02 Malware Spam Fraudes
Content
MATC99 – Segurança e Auditoria
de Sistemas de Informação
Malware, scam e fraudes
Italo Valcy <[email protected]>
Italo Valcy Seg e Auditoria de SI, 2013.1
Fraudes
Fraudes na Internet
Engenharia social
Phishing / Scam
Código malicioso
Italo Valcy Seg e Auditoria de SI, 2013.1
Engenharia social
Método de ataque, onde alguém faz uso da
persuasão, muitas vezes abusando da
ingenuidade ou confiança do usuário, para
obter informações que podem ser utilizadas
para ter acesso não autorizado a computadores
ou informações.
Italo Valcy Seg e Auditoria de SI, 2013.1
Engenharia social: exemplos
E-mail do suporte técnico do banco dizendo
que o arquivo em anexo resolve um problema
de segurança do home banking.
Ligação de telefone dizendo ser o provedor da
internet e informando que precisa da senha
para corrigir um problema na conexão;
Salas de bate-papo para atrair crianças
Italo Valcy Seg e Auditoria de SI, 2013.1
Scam (golpe)
É qualquer esquema ou ação enganosa
e/ou fraudulenta que, normalmente, tem
como finalidade obter vantagens
financeiras.
Italo Valcy Seg e Auditoria de SI, 2013.1
Scam
Tipos
Furto de identidade: uma pessoa tenta se
passar por outra (falsa identidade)
Fraude de antecipação de recursos: atacante
induz a vítima a fornecer informações
confidenciais ou realizar pagamento antecipado
Phishing: atacante tenta obter dados pessoais
e financeiros, usando engenharia social em
meio eletrônico
Pharming: tipo específico de phishing usando
poluição ou redirecionamento DNS
Italo Valcy Seg e Auditoria de SI, 2013.1
Phishing ou Phishing/Scam
Phishing vem da analogia com "fishing". Iscas
usadas para pescar senhas e dados
financeiros.
Mensagem que procura induzir a instalação de
códigos maliciosos.
Mensagem que apresentam no próprio
conteúdo formulários para enviar dados.
Comprometimento do serviço DNS.
Italo Valcy Seg e Auditoria de SI, 2013.1
Catálogo de fraudes do CAIS
Catálogo de e-mails relacionados a fraudes na
Internet, reportados por usuários colaboradores
http://www.rnp.br/cais/fraudes.php
[email protected]
[email protected]
Base dados para consulta de fraudes
binários maliciosos
URLs maliciosas
imagens de sites de phishing
Italo Valcy Seg e Auditoria de SI, 2013.1
Catálogo de fraudes do CAIS
Italo Valcy Seg e Auditoria de SI, 2013.1
Como se proteger
Realizar transações apenas em sites de
instituições confiáveis.
Certifica-se que o endereço apresentado no
browser corresponde ao site que você deseja
visitar.
Validação DNS
Certifica-se que o site faz uso de conexão
segura.
Antes de aceitar certificado digital, verificá-lo
junto ao administrador do site
Italo Valcy Seg e Auditoria de SI, 2013.1
Validação DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
Validação DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
Validação DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Extensão do protocolo DNS para adicionar
mecanismos de segurança
Permite que se possa verificar as informações
recebidas, invés de “confiar” em sua validade
Suas verificações ocorrem antes de diversas
aplicações de segurança (SSL, HTTP, etc.)
Usa criptografia de chave pública / privada
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Beto
Alice
Chave de
ciframento
Texto em
claro
Texto em
claro
Algoritmo de
ciframento
Chave de
deciframento
Canal
inseguro
Algoritmo de
deciframento
Cifras simétricas
●
Chave de ciframento <=> Chave de decriframento
Cifras assimétricas
●
Chave pública + Chave privada
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Funciona a partir da adição de quatro novos
tipos de registros no DNS:
DNSKEY: Divulgar a chave pública
RRSIG: Assinar os registros
NSEC/NSEC3: Garantir a não existência de um
registro/tipo
DS: Criar o canal de confiança (chain of trust)
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
SSL e Certificados digitais
Italo Valcy Seg e Auditoria de SI, 2013.1
SSL e Certificados digitais
SSL: Prover serviços de autenticação do servidor,
comunicação secreta e integridade dos dados;
Definição da chave secreta: Cript. Assimétrica
Criptografia dos dados: Cript. Simétrica
Requer a existência de uma autoridade certificadora
confiável para garantia das propriedades do SSL
Comprometimento das CA's (o risco das maças podres)
Dificuldade na inserção de novas CA's na lista de CA's confiáveis
dos sistemas (e.g. browsers, S.O.'s)
Italo Valcy Seg e Auditoria de SI, 2013.1
SSL e Certificados digitais
DANE: DNS-based Authentication of Named
Entities
Objetivo: usar o DNS (e DNSSEC) para
fornecer aos clientes informações adicionais
sobre as credenciais criptográficas associadas
com um domínio
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
O problema em imagens...
Nota: imagens a partir de
“DANE, the next big thing
after DNSSEC”, Marco
Davids/SIDN:
https://www.ncsc.nl/english/conference/conference-2013/speakers/sidn.html
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Ataque-me!
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Genuine certificate matches the TLSA, fake certificate does not
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Genuine certificate matches the TLSA, fake certificate does not
Italo Valcy Seg e Auditoria de SI, 2013.1
Códigos maliciosos
Italo Valcy Seg e Auditoria de SI, 2013.1
Código malicioso (malware)
Programas desenvolvidos para executar ações
danosas e atividades maliciosas no
computador
Formas de infecção/comprometimento:
Exploração de vulnerabilidades
Auto-execução de mídias removíveis
Acesso à páginas web maliciosas a partir de
navegadores vulneráveis
Italo Valcy Seg e Auditoria de SI, 2013.1
Código malicioso (malware)
Principais tipos de malware:
Vírus
Worm
Bot/botnet
Spyware
Backdoor
Cavalo de troia (trojan)
Rootkit
Leitura: http://cartilha.cert.br/malware/
Italo Valcy Seg e Auditoria de SI, 2013.1
Código malicioso (malware)
Análise de malware:
Desenvolver regras para NIDS
Baseado em IP / DNS (Predição de DGA's)
Desenvolver vacinas
Entender o comportamento e funcionamento
Realizar resposta a incidentes mais efetivamente
Desenvolver patchs de correção
Ganhar o controle do código malicioso e utilizá-lo
para outros fins
Italo Valcy Seg e Auditoria de SI, 2013.1
Análise de malware
Ferramentas de apoio (hexdump, objdump,
gdb, strace, systemtap, tcpdump, etc)
Sandboxes
Anubis
Malware Analyzer
Truman
TWMAN
Cuckoo
Italo Valcy Seg e Auditoria de SI, 2013.1
Análise de malware
Ferramentas online (malware scan):
http://www.virustotal.com/
http://virscan.org/
Análise do comportamento do malware:
http://www.uploadmalware.com/
http://anubis.iseclab.org/
http://camas.comodo.com/
Italo Valcy Seg e Auditoria de SI, 2013.1
Análise de malware
Onde obter mais informações:
http://iseclab.org/papers/forecast_acsac11.pdf
http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.ph
p/ceseg:2011-sbseg-mc1.pdf
Italo Valcy Seg e Auditoria de SI, 2013.1
Exercício
Exer01
analisar os dois malwares contidos no pacote fornecido
pelo professor (relatório VirusTotal e VirScan, além de
execução em ambiente virtual – VirtualBox + Windows
XP)
Trafego de rede
Arquivos modificados no sistema
Arquivos baixados
Etc.
analisar as duas fraudes contidas no mesmo pacote
fornecido pelo professor.
Análise similar ao do catálogo de fraudes
Italo Valcy Seg e Auditoria de SI, 2013.1
Referências
Dócea, Marcos – UFS. Conceitos em Segurança
da Informação. Slides
Sêmola, Marcos. A Importância da Gestão da
Segurança da Informação. Slides.
Guia de Referência Sobre Ataques Via Internet.
Febraban. 2000.
Italo Valcy Seg e Auditoria de SI, 2013.1
37 / 7
de Sistemas de Informação
Malware, scam e fraudes
Italo Valcy <[email protected]>
Italo Valcy Seg e Auditoria de SI, 2013.1
Fraudes
Fraudes na Internet
Engenharia social
Phishing / Scam
Código malicioso
Italo Valcy Seg e Auditoria de SI, 2013.1
Engenharia social
Método de ataque, onde alguém faz uso da
persuasão, muitas vezes abusando da
ingenuidade ou confiança do usuário, para
obter informações que podem ser utilizadas
para ter acesso não autorizado a computadores
ou informações.
Italo Valcy Seg e Auditoria de SI, 2013.1
Engenharia social: exemplos
E-mail do suporte técnico do banco dizendo
que o arquivo em anexo resolve um problema
de segurança do home banking.
Ligação de telefone dizendo ser o provedor da
internet e informando que precisa da senha
para corrigir um problema na conexão;
Salas de bate-papo para atrair crianças
Italo Valcy Seg e Auditoria de SI, 2013.1
Scam (golpe)
É qualquer esquema ou ação enganosa
e/ou fraudulenta que, normalmente, tem
como finalidade obter vantagens
financeiras.
Italo Valcy Seg e Auditoria de SI, 2013.1
Scam
Tipos
Furto de identidade: uma pessoa tenta se
passar por outra (falsa identidade)
Fraude de antecipação de recursos: atacante
induz a vítima a fornecer informações
confidenciais ou realizar pagamento antecipado
Phishing: atacante tenta obter dados pessoais
e financeiros, usando engenharia social em
meio eletrônico
Pharming: tipo específico de phishing usando
poluição ou redirecionamento DNS
Italo Valcy Seg e Auditoria de SI, 2013.1
Phishing ou Phishing/Scam
Phishing vem da analogia com "fishing". Iscas
usadas para pescar senhas e dados
financeiros.
Mensagem que procura induzir a instalação de
códigos maliciosos.
Mensagem que apresentam no próprio
conteúdo formulários para enviar dados.
Comprometimento do serviço DNS.
Italo Valcy Seg e Auditoria de SI, 2013.1
Catálogo de fraudes do CAIS
Catálogo de e-mails relacionados a fraudes na
Internet, reportados por usuários colaboradores
http://www.rnp.br/cais/fraudes.php
[email protected]
[email protected]
Base dados para consulta de fraudes
binários maliciosos
URLs maliciosas
imagens de sites de phishing
Italo Valcy Seg e Auditoria de SI, 2013.1
Catálogo de fraudes do CAIS
Italo Valcy Seg e Auditoria de SI, 2013.1
Como se proteger
Realizar transações apenas em sites de
instituições confiáveis.
Certifica-se que o endereço apresentado no
browser corresponde ao site que você deseja
visitar.
Validação DNS
Certifica-se que o site faz uso de conexão
segura.
Antes de aceitar certificado digital, verificá-lo
junto ao administrador do site
Italo Valcy Seg e Auditoria de SI, 2013.1
Validação DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
Validação DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
Validação DNS
Como verificar a validade de um nome DNS?
Uso da tecnologia DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Extensão do protocolo DNS para adicionar
mecanismos de segurança
Permite que se possa verificar as informações
recebidas, invés de “confiar” em sua validade
Suas verificações ocorrem antes de diversas
aplicações de segurança (SSL, HTTP, etc.)
Usa criptografia de chave pública / privada
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Beto
Alice
Chave de
ciframento
Texto em
claro
Texto em
claro
Algoritmo de
ciframento
Chave de
deciframento
Canal
inseguro
Algoritmo de
deciframento
Cifras simétricas
●
Chave de ciframento <=> Chave de decriframento
Cifras assimétricas
●
Chave pública + Chave privada
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Funciona a partir da adição de quatro novos
tipos de registros no DNS:
DNSKEY: Divulgar a chave pública
RRSIG: Assinar os registros
NSEC/NSEC3: Garantir a não existência de um
registro/tipo
DS: Criar o canal de confiança (chain of trust)
Italo Valcy Seg e Auditoria de SI, 2013.1
DNSSEC
Italo Valcy Seg e Auditoria de SI, 2013.1
SSL e Certificados digitais
Italo Valcy Seg e Auditoria de SI, 2013.1
SSL e Certificados digitais
SSL: Prover serviços de autenticação do servidor,
comunicação secreta e integridade dos dados;
Definição da chave secreta: Cript. Assimétrica
Criptografia dos dados: Cript. Simétrica
Requer a existência de uma autoridade certificadora
confiável para garantia das propriedades do SSL
Comprometimento das CA's (o risco das maças podres)
Dificuldade na inserção de novas CA's na lista de CA's confiáveis
dos sistemas (e.g. browsers, S.O.'s)
Italo Valcy Seg e Auditoria de SI, 2013.1
SSL e Certificados digitais
DANE: DNS-based Authentication of Named
Entities
Objetivo: usar o DNS (e DNSSEC) para
fornecer aos clientes informações adicionais
sobre as credenciais criptográficas associadas
com um domínio
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
O problema em imagens...
Nota: imagens a partir de
“DANE, the next big thing
after DNSSEC”, Marco
Davids/SIDN:
https://www.ncsc.nl/english/conference/conference-2013/speakers/sidn.html
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Ataque-me!
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Genuine certificate matches the TLSA, fake certificate does not
Italo Valcy Seg e Auditoria de SI, 2013.1
DANE
Genuine certificate matches the TLSA, fake certificate does not
Italo Valcy Seg e Auditoria de SI, 2013.1
Códigos maliciosos
Italo Valcy Seg e Auditoria de SI, 2013.1
Código malicioso (malware)
Programas desenvolvidos para executar ações
danosas e atividades maliciosas no
computador
Formas de infecção/comprometimento:
Exploração de vulnerabilidades
Auto-execução de mídias removíveis
Acesso à páginas web maliciosas a partir de
navegadores vulneráveis
Italo Valcy Seg e Auditoria de SI, 2013.1
Código malicioso (malware)
Principais tipos de malware:
Vírus
Worm
Bot/botnet
Spyware
Backdoor
Cavalo de troia (trojan)
Rootkit
Leitura: http://cartilha.cert.br/malware/
Italo Valcy Seg e Auditoria de SI, 2013.1
Código malicioso (malware)
Análise de malware:
Desenvolver regras para NIDS
Baseado em IP / DNS (Predição de DGA's)
Desenvolver vacinas
Entender o comportamento e funcionamento
Realizar resposta a incidentes mais efetivamente
Desenvolver patchs de correção
Ganhar o controle do código malicioso e utilizá-lo
para outros fins
Italo Valcy Seg e Auditoria de SI, 2013.1
Análise de malware
Ferramentas de apoio (hexdump, objdump,
gdb, strace, systemtap, tcpdump, etc)
Sandboxes
Anubis
Malware Analyzer
Truman
TWMAN
Cuckoo
Italo Valcy Seg e Auditoria de SI, 2013.1
Análise de malware
Ferramentas online (malware scan):
http://www.virustotal.com/
http://virscan.org/
Análise do comportamento do malware:
http://www.uploadmalware.com/
http://anubis.iseclab.org/
http://camas.comodo.com/
Italo Valcy Seg e Auditoria de SI, 2013.1
Análise de malware
Onde obter mais informações:
http://iseclab.org/papers/forecast_acsac11.pdf
http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.ph
p/ceseg:2011-sbseg-mc1.pdf
Italo Valcy Seg e Auditoria de SI, 2013.1
Exercício
Exer01
analisar os dois malwares contidos no pacote fornecido
pelo professor (relatório VirusTotal e VirScan, além de
execução em ambiente virtual – VirtualBox + Windows
XP)
Trafego de rede
Arquivos modificados no sistema
Arquivos baixados
Etc.
analisar as duas fraudes contidas no mesmo pacote
fornecido pelo professor.
Análise similar ao do catálogo de fraudes
Italo Valcy Seg e Auditoria de SI, 2013.1
Referências
Dócea, Marcos – UFS. Conceitos em Segurança
da Informação. Slides
Sêmola, Marcos. A Importância da Gestão da
Segurança da Informação. Slides.
Guia de Referência Sobre Ataques Via Internet.
Febraban. 2000.
Italo Valcy Seg e Auditoria de SI, 2013.1
37 / 7
