Proteção de Infra- estrutura de Rede Crítica Episódio I – O problema
Proteção de Infra-estrutura de Rede Crítica
Episódio I – O problema
Servidores DNS estão vulneráveis a ataques
Quinta-feira, 4 agosto de 2005 - 08:27IDG Now! Vários servidores de Sistemas de Nomes de Domínio (DNS),
parte crítica da infra-estrutura da internet, estão vulneráveis a ataques que poderiam levar a disseminar fraudes, revelou um especialista de segurança.
Em um mapeamento conduzido pelo pesquisador Dan Kaminsky foi constatado que dezenas de milhares de servidores podem estar vulneráveis a um tipo de ataque que direciona o tráfego da internet a sites maliciosos.
A técnica, conhecida como envenenamento de cache DNS, despertou atenção pública quando hackers direcionaram tráfego de um grande número de sites financeiros, de entretenimento, viagens e saúde a outros servidores a fim de instalar software malicioso.
Histórico de uma vulnerabilidade de software
Proteção de Infra-estrutura de Rede Crítica
Definição É apenas um dos assuntos de algo bem mais
abrangente a proteção de infra-estrutura crítica(CIP)
Proteção de Infra-estrutura de Rede Crítica
Definição É a toda atividade destinada a proteger os
acessos, as facilidades e os serviços de telecomunicações e de rede, que são essenciais para a operação dos elementos que podem comprometer a infra-estrutura crítica nacional,regional ou internacional .
Proteção de Infra-estrutura de Rede Crítica(CNI) Alcance
Mundial Regional Local
Atualmente a maior parte dos incidentes são locais , a não ser que as infra-estruturas sejam compartilhadas(ex Itaipu,Internet).
O que mudou?
Aumento no terrorismo internacional Aumento na dependência do governo e
iniciativa privada dos computadores e redes de telecom
Surgimento da Internet – possibilidade de cyber ataques
• “…a tecnologia da informação constitui o enlace de controle (control loop) de praticamente todas as infra-estruturas criticas…”
FONTE: Making the Nation Safer (NCR 2002)
• Essa dependência se torna tão forte que o que acontece a um sistema pode afetar outros sistemas não diretamente inter-relacionados.
Componentes Chaves da IRC
Telecomunicações Voz,dados,cabos, wireless, satélite e serviços de
internet Internet
Distribuída, muito utilizada, suscetível a um cyber ataque, pode ser usada para atacar outras redes sem fronteiras
Rede Elétrica Impacta todos os setores da economia
Quais os setores chaves para a IRC?
Financeiro Governo Suprimento de Energia e distribuição Transportes Emergência Saúde Água e Esgoto Produção, distribuição e guarda de alimentos
Há algo de novo no horizonte?
Desastres naturais , ataques físicos ou falhas de operação – extensão e dano imediatos , limitados geograficamente Ex- Florianópolis, WTC
Cyber ataque ?
Cyber-ataques são diferentes
Não é preciso contatoCom as vitimas
É Facil de aprender a fazer e adquirir ferramentas
Um pequeno investimento
causa um grande prejuizo
Muitas redes podemSer comprometidas
E muitos paisesenvolvidos
Deixa pouco ounenhum rastro
É facil seesconder
Não existe legislaçãoadequada em todos os lugares
Principios da Segurança da Informação
100% de segurança é um valor que não pode ser atingido
Riscos devem ser calculados e balanceados
Segurança tem quer ser calculada em relação a disponibilidade
Então cyber ataque existe?
Espaço Cibernético: o mundo dos bits
WWW
Deep WebIntranetsExtranets
Redes que não usamTecnologia Internet
Business to Business (B2B)
Satelite MilitaresEstradas de ferroTrafego AéreoNuclear
O que nós fazemos no e@?Transações
Suporte a processos
Publicações
Analises
E-commerceE-governo, transferencia de fundosReservas e Compras AéreasMensageriaNormalmente
São Criticas
EstatisticasData miningAnalises FinanceirasAnalises de atualizaçãoBusiness IntelligenceAnalise de Situação
Algumas são Missõe Critica
Alguns podem não sercritcos
Controle de trafego AéreolUtilidades
Logistica e acompanhamentoKnowledge managementAutomação de Escritório
Serviços de Redee-publishingBancos de dados-acessoPublicações
Aumentando oGrau de criticidade
lista em constantecrescimento
Tipos de cyber ataque .
Computadores e comunicações como ferramentas
Quebra de senhas DecriptografiaInterceptação
Computadores e comunicações como armas
Codigo MaliciosoDOSsabotagemArmas inteligentes
Computadores e comunicações como alvos Fraudes
Extorsão Espionagem
O que motiva os “ Bad Guys”?
nuances
Script Kiddies
Ethical HackersViolação de copyright
HacktivistsCyber-hooligansGarotos que pensam
Que são “big boys”ego-trip
Deny service (sit-in)Ser ouvidosCausar embaraçosMaliciososGanhar publicidade
AnarquistasDesrespeitar as leisTer ganhos financeiros
Mostrar o quanto são espertosIdentificar vulnerabilidades
Muitos querem se tornar consultoresDe segurança
O que motiva os “ Bad Guys”?
Espionagem Industrial
Industria da violação de copyright
Non-ethical Hackers (crackers)
Virus e worm designers
Sempre dinheiro
“Somente porque eles estão lá”
Testar novas maneiras de espalhar código maliciosoCausar perda ou corrupção de dadosEspalhar ID ou passwordsSpoofingEspalhar numeros de cartões de créditosSabotagem, etcPequeno risco de detecção e punição
O que motiva os “ Bad Guys”?
Crime organizado
Invasores
Denegrir a imagem de uma pessoa Intento Criminal: fraude, extorção, roubo,
Corupção de dados, sabotagem, etcBaixo risco de detecção e punição
Novas áreas de oportunidade - globaisFacilidade de se esconder no espaço cibernéticoFacilidade de estabelecer redes globaisFalta de legislação e jurisdição
O que motiva os “ Bad Guys”?
Cyber-terroristas
Facilidade de estabelecer redes globaisAbilidade de se esconderFalta de legislação ou jurisdição
Oportunidades ilimitadasBaixo volume de recursos necessáriosGrande impacto dos ataques bem sucedidosGrande visibilidade
Dirigidos pela ideologia
Formas de ataque
Fraudes,
CATEGORIAS
Relativos aos dadosInterceptação ModificaçãoRoubo
Relativos a RedeInterferencia
SabotagemAnonimato
Relativos ao acessoHacking
Distribuição de codigo malicioso
Relativos aosComputadores
Relativos a redes
Interferencia
SabotagemDenial of service
Controle servidores ou equipamentos de rede
Uso de acessos validos e confiaveis paraAcessar outras redes
“Sniffing” trafégoHoaxes-Boatos
Desconexão e quebras fisicasCorrupção de nomes de dominios
Ataques aos ISPAtaques a infra-estrutura crítica
AnonimatoRoubo e uso de celulares clonadosHijacking the ID and password de um usuário legitimo da rede
Relativos a dados
Interceptação
Modificação
Roubo
Defacement de websitee-mail spoofingBancos de dados e conteúdo de documentosTransações comerciais
Propriedade Intelectual Dados pessoaisUser IDs and passwordsInformações proprietárias
Voz e faxe-mail Transferência de dados
(fixo e movel)
10010101001
Relativos ao acesso
Hacking
Distribuição deCódigo malicioso
Accesso não autorizado a redes e sistemasde computadoresUso de serviços eletronicos sem pagamentoApagar e/ou destruir dadosDivulgação de falhas de segurança e descobrircomo explorarInvasão de privacidade
Para lançar e distribuir ataques de denial of service Para causar lentidão ou fechamento de redes (worm)Para corromper servidores e dados(virus and/or worm)Para ganhar controle de um servidor ou device (trojan horse, back door)Para pedir pagamento (logical bomb)
Relativos a computadores
Ajudando o cyber-crime
Fraudes
Forjando
Provendo(sabendo ou não) tecnicas, financiamento e facilidades legais para conduzir ou/e esconder cyber-crime
Messagens e documentosI.D digitaisDados de copyright (software, musica, e-book)
Falsificando ou financiando transaçõesUso de cartões de credito ou dados pessoais
Impacto de alguns ataques
Mais intrusivos Mais caros
Mais divulgados Mais frequentes
Virus, worm, trojan horse fraudes, sabotagem
Roubos de informações propríetárias
Ataques em e-business- Roubos de Cartões- Denial of Service
Erros no desenvolvimentoErros na configuração de redesPrecária administração de sistemas
Para pensar
• Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional.
• Quais são as diferenças ? - silenciosa - anonima - sem território definido - sem reação Quem? Como? De onde?
Para pensar
• GUERRA CONVENCIONAL: defesa da Infra-estrutura crítica com foco nas 4 dimensões fisícas:
TERRA MAR AR ESPAÇO EXTERIOR
• GUERRA CIBERNÉTICA: 5a dimensão ESPAÇO CIBERNÉTICO
Então cyber ataque existe?
Sim Australian sewage attack
Março de 2000 – Brisbane Austrália Vitek Boden – consultor – sistema controlador de água Marrochy Shire Council Alterou as configurações das bombas das estações
causando problemas em duas estações Boden foi capturado logo após o primeiro ataque com os
equipamentos e programas que facilitaram o ataque que até então era visto como um mal funcionamento do sistema
Então cyber ataque existe?
Sim – A maioria dos ataques porem não tem alvo certo como o ataque da Austrália
São dirigidos a vulnerabilidades dos sistemas, aplicativos, aplicativos de controle de ativos de rede
Distributed denial-of service attack
Fevereiro de 2000 Anatomia
Busca de servidores inseguros Instalação de software para ataques tornando
os servidores escravos do atacante Lançamento do ataque remotamente ativando
todos os sistemas simultaneamente
Scaning worms- The SQL Slammer attack
Worms x vírus Vírus ficam latentes enquanto vc não faz
alguma atividade para ativa-los Worms propaga-se automaticamente sem
nenhuma atividade por parte do infectado Primeiro worm – 1989 – Morris worm Julho de 2001 – Code Red – 359.000
sistemas – a cada 37 minutos dobrava sua capacidade de ataque
Scaning worms- The SQL Slammer attack Janeiro de 2003 – sql slammer worm
Dobrava o numero de sistemas atacados a cada 8,5 segundos
Infectou 90% dos servidores vulneráveis em apenas 10 minutos
Apenas 3 minutos após sua ativação ele já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo
Infectou 75.000 servidores com sérias conseqüências 13.000 ATM do Bank of America foram desabilitados O serviço de emergência 911 foi desabilitado afetando
680.000 pessoas 14 corpos de bombeiros e 02 delegacias tb foram afetados A Microsoft já havia disponibilizado a correção a seis meses
Vulnerabilidades dos softwares e infra-estrutura
Bugs – código não esperados que sempre causam funcionamento inesperado
Bom programa – 1 a 2 bugs a cada 1000 linhas de código
Windows XP – 45 milhões de linhas Linux – somente o kernel – 7 milhões
Mundo do software
Novos softwares significam novos bugs Bugs antigos nem sempre são corrigidos Correções nem sempre são
implementadas Correções podem conter novos bugs
Novo Cenário
Os golpes de PHISHING vão se mostrar mais audaciosos e elaborados.
E-mails contem scripts que reescrevem os arquivos “hosts” das máquinas.
Para capturar números de contas bancárias + senhas não é necessário clicar em um link.
Convergência
• Golpes financeiros na INTERNET combinam várias técnicas:
– Spam no envio da mensagem;– Vírus na criação e instalação do Trojan;– Engenharia social;– Lavagem de dinheiro (pagamento de contas);– Fraudes no comércio eletrônico.
Como está o Brasil
Telecomunicações Toda a rede de telecomunicações é privada. Embora previsto na Lei Geral de
telecomunicações não existe um recobrimento total ou foi verificada a possibilidade de um backbone substituir efetivamente outro
VOIP
Como está o Brasil
Internet Gestão pelo Comitê Gestor da Internet Existem dois grupos de resposta a incidentes Existem 10 outros grupos de Resposta a
Incidentes em setores públicos ou privados O governo recentemente criou o CSIRT-gov
Como está o Brasil
Setor Elétrico Existe controle centralizado via ONS O sistema em mais de uma oportunidade já
demonstrou alguma incapacidade de suportar desastres naturais – um raio deixou sem energia varias cidades importantes em 2003
Ainda não existe levantamento de sua capacidade de resistir a cyber ataques
Como está o Brasil
Embora o Brasil esteja iniciando a criação de uma rede de proteção via defesa civil para solução de problemas advindos de desastres naturais , pouco ou nada tem sido feito no sentido de proteger infra-estruturas de informação críticas.
Outros países possuem pelo menos um centro gestor para cada grande sistema chave, telecomunicações, internet e energia
O ONS exerce um bom controle do setor elétrico
O problema é só nosso?
Não Em todos os locais do mundo a solução
depende da cooperação dos setores públicos e privados
Embora as políticas e coordenação estejam no governo a maioria da infra-estrutura é propriedade do setor privado
O custo tem que ser dividido entre os atores
Onde cada um pode cooperar?
Setor privado Desenvolvimento, suprimento, operação e
manutenção dos componentes e serviços Operação segura Participação nos comitês instituídos Planejamento de emergência e defesa de redes O QUE É CRíTICO PARA O SETOR PRIVADO NEM
SEMPRE É CRíTICO PARA DEFESA NACIONAL
Onde cada um pode cooperar
Instituições reguladoras ABNT , ANATEL, ANEEL, ANA
Universidades Grupos de resposta a incidentes
Usuários finais Proteção de sistemas pessoais – antivírus,
firewall pessoal, atualização dos sistemas
Conclusões
Modelo de proteção da infra-estrutura Papel do setor privado Papel dos CERT Confiança e notificação Métricas e recursos Usuários finais IRC não é apenas internet
Obrigado pela sua atenção.
João Rufino de Sales-TC Exército Brasileiro
3º CTA 11 – 6915-3601 [email protected] Apresentação baseada no e-book Information
Insecurity – Eduardo Gelbstein – Ahamad Kamal e em relatório da OEA – CICTE .