Embed Size (px)
Citation preview
1
1
Tópicos Especiais IV: Segurança e Sistemas de Pagamento Eletrônico
Prof. M.Sc. Charles Christian Mierse-mail: [email protected]
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 2
Guia da disciplina:
Módulo 1: Visão Geral e Conceitos BásicosMódulo 2: Arquitetura de Segurança e NormasMódulo 3: Análise de Riscos e Pré-AnáliseMódulo 4: Firewalls e Detecção de IntrusosMódulo 5: Códigos Maliciosos: Conceito e proteçãoMódulo 6: Sistemas de Pagamento EletrônicoMódulo 7: Legislação e Estatísticas
3
Módulo 5: Códigos Maliciosos: Conceito e proteção
4
Códigos Maliciosos: Conceito
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 5
O início era ficção…
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 6
Algumas estatísticas sobre vírus
95% das infecções de vírus são provocadas por vírus conhecidos.A maioria dos produtos estão certificados para detectar 100% dosvírus mais populares.Mais de 90% das empresas já implementaram um sistema antivírus.
Mas...
010203040506070
Com
puter
viru
ses
2
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 7
Porque não foi suficiente…?
Muitas empresas não protegem seus servidores/serviços de InternetMuitas organizações não podem monitorar seus sistemas de proteção 24x7Muitos clientes não podem reagir rapidamente perantenovas ameaçasMuitas organizações não têm pessoal qualificado para implementar e administrar uma defesa adequadaAs atualizações se distribuem muito mais devagar que a própria velocidade de distribuição dos vírus
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 8
Problemática atual de Vírus
Qual é o problema atual?Era um problema relacionado com vírus e cavalo de tróia…depois chegaram os worms VBS e os programas agentes de hackers... e os novos vírus de Palm...os scripts HTML, Java e ActiveX...e o hoax e spam de e-mail.
O problema não é sóde vírus, é de conteúdo.
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 9
Classificação dos Códigos Maliciosos
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 10
Códigos Maliciosos Ativos
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 11
Códigos Maliciosos Ativos (Cont.)
Definições:Os códigos maliciosos ativos são assim denominados por seu ataque ao sistema envolver a modificação não autorizada de informações contidas neste sistema ou modificações em seu estado ou operação e, a negação de serviço, dificultando seu funcionamento normalCaracterizado como sendo todo aquele código malicioso que indisponibiliza tecnicamente um computador ou rede de computadoresOs computadores ou redes somente voltam a tornar-se operacionais após intervenção técnica corretiva nos mesmosA criação envolve algum tipo de programação de computador
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 12
Códigos Maliciosos Ativos (Cont.)
Procura por arquivos para
infectar
Escreve o código
malicioso no arquivo
FimArquivo infectado
é executado
Exemplo de funcionamentode um código malicioso ativo simples
3
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 13
Códigos Maliciosos Ativos (Cont.): Criptografia
Código malicioso cifrado
CABEÇALHOCódigo Fonte do Código Malicioso- Procurar .exe- Infectar- Checar gatilho- Ativar cargadestrutiva- Fim
Rotinalegível
CABEÇALHODECODIFICADOR
Código Fonte do Código Malicioso
BSBSBSBSBSJKLSOASDFJLDKSFNASDFASDFJASDLKFJASDSFDGDFDFDFDFDFGFGFGFCCCDSDFDCKDCKDCKKDKDASDFASKDFJASDLCKFLLLOCCELLMD
Rotinailegível
Código malicioso sem cifragem
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 14
Códigos Maliciosos Ativos (Cont.)
Não
Sim
Sim
Não
Não
Sim
Sim
Não
Retorna o controle aoprograma de origem
Decifrar código malicioso
Fim
Arquivo infectado éexecutado
Código malicioso está residente na
memória?
Condições encontradas?
Carregar namemória
Ativa cargadestrutiva
Cifrar o código malicioso
Escreve o código maliciosopara o arquivo
Verifica condições para ativar carga destrutiva
Procura arquivos parainfectar
Código maliciosoencontrado?
Verifica a existência de código malicioso
Arquivosencontrados?
Exemplo de funcionamentode um código malicioso ativo complexo
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 15
Códigos Maliciosos Ativos (Cont.): Polimorfismo
Rotina fonte do código malicioso
BSDBSDBJSKSDKSODSDRHUS
ProgramaHospedeiro
Rotina fonte do código malicioso
BSDBSDBJSKSDKSODSDRHUS
ProgramaHospedeiro
Rotina fonte do código malicioso
BSDBSDBJSKSDKSODSDRHUS
ProgramaHospedeiro
Rotina fonte do código malicioso
BSDBSDBJSKSDKSODSDRHUS
ProgramaHospedeiro
Rotina fonte do código malicioso
BSDBSDBJSKSDKSODSDRHUS
ProgramaHospedeiro
Rotina fonte do código malicioso
PSDOPSKWAJKOSDWCKMSKDSWWY
ProgramaHospedeiro
Rotina fonte do código malicioso
&^&^&^&^)@*#=$%!?%&%&%&@$
ProgramaHospedeiro
Rotina fonte do código malicioso
190584736189582736186666856893
ProgramaHospedeiro
Arquivosinfectados
com códigomalicioso
cifrado
Arquivosinfectados com
código maliciosopolimórfico
1a Geração 4a Geração3a Geração2a Geração
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 16
Códigos Maliciosos Ativos (Cont.): Oligomorfismo
CABEÇALHO
DECODIFICADOR
Código do Código Malicioso
BSEMRLKGDFAOMUUQREWRMNOIEQIUROQIWEROMMSE LLKJSDFPLAKSFNE RIUEROPIWQMSIOQLSLSLSLSLOIELSW EODPRIXYXASDFADDDSOECCKKLGU
CABEÇALHO
DECODIFICADOR
Código Fonte do Código Malicioso
BSBSBSBSBSJKLSOASDFJLDKSFNASDFASDFJASDLKFJASDSFDGDFDFDFDFDFGFGFGFCCCDSDFDCKDCKDCKKDKDASDFASKDFJASDLCKFLLLOCCELLMD
CHARBUFF =Readchar ( );Decrypt_Char = CHARBUFF * 20 + (Random_Seed/23) + 100;Newchar =Decrypt_charWrite Newchar
USYDUS = Readchar ( );SJDSKDAJDS = USYDUS * 20 + (SDSDSDXCS/23) + 100;QWERTQ = SJDSKDAJDSWrite QWERTQ
Exemplo 1
Exemplo 2
Mesma função, mas com nome de variável diferente
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 17
Códigos Maliciosos Passivos
Os códigos maliciosos passivos são aqueles que não indisponibilizam tecnicamente um computador ou rede de computadores Sua construção não envolve nenhum tipo de programação de computador, apenas engenharia social, conduta e aspectos humanos
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 18
Códigos Maliciosos Passivos (Cont.)
Este tipo de código pode ter ação pessoal e/ou profissional sobre o usuário:
A ação pessoal consiste no envio de mensagens apelativas ao usuário que poderão afetar sua estrutura emocional. Um exemplo deste tipo de mensagem é o apelo para que o usuário faça doações em dinheiro para ajudar determinada pessoa que tem alguma doença grave. A ação profissional consiste no envio de mensagens ao usuário, induzindo-o a executar alguma ação indevida, que poderá fazer com que ele perca, por exemplo, arquivos ou informações importantes do sistema.
4
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 19
Códigos Maliciosos Passivos (Cont.)
A engenharia social é um método não-técnico de ataque aos sistema por meio do qual são enviadas mensagens fraudulentas para o usuário, que podem ser utilizadas para persuadí-lo ou enganá-lo, fazendo com que, ao responder à mensagem, ele execute alguma ação indevida e perigosa ou revele alguma informação para o atacante com a qual ele obterá acesso ao sistemaAs conseqüências resultantes do ataque ao sistema por um código malicioso passivo não afetam diretamente o sistema, sua operação ou seu estado, mas ameaçam a confidencialidade dos dados, pois eles podem difundir a informação, interceptar, monitorar ou fazer análise de tráfego das informações (origem, destino, tamanho, freqüência)
20
Códigos Maliciosos: Proteção
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 21
1988: Morris WormAcharAchar nomesnomes de de hosts hosts nosnos arquivosarquivoshost, host, senhasenha de de convidadoconvidado BufferOverflowBufferOverflow sobresobre
o o fingerdfingerd ((apenasapenas ememVAX ), VAX ), SendmailSendmailDEBUG, DEBUG, rshrsh e e rexecrexec
CompilarCompilar com o com o nomenome ““shsh””EsconderEsconder informainformaççõesões do do comandocomando ““psps””,,PrevenirPrevenir um core dumpum core dump
EncontrarEncontrar hosts hosts conficonfiááveisveisEncontrarEncontrar nomesnomes de de usuusuááriosriosAdicionarAdicionar nana listalista de de alvosalvos
Executar um Executar um ForkFork childchild a cada 3 min,a cada 3 min,MMúúltiplos processos infectados ltiplos processos infectados paralisam o sistemaparalisam o sistema
Alvos
TestarInvadir
Persistir
PropagarParalizar
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 22
2000: I LOVE YOUVírus utiliza o livro de endereços de e-mail do Outlook para buscar alvos
Anexo de CorreioConexão de IRC
Cria arquivos VBS Cria arquivos HTMLAdiciona na Registry chaves de Autorun
Envia cópia dasconexões web atacadasatravés do IRC
Excluir arquivosRoubar senhas
Alvos
TestarInvadir
Persistir
PropagarParalizar
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 23
2001: NIMDA
A carga destrutiva finge ser A carga destrutiva finge ser ""audioaudio//xx--wavwav" e " e éé executada executada automaticamenteautomaticamente
Introduz um Cavalo de TrIntroduz um Cavalo de Tróóia nos ia nos arquivos executarquivos executááveis, veis, LOAD.EXELOAD.EXEno diretno diretóório do sistema; comerio do sistema; começços os LOAD.EXELOAD.EXE do SYSTEM.INI; do SYSTEM.INI; esconde seus arquivos; adiciona esconde seus arquivos; adiciona conta de administradorconta de administrador
CopiaCopia osos compartilhamentoscompartilhamentos remotosremotos; ; enviaenvia porpor ee--mail mail parapara osos endereendereççosos de ede e--mail mail conhecidosconhecidos; ; efetuaefetua varreduravarredura bucandobucando encontrarencontrar maismais servidoresservidores webweb
ExcluiExclui arquivosarquivos
Alvos
TestarInvadir
Persistir
PropagarParalizar
VVíírus utiliza o livro rus utiliza o livro de enderede endereçços de os de ee--mail do Outlook mail do Outlook para buscar alvospara buscar alvos
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 24
Evolução
5
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 25
Meios de propagação
mídia para HD
programa para programa
documento para documento
via e-mail através da Internet
através da rede
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 26
Estratégias de Proteção
Uso de proteção em camadas:Camada para estações de trabalhoCamada para servidoresCamada de serviços Internet
As camadas devem possuir um meio de gerenciamento centralizadoEvitar ações redundantes (downloads repetidos)Otimizar tempo de resposta através de ações coordenadas
Ações para contenção/identificação não devem restrigir-se a apenas listas de assinaturas.
Uso de regras de contenção em proxies de www e correioUso de regras de firewalls pessoais e corporativo
O gerenciamento da solução deve visar a análise da situação e nãoimplementar o funcionamento dos mecanismos empregados
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 27
Informaçãoda ameaça
Prevençãode ataque
Notificaçãoe
Verificação
Arquivo de assinatura
Verificar e Eliminar
Avaliar e Limpar
Restaurar e Post-
mortem
Apenasassinaturas de
vírus não ésuficiente
Apenasassinaturas de
vírus não ésuficiente
TCO para empresa e perda da produtividade
afeta a empresa emtodos os estágios do
ciclo de vida
TCO para empresa e perda da produtividade
afeta a empresa emtodos os estágios do
ciclo de vida
$$ $$$$$$$ $$
“Estima-se que 80% do custo de umaepidemia é relacionado a limpeza.” --
Computer Economics
$ $
Ciclo de vida de uma epidemia
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 28
Nimda entra via e-mail. Carrega o worm e mecanismo SMTP
Avaliação e limpeza sistemáticas da infecção; Assegurar atualização de assinaturas através de gerência centralizada
Cria entrada no arquivoini. Executa toda vez queo sistema é iniciado.
Procura drives de rede com acesso autorizado. Copia o
worm.
Força o IIS a fazer o download de arquivos infectadosdo desktop via TFTP
Ataques Misturados
Técnicas de prevenção necessárias: Nimda
Esconde o worm comoserviço no win 9x
Política de filtragem de conteúdoe arquivo de assinatura paraprevenção e detecção
Limpeza sistemática de sistemas
Política –restrição de compartilhamento
Política – Restrições no servidor
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 29
Estratégia de proteção pró-ativa
$$ $ $$ $$ $$$$ $$
Prevenção de Epidemia Resposta a infecção Avaliação e Recuperação
Serviço de Prevenção de Epidemias Serviço de resposta a Infecção Serviço de correção de danos
Atualizaçãocontra ataques
pró-ativa
Políticas dePrevenção de
Epidemias
Análise e Relatórios
VarreduraBaseada em
Ameaças
Resposta a infecções por SLA
Agentes paralimpeza/correção
Limpeza de Servidores e
Estações
Gerenciamento do Ciclo de Vida da Epidemia
Informaçãoda ameaça
Prevençãode ataque
Notificaçãoe
Verificação
Arquivo de assinatura
Verificar e Eliminar
Avaliar e Limpar
Restaurar e Post-
mortem
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 30
Medindo a efetividade da segurança
Assinatura lançada
Assinatura Distribuída
Esforço e custodurante a epidemia
Limpeza
Tempo
Número deInfecções
6
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 31
Possíveis entradas de Códigos Maliciosos
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 32
Prevenir infecções por e-mail
Antivírusde Serviço
bloquear os códigos maliciosos antes de
sua distribuição!
bloquear os códigos maliciosos antes de
sua distribuição!
InternetInternet
Antivírusde Serviço
Servidor de Correio
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 33
Detectando antes que ingressem na rede
InternetInternet
Servidor de Arquivos
Servidor de Correio
Cliente
Internet Gateway
Detectar os códigos maliciosos aqui!
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 34
Os sistemas de firewalls protegem as redes de acessos não autorizados.
InternetInternet
Servidor de Arquivos
Servidor Correio
Cliente
Internet Gateway
Firewall
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 35
Distribuição de Código Malicioso
InternetInternet
Servidor de Arquivos
Servidor de Correio
Cliente
1. Um código malicioso chega como arquivo anexo a uma mensagem
1. U1. Umm ccóódigo malicioso digo malicioso cchhega como arega como arqquuivo ivo aanexonexo a ua ummaa mensamensaggemem2. A mensagem é aceita, então
o código malicioso pode ingressar na rede através do firewall.
2. 2. A A mensagemmensagem éé aceita, então aceita, então o o ccóódigo maliciosodigo malicioso pode pode ingreingressarssar na rede atravna rede atravéés do s do firewallfirewall..
Firewall
Internet Gateway
Prof. M.Sc. Charles C. [email protected] TE IV- Segurança e Sistemas de Pagamento Eletrônico 36
InternetInternet
Servidor de Arquivos
Servidor de Correio
Cliente
Firewall
Solução
Agregar um “VirusWall” na rede
VirusWall
Internet Gateway
