribuir ataques de denial of service Para causar lentidão ou fechamento de redes (worm)Para corromper servidores e dados(virus and/or worm)Para ganhar controle de um servidor ou device (trojan horse, back door)Para pedir pagamento (logical bomb)

Relativos a computadores

Ajudando o cyber-crime

Fraudes

Forjando

Provendo(sabendo ou não) tecnicas, financiamento e facilidades legais para conduzir ou/e esconder cyber-crime

Messagens e documentosI.D digitaisDados de copyright (software, musica, e-book)

Falsificando ou financiando transaçõesUso de cartões de credito ou dados pessoais

Impacto de alguns ataques

Mais intrusivos Mais caros

Mais divulgados Mais frequentes

Virus, worm, trojan horse fraudes, sabotagem

Roubos de informações propríetárias

Ataques em e-business- Roubos de Cartões- Denial of Service

Erros no desenvolvimentoErros na configuração de redesPrecária administração de sistemas

Para pensar

• Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional.

• Quais são as diferenças ? - silenciosa - anonima - sem território definido - sem reação Quem? Como? De onde?

Para pensar

• GUERRA CONVENCIONAL: defesa da Infra-estrutura crítica com foco nas 4 dimensões fisícas:

TERRA MAR AR ESPAÇO EXTERIOR

• GUERRA CIBERNÉTICA: 5a dimensão ESPAÇO CIBERNÉTICO

Então cyber ataque existe?

Sim Australian sewage attack

Março de 2000 – Brisbane Austrália Vitek Boden – consultor – sistema controlador de água Marrochy Shire Council Alterou as configurações das bombas das estações

causando problemas em duas estações Boden foi capturado logo após o primeiro ataque com os

equipamentos e programas que facilitaram o ataque que até então era visto como um mal funcionamento do sistema

Então cyber ataque existe?

Sim – A maioria dos ataques porem não tem alvo certo como o ataque da Austrália

São dirigidos a vulnerabilidades dos sistemas, aplicativos, aplicativos de controle de ativos de rede

Distributed denial-of service attack

Fevereiro de 2000 Anatomia

Busca de servidores inseguros Instalação de software para ataques tornando

os servidores escravos do atacante Lançamento do ataque remotamente ativando

todos os sistemas simultaneamente

Scaning worms- The SQL Slammer attack

Worms x vírus Vírus ficam latentes enquanto vc não faz

alguma atividade para ativa-los Worms propaga-se automaticamente sem

nenhuma atividade por parte do infectado Primeiro worm – 1989 – Morris worm Julho de 2001 – Code Red – 359.000

sistemas – a cada 37 minutos dobrava sua capacidade de ataque

Scaning worms- The SQL Slammer attack Janeiro de 2003 – sql slammer worm

Dobrava o numero de sistemas atacados a cada 8,5 segundos

Infectou 90% dos servidores vulneráveis em apenas 10 minutos

Apenas 3 minutos após sua ativação ele já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo

Infectou 75.000 servidores com sérias conseqüências 13.000 ATM do Bank of America foram desabilitados O serviço de emergência 911 foi desabilitado afetando

680.000 pessoas 14 corpos de bombeiros e 02 delegacias tb foram afetados A Microsoft já havia disponibilizado a correção a seis meses

Vulnerabilidades dos softwares e infra-estrutura

Bugs – código não esperados que sempre causam funcionamento inesperado

Bom programa – 1 a 2 bugs a cada 1000 linhas de código

Windows XP – 45 milhões de linhas Linux – somente o kernel – 7 milhões

Mundo do software

Novos softwares significam novos bugs Bugs antigos nem sempre são corrigidos Correções nem sempre são

implementadas Correções podem conter novos bugs

Novo Cenário

Os golpes de PHISHING vão se mostrar mais audaciosos e elaborados.

E-mails contem scripts que reescrevem os arquivos “hosts” das máquinas.

Para capturar números de contas bancárias + senhas não é necessário clicar em um link.

Convergência

• Golpes financeiros na INTERNET combinam várias técnicas:

– Spam no envio da mensagem;– Vírus na criação e instalação do Trojan;– Engenharia social;– Lavagem de dinheiro (pagamento de contas);– Fraudes no comércio eletrônico.

Como está o Brasil

Telecomunicações Toda a rede de telecomunicações é privada. Embora previsto na Lei Geral de

telecomunicações não existe um recobrimento total ou foi verificada a possibilidade de um backbone substituir efetivamente outro

VOIP

Como está o Brasil

Internet Gestão pelo Comitê Gestor da Internet Existem dois grupos de resposta a incidentes Existem 10 outros grupos de Resposta a

Incidentes em setores públicos ou privados O governo recentemente criou o CSIRT-gov

Como está o Brasil

Setor Elétrico Existe controle centralizado via ONS O sistema em mais de uma oportunidade já

demonstrou alguma incapacidade de suportar desastres naturais – um raio deixou sem energia varias cidades importantes em 2003

Ainda não existe levantamento de sua capacidade de resistir a cyber ataques

Como está o Brasil

Embora o Brasil esteja iniciando a criação de uma rede de proteção via defesa civil para solução de problemas advindos de desastres naturais , pouco ou nada tem sido feito no sentido de proteger infra-estruturas de informação críticas.

Outros países possuem pelo menos um centro gestor para cada grande sistema chave, telecomunicações, internet e energia

O ONS exerce um bom controle do setor elétrico

O problema é só nosso?

Não Em todos os locais do mundo a solução

depende da cooperação dos setores públicos e privados

Embora as políticas e coordenação estejam no governo a maioria da infra-estrutura é propriedade do setor privado

O custo tem que ser dividido entre os atores

Onde cada um pode cooperar?

Setor privado Desenvolvimento, suprimento, operação e

manutenção dos componentes e serviços Operação segura Participação nos comitês instituídos Planejamento de emergência e defesa de redes O QUE É CRíTICO PARA O SETOR PRIVADO NEM

SEMPRE É CRíTICO PARA DEFESA NACIONAL

Onde cada um pode cooperar

Instituições reguladoras ABNT , ANATEL, ANEEL, ANA

Universidades Grupos de resposta a incidentes

Usuários finais Proteção de sistemas pessoais – antivírus,

firewall pessoal, atualização dos sistemas

Conclusões

Modelo de proteção da infra-estrutura Papel do setor privado Papel dos CERT Confiança e notificação Métricas e recursos Usuários finais IRC não é apenas internet

Obrigado pela sua atenção.

João Rufino de Sales-TC Exército Brasileiro

3º CTA 11 – 6915-3601 rufino@3cta.eb.mil.br Apresentação baseada no e-book Information

Insecurity – Eduardo Gelbstein – Ahamad Kamal e em relatório da OEA – CICTE .