Guerradecomandoecontrole fean-2011

Guerra Cibernética – Cyberwar Mito ou realidade?

João Rufino de Sales

1/54

As informações e idéias contidas na apresentação são pessoais e podem não refletir a opinião de Instituições ou grupos que o autor participa ou pertence.

Conceitos

2/54

CONCEITOS

Guerra de Informações (Information Warfare)

“... operações de informação conduzidas durante período de crise ou conflito (incluindo guerra) para alcançar ou promover objetivos específicos sobre um ou mais adversários específicos.”

3/54

CONCEITOS

Guerra de Comando e Controle (C2 Warfare)

“... um subconjunto da guerra de informação e uma aplicação da mesma em operações militares.” “... o uso integrado de operações psicológicas (PSYOPS), despistamento (deception) militar, segurança de operações (OPSEC), guerra eletrônica e destruição física, mutuamente suportadas por inteligência para negar informação, influenciar, degradar ou destruir as capacidades de C2 adversárias enquanto protege as capacidades de C2 amigas contra estes tipos de ação.”

4/54

CONCEITOS

Guerra Assimétrica (Asymetrical Warfare)

“... operações realizadas por uma força relativamente pequena e pouco equipada contra pontos fracos de um oponente superior usando meios não ortodoxos.”

5/54

CONCEITOS

Guerra Estratégica de Informação

(Strategic Information Warfare)

“... baseada em ações técnicas que buscam através do uso da tecnologia da informação como arma ou como alvo afetar, de alguma forma, o funcionamento dos sistemas de comando e controle da chamada infraestrutura crítica nacional de um oponente.” Nesta apresentação, este mesmo conceito está sendo adotado para Guerra Cibernética ou Ciberguerra (Cyberwar)

6/54

CONCEITOS

Operações de Informação (Information Operations)

“... ações tomadas para afetar informações e sistemas de informação adversários, ao mesmo tempo que defende suas próprias informações e sistemas de informação.”

7

CONCEITOS

Cibercrime

Compreende exploração ilegal, hacking e outras intrusões em sistemas perpetradas por um indivíduo ou grupo com interesses e intentos criminais ou auto-motivados.

8/54

CONCEITOS

Ataques de Informação

“... atividades realizadas para manipular ou destruir informações ou sistemas de informação de um inimigo, sem necessariamente modificar visivelmente a entidade física na qual ele se encontra.”

9/54

CONCEITOS

Objetivos dos Ataques de Informação

• Alterar informações para afetar o processo de tomada de decisão; • destruir a confiança do inimigo no sistema; • forçar um adversário a usar meios de menor tecnologia

e, em muitos casos, menos seguros, para disseminar informações críticas; e • permitir que informações possam ser obtidas por forças

amigas.

10/54

Diante de tantas ameaças o que proteger?

11/54

INFRAESTRUTURA CRÍTICA

Instalações serviços e bens que, se forem interrompidos ou destruídos provocarão sério impacto social econômico ou político.

12/54

SERVIDORES DNS ESTÃO VULNERÁVEIS A ATAQUES

Quinta-feira, 4 de agosto de 2005 - 08:27 IDG Now! Vários servidores de Sistemas de Nomes de Domínio

(DNS), parte crítica da infraestrutura da internet, estão vulneráveis a ataques que poderiam levar a disseminar fraudes, revelou um especialista de segurança.

Em um mapeamento conduzido pelo pesquisador Dan Kaminsky foi constatado que dezenas de milhares de servidores podem estar vulneráveis a um tipo de ataque que direciona o tráfego da internet para sites maliciosos.

A técnica, conhecida como envenenamento de cache DNS, despertou atenção pública quando hackers direcionaram tráfego de um grande número de sites financeiros, de entretenimento, viagens e saúde a outros servidores a fim de instalar software malicioso.

13/54

PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC)

Definição

É toda atividade destinada a proteger os acessos, as facilidades e os serviços de telecomunicações e de rede, que são essenciais para a operação dos elementos que podem comprometer a infraestrutura crítica nacional, regional ou internacional.

14/54

PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC)

Alcance

Mundial Regional Local

Atualmente a maior parte dos incidentes são locais , a não ser que as infraestruturas sejam compartilhadas (ex: Itaipu, Internet).

15/54

O QUE MUDOU?

Aumento no terrorismo internacional

Aumento na dependência do governo e iniciativa privada dos computadores e redes de telecom

Surgimento da Internet – possibilidade de ataques cibernéticos

16/54

DEPENDÊNCIA

“…a tecnologia da informação constitui o enlace de controle (control loop) de praticamente todas as infraestruturas críticas…”

FONTE: Making the Nation Safer (NCR 2002)

Essa dependência se torna tão forte

que o que acontece a um sistema

pode afetar outros sistemas não

diretamente inter-relacionados. 17/54

COMPONENTES CHAVES DA IRC

Telecomunicações

Voz, dados, cabos, wireless, satélite e serviços de internet

Internet

Distribuída, muito utilizada, suscetível a um ataque cibernético, pode ser usada para atacar outras redes sem fronteiras

Rede Elétrica

Impacta todos os setores da economia

18/54

SETORES CHAVES PARA A IRC

Financeiro

Governo

Suprimento de Energia e distribuição

Transportes

Emergência

Saúde

Água e Esgoto

Produção, distribuição e guarda de alimentos

19/54

HÁ ALGO DE NOVO NO HORIZONTE?

Desastres naturais , ataques físicos ou falhas de operação – extensão e dano imediatos , limitados geograficamente. Ex: Apagões, WTC

Ataque Cibernético ?

20/54

ATAQUES CIBERNÉTICOS SÃO DIFERENTES

Não é preciso contato Com as vítimas

É facil de aprender a fazer e adquirir ferramentas

Um pequeno investimento

causa um grande prejuizo

Muitas redes podem ser comprometidas

e muitos países envolvidos

Deixa pouco ou nenhum rastro

É facil se esconder

Não existe legislação adequada em todos os lugares

21/54

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

100% de segurança é um valor que não pode ser atingido

Riscos devem ser calculados e balanceados

Segurança tem que ser calculada em relação a disponibilidade

22/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

23/54

ESPAÇO CIBERNÉTICO: O MUNDO DOS BITS

WWW

Deep Web Intranets Extranets

Business to Business

(B2B)

Satelite Militares Estradas de ferro Trafego Aéreo Nuclear

24/54

O QUE NÓS FAZEMOS NO E@?

Transações

Suporte a processos

Publicações

Análises

E-commerce E-governo, transferência de fundos Reservas e Compras Aéreas Mensageria,Redes Sociais,

Normalmente São Criticas

Estatisticas Data mining

Análises Financeiras Análises de atualização

Business Intelligence Análise de Situação

Algumas são Missões Critica

Alguns podem não ser criticos

Controle de tráfego Aéreo Utilidades Logística e acompanhamento Knowledge management Automação de Escritório

Serviços de Rede e-publishing Bancos de dados-acesso Publicações

Aumentando o Grau de criticidade

lista em constante crescimento

25/54

TIPOS DE ATAQUE CIBERNÉTICO

Computadores e comunicações como ferramentas

Quebra de senhas Decriptografia Interceptação

Computadores e comunicações como armas

Código Malicioso Negação de Serviço Sabotagem Armas inteligentes

Fraudes Extorsão Espionagem

26/54

Computadores e comunicações como alvos

O QUE MOTIVA OS ATORES?

nuances

Script Kiddies

Ethical Hackers Violação de copyright

Hacktivists Cyber-hooligans Garotos que pensam

Que são “big boys” Ego-trip

Negação de Serviço Serem ouvidos Causar embaraços Maliciosos Ganhar publicidade

Anarquistas Desrespeitar as leis Ter ganhos financeiros

Mostrar o quanto são espertos Identificar vulnerabilidades

Muitos querem se tornar consultores de segurança

27/54

O QUE MOTIVA OS ATORES?

Espionagem Industrial

Indústria da violação de copyright

Non-ethical Hackers (crackers)

Vírus e worm designers

Sempre dinheiro

“Somente porque eles estão lá”

Testar novas maneiras de espalhar código malicioso Causar perda ou corrupção de dados Espalhar ID ou passwords Spoofing Espalhar números de cartões de créditos Sabotagem, etc Pequeno risco de detecção e punição 28/54

O QUE MOTIVA OS ATORES?

Crime organizado

Invasores

Denegrir a imagem de uma pessoa Intento Criminal: fraude, extorção, roubo, Corupção de dados, sabotagem, etc Baixo risco de detecção e punição

Novas áreas de oportunidade - globais Facilidade de se esconder no espaço cibernético Facilidade de estabelecer redes globais Falta de legislação e jurisdição

29/54

O QUE MOTIVA OS ATORES?

Cyber-terroristas ou estados

Facilidade de estabelecer redes globais Abilidade de se esconder Falta de legislação ou jurisdição

Oportunidades ilimitadas Baixo volume de recursos necessários Grande impacto dos ataques bem sucedidos Grande visibilidade

Dirigidos pela ideologia

30/54

FORMAS DE ATAQUE

Fraudes

CATEGORIAS

Relativos aos dados

Interceptação Modificação Roubo

Relativos a Rede Interferencia

Sabotagem Anonimato

Relativos ao acesso

Hacking Distribuição de código malicioso

Relativos aos Computadores

31/54

FORMAS DE ATAQUE

Interferência

Sabotagem

Denial of service Controle servidores ou Equipamentos de rede Uso de acessos validos e confiáveis Para acessar outras redes “Sniffing”- tráfego Hoaxes-Boatos

Desconexão e quebras físicas Corrupção de nomes de domínios Ataques aos ISP Ataques a infraestrutura crítica

Anonimato Roubo e uso de celulares clonados Hijacking the ID and password de um usuário legítimo da rede

32/54

RELATIVOS A DADOS

Interceptação

Modificação

Roubo

Defacement de website e-mail spoofing Bancos de dados e conteúdo de documentos Transações comerciais

Propriedade Intelectual Dados pessoais User IDs and passwords Informações proprietárias

Voz e fax e-mail Transferência de dados

(fixo e movel)

10010101001

33/54

RELATIVOS AO ACESSO

Hacking

Distribuição de Código malicioso

Accesso não autorizado às redes e sistemas de computadores Uso de serviços eletrônicos sem pagamento Apagar e/ou destruir dados Divulgação de falhas de segurança e descobrir como explorar Invasão de privacidade

Para lançar e distribuir ataques de denial of service Para causar lentidão ou fechamento de redes (worm) Para corromper servidores e dados (virus and/or worm) Para ganhar controle de um servidor ou device (trojan horse, back door) Para pedir pagamento (logical bomb)

34/54

RELATIVOS A COMPUTADORES

Ajudando o cyber-crime

Fraudes

Forjando

Provendo (sabendo ou não) técnicas, financiamento e facilidades legais para conduzir ou/e esconder cyber-crime

Mensagens e documentos I.D digitais Dados de copyright (software, música, e-book)

Falsificando ou financiando transações Uso de cartões de crédito ou dados pessoais

35/54

IMPACTO DE ALGUNS ATAQUES

Mais intrusivos Mais caros

Mais divulgados Mais frequentes

Virus, worm, trojan horse fraudes, sabotagem

Roubos de informações proprietárias

Ataques em e-business - Roubos de Cartões - Negação de Serviço

Erros no desenvolvimento Erros na configuração de redes Precária administração de sistemas

36/54

PARA PENSAR

Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional

Quais são as diferenças ?

- silenciosa

- anônima

- sem território definido

- sem reação

Quem? Como? De onde?

37/54

PARA PENSAR

GUERRA CONVENCIONAL: defesa da Infraestrutura crítica com foco nas 4 dimensões fisícas:

TERRA

MAR

AR

ESPAÇO EXTERIOR

GUERRA CIBERNÉTICA: 5ª dimensão

ESPAÇO CIBERNÉTICO

38/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

39/54

O que é ataque cibernético

• Cyberattack refers to deliberate actions to alter, disrupt, deceive,degrade, or destroy computer systems or networks or the information and/or programs resident in or transiting these systems or networks.

40/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

• Estonia – 2007

• Mark Landler and John Markoff, “In Estonia, What May Be the First War in Cyberspace,”

• International Herald Tribune, May 28, 2007.

• Joshua Davis, “Hackers Take Down the Most Wired Country in Europe,” Wired, Issue

• 15.09, August 21, 2007.

41/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

• Georgia 2008

• In August 2008, a military conflict involving land, air, and sea forces of Georgia and Russia occurred in South Ossettia and Abkhazia, provinces under the nominal control of Georgia. Russian military action in this conflict was immediately preceded by a number of cyberattacks against a variety of websites of the Georgian government.

42/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

Sim – A maioria dos ataques porém não tem alvo certo, nenhum estado soberano fala abertamente de ataque cibernético.

São dirigidos a vulnerabilidades dos sistemas, aplicativos ou a aplicativos de controle de ativos de rede

43/54

ATAQUE DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDO(DDOS)

Fevereiro de 2000

Anatomia

– Busca de servidores inseguros

– Instalação de software para ataques tornando os servidores escravos do atacante

– Lançamento do ataque remotamente ativando todos os sistemas simultaneamente

44/54

WORMS X VÍRUS

Worms x vírus – Vírus ficam latentes enquanto vc não faz alguma

atividade para ativá-los

– Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado

– Primeiro worm – 1989 – Morris worm

– Julho de 2001 – Code Red – 359.000 sistemas – a cada 37 minutos dobrava sua capacidade de ataque

45/54

SQL SLAMMER ATTACK

Janeiro de 2003 – sql slammer worm – Dobrava o número de sistemas atacados a cada 8,5 segundos

– Infectou 90% dos servidores vulneráveis em apenas 10 minutos

– Apenas 3 minutos após sua ativação ele já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo

– Infectou 75.000 servidores com sérias conseqüências • 13.000 ATM do Bank of America foram desabilitados

• O serviço de emergência 911 foi desabilitados afetando 680.000 pessoas

• 14 corpos de bombeiros e 2 delegacias tb foram afetados

• A Microsoft já havia disponibilizado a correção a seis meses

46/54

Conficker – Nov 2008

• The program, known as Conficker, uses flaws in Windows software to co-opt machines and link them into a virtual computer that can be commanded remotely by its authors. With more than five million of these zombies now under its control — government, business and home computers in more than 200 countries .(NYT)

47/54

Conficker

• There is also a different possibility that concerns the researchers: That the program was not designed by a criminal gang, but instead by an intelligence agency or the military of some country to monitor or disable an enemy’s computers(NYT)

48/54

Declaração -2009

• ''States, terrorists and those who would act as their proxies must know that the United States will protect our networks,‘’ Hillary Rodham Clinton

49/54

VULNERABILIDADES DOS SOFTWARES E INFRAESTRUTURA

Bugs – código não esperados que sempre causam funcionamento inesperado

Bom programa – 1 a 2 bugs a cada 1000 linhas de código

Windows Vista – +50 milhões de linhas de código

Linux – somente o kernel – +10 milhões

50/54

MUNDO DO SOFTWARE

Novos softwares significam novos bugs

Bugs antigos nem sempre são corrigidos

Correções nem sempre são implementadas

Correções podem conter novos bugs

51/54

NOVO CENÁRIO

Os golpes de PHISHING vão se mostrar mais audaciosos e elaborados.

E-mails contém scripts que reescrevem os arquivos “hosts” das máquinas.

Para capturar números de contas bancárias + senhas não é necessário clicar em um link.

52/54

CONVERGÊNCIA

Golpes financeiros na INTERNET combinam várias técnicas:

– Spam no envio da mensagem;

– Vírus na criação e instalação do Trojan;

– Engenharia social;

– Lavagem de dinheiro (pagamento de contas);

– Fraudes no comércio eletrônico.

53/54

COMO ESTÁ O BRASIL

Telecomunicações

– Toda a rede de telecomunicações é privada.

– Existem estudos em andamento para identificar os pontos criticos da rede

– VOIP

54/54

COMO ESTÁ O BRASIL

Internet

– Gestão pelo Comitê Gestor da Internet

– Existem grupos de Resposta a Incidentes em setores públicos e privados

– O governo criou o CSIRT-Gov

55/54

COMO ESTÁ O BRASIL

Setor Elétrico

– Existe controle centralizado via ONS

– O sistema é muito complexo e sua operação é muito dependente da rede de controle.

56/54

COMO ESTÁ O BRASIL

O Gabinete de Segurança Institucional da Presidência da Republica criou vários grupos de estudo para tratar do assunto na sua área de atuação

O Ministério da Defesa tratou o setor cibernético como prioritário na Estratégia Nacional de Defesa.

57/54

O PROBLEMA É SÓ NOSSO?

Não

– Em todos os locais do mundo a solução depende da cooperação dos setores públicos e privados

– Embora as políticas e coordenação estejam no governo a maioria da infraestrutura é propriedade do setor privado

– As ações dependem de todos

58/54

ONDE CADA UM PODE COOPERAR?

Setor privado

– Desenvolvimento, suprimento, operação e manutenção dos componentes e serviços

– Operação segura

– Participação nos comitês instituídos

– Planejamento de emergência e defesa de redes

O QUE É CRíTICO PARA O SETOR PRIVADO NEM SEMPRE É CRíTICO PARA DEFESA NACIONAL

59/54

ONDE CADA UM PODE COOPERAR?

Instituições reguladoras

– ABNT , ANATEL, ANEEL, ANA

Universidades

– Grupos de resposta a incidentes e formação de pessoal

Usuários finais

– Proteção de sistemas pessoais – antivírus, firewall pessoal, atualização dos sistemas

60/54

CONCLUSÕES

Aperfeiçoar continuamente o modelo de proteção da infraestrutura critica

Papel do setor privado Papel dos CERT Confiança e notificação Métricas e recursos Usuários finais Cyberwar é uma realidade, é bom estar

preparado

61/54

OBRIGADO PELA SUA ATENÇÃO

João Rufino de Sales-TC

CIASC

– 48-32311166

– joao_rufino@yahoo.com.br Apresentação baseada no e-book Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities

http://www.nap.edu/catalog/12651.html

62/54