Guerra Cibernética – CyberwarMito ou realidade?

João Rufino de Sales

1/54

As informações e idéias contidas na apresentação são pessoais e podem não refletir a opinião de Instituições ou grupos que o autor participa ou pertence.

Conceitos

2/54

CONCEITOSGuerra de Informações (Information Warfare)

“... operações de informação conduzidas durante período de crise ou conflito (incluindo guerra) para alcançar ou promover objetivos específicos sobre um ou mais adversários específicos.”

3/54

CONCEITOSGuerra de Comando e Controle (C2 Warfare)

“... um subconjunto da guerra de informação e uma aplicação da mesma em operações militares.”

“... o uso integrado de operações psicológicas (PSYOPS), despistamento (deception) militar, segurança de operações (OPSEC), guerra eletrônica e destruição física, mutuamente suportadas por inteligência para negar informação, influenciar, degradar ou destruir as capacidades de C2 adversárias enquanto protege as capacidades de C2 amigas contra estes tipos de ação.”

4/54

CONCEITOSGuerra Assimétrica (Asymetrical Warfare)

“... operações realizadas por uma força relativamente pequena e pouco equipada contra pontos fracos de um oponente superior usando meios não ortodoxos.”

5/54

CONCEITOSGuerra Estratégica de Informação (Strategic Information Warfare)

“... baseada em ações técnicas que buscam através do uso da tecnologia da informação como arma ou como alvo afetar, de alguma forma, o funcionamento dos sistemas de comando e controle da chamada infraestrutura crítica nacional de um oponente.”

Nesta apresentação, este mesmo conceito está sendo adotado para Guerra Cibernética ou Ciberguerra (Cyberwar)

6/54

CONCEITOSOperações de Informação (Information Operations)

“... ações tomadas para afetar informações e sistemas de informação adversários, ao mesmo tempo que defende suas próprias informações e sistemas de informação.”

7

CONCEITOSCibercrime

Compreende exploração ilegal, hacking e outras intrusões em sistemas perpetradas por um indivíduo ou grupo com interesses e intentos criminais ou auto-motivados.

8/54

CONCEITOSAtaques de Informação

“... atividades realizadas para manipular ou destruir informações ou sistemas de informação de um inimigo, sem necessariamente modificar visivelmente a entidade física na qual ele se encontra.”

9/54

CONCEITOSObjetivos dos Ataques de Informação

• Alterar informações para afetar o processo de tomada de decisão;• destruir a confiança do inimigo no sistema;• forçar um adversário a usar meios de menor tecnologia

e, em muitos casos, menos seguros, para disseminar informações críticas; e• permitir que informações possam ser obtidas por forças

amigas.

10/54

Diante de tantas ameaças o que proteger?

11/54

INFRAESTRUTURA CRÍTICA

Instalações serviços e bens que, se forem interrompidos ou destruídos provocarão sério impacto social econômico ou político.

12/54

SERVIDORES DNS ESTÃO VULNERÁVEIS A ATAQUES

Quinta-feira, 4 de agosto de 2005 - 08:27 IDG Now! Vários servidores de Sistemas de Nomes de Domínio (DNS), parte crítica da infraestrutura da internet, estão vulneráveis a ataques que poderiam levar a disseminar fraudes, revelou um especialista de segurança. Em um mapeamento conduzido pelo pesquisador Dan Kaminsky foi constatado que dezenas de milhares de servidores podem estar vulneráveis a um tipo de ataque que direciona o tráfego da internet para sites maliciosos. A técnica, conhecida como envenenamento de cache DNS, despertou atenção pública quando hackers direcionaram tráfego de um grande número de sites financeiros, de entretenimento, viagens e saúde a outros servidores a fim de instalar software malicioso.

13/54

PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC)

Definição

É toda atividade destinada a proteger os acessos, as facilidades e os serviços de telecomunicações e de rede, que são essenciais para a operação dos elementos que podem comprometer a infraestrutura crítica nacional, regional ou internacional.

14/54

PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC)

Alcance

Mundial Regional Local

Atualmente a maior parte dos incidentes são locais , a não ser que as infraestruturas sejam compartilhadas (ex: Itaipu, Internet).

15/54

O QUE MUDOU?

Aumento no terrorismo internacionalAumento na dependência do governo e iniciativa privada dos computadores e redes de telecomSurgimento da Internet – possibilidade de ataques cibernéticos

16/54

DEPENDÊNCIA

“…a tecnologia da informação constitui o enlace de controle (control loop) de praticamente todas as infraestruturas críticas…”

FONTE: Making the Nation Safer (NCR 2002)

Essa dependência se torna tão forte que o que acontece a um sistema pode afetar outros sistemas não diretamente inter-relacionados.

17/54

COMPONENTES CHAVES DA IRC Telecomunicações

Voz, dados, cabos, wireless, satélite e serviços de internet

InternetDistribuída, muito utilizada, suscetível a um ataque cibernético, pode ser usada para atacar outras redes sem fronteiras

Rede ElétricaImpacta todos os setores da economia

18/54

SETORES CHAVES PARA A IRC

Financeiro Governo Suprimento de Energia e distribuição Transportes Emergência Saúde Água e Esgoto Produção, distribuição e guarda de alimentos

19/54

HÁ ALGO DE NOVO NO HORIZONTE?

Desastres naturais , ataques físicos ou falhas de operação – extensão e dano imediatos , limitados geograficamente. Ex: Apagões, WTC

Ataque Cibernético ?

20/54

ATAQUES CIBERNÉTICOS SÃO DIFERENTES

Não é preciso contatoCom as vítimas

É facil de aprender a fazer e adquirir ferramentas

Um pequeno investimento

causa um grande prejuizo

Muitas redes podemser comprometidas

e muitos paísesenvolvidos

Deixa pouco ounenhum rastro

É facil seesconder

Não existe legislaçãoadequada em todos os lugares

21/54

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

100% de segurança é um valor que não pode ser atingido

Riscos devem ser calculados e balanceados

Segurança tem que ser calculada em relação a disponibilidade

22/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

23/54

ESPAÇO CIBERNÉTICO: O MUNDO DOS BITS

WWW

Deep WebIntranetsExtranets

Business to Business (B2B)

Satelite MilitaresEstradas de ferroTrafego AéreoNuclear

24/54

O QUE NÓS FAZEMOS NO E@?

Transações

Suporte a processos

Publicações

Análises

E-commerceE-governo, transferência de fundosReservas e Compras AéreasMensageria,Redes Sociais, Normalmente

São Criticas

EstatisticasData mining

Análises FinanceirasAnálises de atualização

Business IntelligenceAnálise de Situação

Algumas são Missões Critica

Alguns podem não sercriticos

Controle de tráfego AéreoUtilidadesLogística e acompanhamentoKnowledge managementAutomação de Escritório

Serviços de Redee-publishingBancos de dados-acessoPublicações

Aumentando oGrau de criticidade

lista em constantecrescimento

25/54

TIPOS DE ATAQUE CIBERNÉTICOComputadores e comunicações como ferramentas

Quebra de senhas DecriptografiaInterceptação

Computadores e comunicações como armas Código Malicioso

Negação de ServiçoSabotagemArmas inteligentes

FraudesExtorsão Espionagem

26/54

Computadores e comunicações como alvos

O QUE MOTIVA OS ATORES?

nuances

Script Kiddies

Ethical Hackers Violação de copyright

HacktivistsCyber-hooligansGarotos que pensam

Que são “big boys”Ego-trip

Negação de ServiçoSerem ouvidosCausar embaraçosMaliciososGanhar publicidade

AnarquistasDesrespeitar as leisTer ganhos financeiros

Mostrar o quanto são espertosIdentificar vulnerabilidades

Muitos querem se tornar consultores de segurança

27/54

O QUE MOTIVA OS ATORES?

Espionagem Industrial

Indústria da violação de copyright

Non-ethical Hackers (crackers)

Vírus e worm designers

Sempre dinheiro

“Somente porque eles estão lá”

Testar novas maneiras de espalhar código maliciosoCausar perda ou corrupção de dadosEspalhar ID ou passwordsSpoofingEspalhar números de cartões de créditosSabotagem, etcPequeno risco de detecção e punição28/54

O QUE MOTIVA OS ATORES?

Crime organizado

Invasores

Denegrir a imagem de uma pessoa Intento Criminal: fraude, extorção, roubo,Corupção de dados, sabotagem, etcBaixo risco de detecção e punição

Novas áreas de oportunidade - globaisFacilidade de se esconder no espaço cibernéticoFacilidade de estabelecer redes globaisFalta de legislação e jurisdição

29/54

O QUE MOTIVA OS ATORES?

Cyber-terroristas ou estados

Facilidade de estabelecer redes globaisAbilidade de se esconderFalta de legislação ou jurisdição

Oportunidades ilimitadasBaixo volume de recursos necessáriosGrande impacto dos ataques bem sucedidosGrande visibilidade

Dirigidos pela ideologia

30/54

FORMAS DE ATAQUE

Fraudes

Relativos aos dados

Interceptação ModificaçãoRoubo

Relativos a RedeInterferencia

SabotagemAnonimato

Relativos ao acessoHacking

Distribuição de código malicioso

Relativos aosComputadores

31/54

FORMAS DE ATAQUE

Interferência

SabotagemDenial of service Controle servidores ou Equipamentos de redeUso de acessos validos e confiáveisPara acessar outras redes“Sniffing”- tráfegoHoaxes-Boatos

Desconexão e quebras físicasCorrupção de nomes de domíniosAtaques aos ISPAtaques a infraestrutura crítica

AnonimatoRoubo e uso de celulares clonadosHijacking the ID and password de um usuário legítimo da rede

32/54

RELATIVOS A DADOS

Interceptação

Modificação

Roubo

Defacement de websitee-mail spoofingBancos de dados e conteúdo de documentosTransações comerciais

Propriedade Intelectual Dados pessoaisUser IDs and passwordsInformações proprietárias

Voz e faxe-mail Transferência de dados(fixo e movel)

10010101001

33/54

RELATIVOS AO ACESSO

Hacking

Distribuição deCódigo malicioso

Accesso não autorizado às redes e sistemasde computadoresUso de serviços eletrônicos sem pagamentoApagar e/ou destruir dadosDivulgação de falhas de segurança e descobrircomo explorarInvasão de privacidade

Para lançar e distribuir ataques de denial of service Para causar lentidão ou fechamento de redes (worm)Para corromper servidores e dados(virus and/or worm)Para ganhar controle de um servidor ou device (trojan horse, back door)Para pedir pagamento (logical bomb)

34/54

RELATIVOS A COMPUTADORES

Ajudando o cyber-crime

Fraudes

Forjando

Provendo (sabendo ou não) técnicas, financiamento e facilidades legais para conduzir ou/e esconder cyber-crime

Mensagens e documentosI.D digitaisDados de copyright (software, música, e-book)

Falsificando ou financiando transaçõesUso de cartões de crédito ou dados pessoais

35/54

IMPACTO DE ALGUNS ATAQUES

Mais intrusivos Mais caros

Mais divulgados Mais frequentes

Virus, worm, trojan horse fraudes, sabotagem

Roubos de informações proprietárias

Ataques em e-business- Roubos de Cartões- Negação de Serviço

Erros no desenvolvimentoErros na configuração de redesPrecária administração de sistemas

36/54

PARA PENSAR

Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional

Quais são as diferenças ? - silenciosa - anônima - sem território definido - sem reação Quem? Como? De onde?

37/54

PARA PENSAR

GUERRA CONVENCIONAL: defesa da Infraestrutura crítica com foco nas 4 dimensões fisícas:

TERRA MAR AR ESPAÇO EXTERIOR

GUERRA CIBERNÉTICA: 5ª dimensão ESPAÇO CIBERNÉTICO

38/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

39/54

O que é ataque cibernético

• Cyberattack refers to deliberate actions to alter, disrupt, deceive,degrade, or destroy computer systems or networks or the information and/or programs resident in or transiting these systems or networks.

40/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

• Estonia – 2007• Mark Landler and John Markoff, “In Estonia,

What May Be the First War in Cyberspace,”• International Herald Tribune, May 28, 2007.• Joshua Davis, “Hackers Take Down the

Most Wired Country in Europe,” Wired, Issue

• 15.09, August 21, 2007.

41/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

• Georgia 2008• In August 2008, a military conflict involving

land, air, and sea forces of Georgia and Russia occurred in South Ossettia and Abkhazia, provinces under the nominal control of Georgia. Russian military action in this conflict was immediately preceded by a number of cyberattacks against a variety of websites of the Georgian government.

42/54

ENTÃO ATAQUE CIBERNÉTICO EXISTE?

Sim – A maioria dos ataques porém não tem alvo certo, nenhum estado soberano fala abertamente de ataque cibernético.

São dirigidos a vulnerabilidades dos sistemas, aplicativos ou a aplicativos de controle de ativos de rede

43/54

ATAQUE DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDO(DDOS)

Fevereiro de 2000 Anatomia– Busca de servidores inseguros– Instalação de software para ataques tornando os

servidores escravos do atacante– Lançamento do ataque remotamente ativando

todos os sistemas simultaneamente

44/54

WORMS X VÍRUS

Worms x vírus– Vírus ficam latentes enquanto vc não faz alguma

atividade para ativá-los– Worms propaga-se automaticamente sem

nenhuma atividade por parte do infectado– Primeiro worm – 1989 – Morris worm– Julho de 2001 – Code Red – 359.000 sistemas – a

cada 37 minutos dobrava sua capacidade de ataque

45/54

SQL SLAMMER ATTACK

Janeiro de 2003 – sql slammer worm– Dobrava o número de sistemas atacados a cada 8,5 segundos– Infectou 90% dos servidores vulneráveis em apenas 10

minutos– Apenas 3 minutos após sua ativação ele já verificava os

servidores a uma velocidade de 55 milhões de verificações por segundo

– Infectou 75.000 servidores com sérias conseqüências• 13.000 ATM do Bank of America foram desabilitados• O serviço de emergência 911 foi desabilitados afetando 680.000

pessoas• 14 corpos de bombeiros e 2 delegacias tb foram afetados• A Microsoft já havia disponibilizado a correção a seis meses

46/54

Conficker – Nov 2008

• The program, known as Conficker, uses flaws in Windows software to co-opt machines and link them into a virtual computer that can be commanded remotely by its authors. With more than five million of these zombies now under its control — government, business and home computers in more than 200 countries .(NYT)

47/54

Conficker

• There is also a different possibility that concerns the researchers: That the program was not designed by a criminal gang, but instead by an intelligence agency or the military of some country to monitor or disable an enemy’s computers(NYT)

48/54

Declaração -2009

• ''States, terrorists and those who would act as their proxies must know that the United States will protect our networks,‘’ Hillary Rodham Clinton

49/54

VULNERABILIDADES DOS SOFTWARES E INFRAESTRUTURA

Bugs – código não esperados que sempre causam funcionamento inesperado

Bom programa – 1 a 2 bugs a cada 1000 linhas de código

Windows Vista – +50 milhões de linhas de código

Linux – somente o kernel – +10 milhões

50/54

MUNDO DO SOFTWARE

Novos softwares significam novos bugs Bugs antigos nem sempre são corrigidos Correções nem sempre são implementadas Correções podem conter novos bugs

51/54

NOVO CENÁRIO

Os golpes de PHISHING vão se mostrar mais audaciosos e elaborados.

E-mails contém scripts que reescrevem os arquivos “hosts” das máquinas.

Para capturar números de contas bancárias + senhas não é necessário clicar em um link.

52/54

CONVERGÊNCIA

Golpes financeiros na INTERNET combinam várias técnicas:

– Spam no envio da mensagem;– Vírus na criação e instalação do Trojan;– Engenharia social;– Lavagem de dinheiro (pagamento de contas);– Fraudes no comércio eletrônico.

53/54

COMO ESTÁ O BRASIL

Telecomunicações– Toda a rede de telecomunicações é privada. – Existem estudos em andamento para identificar

os pontos criticos da rede– VOIP

54/54

COMO ESTÁ O BRASIL

Internet– Gestão pelo Comitê Gestor da Internet– Existem grupos de Resposta a Incidentes em

setores públicos e privados– O governo criou o CSIRT-Gov

55/54

COMO ESTÁ O BRASIL

Setor Elétrico– Existe controle centralizado via ONS– O sistema é muito complexo e sua operação é

muito dependente da rede de controle.

56/54

COMO ESTÁ O BRASIL

O Gabinete de Segurança Institucional da Presidência da Republica criou vários grupos de estudo para tratar do assunto na sua área de atuação

O Ministério da Defesa tratou o setor cibernético como prioritário na Estratégia Nacional de Defesa.

57/54

O PROBLEMA É SÓ NOSSO?

Não– Em todos os locais do mundo a solução depende

da cooperação dos setores públicos e privados– Embora as políticas e coordenação estejam no

governo a maioria da infraestrutura é propriedade do setor privado

– As ações dependem de todos

58/54

ONDE CADA UM PODE COOPERAR?

Setor privado– Desenvolvimento, suprimento, operação e manutenção

dos componentes e serviços– Operação segura– Participação nos comitês instituídos– Planejamento de emergência e defesa de redes

O QUE É CRíTICO PARA O SETOR PRIVADO NEM SEMPRE É CRíTICO PARA DEFESA NACIONAL

59/54

ONDE CADA UM PODE COOPERAR?

Instituições reguladoras– ABNT , ANATEL, ANEEL, ANA

Universidades– Grupos de resposta a incidentes e formação de

pessoal Usuários finais– Proteção de sistemas pessoais – antivírus, firewall

pessoal, atualização dos sistemas

60/54

CONCLUSÕES Aperfeiçoar continuamente o modelo de

proteção da infraestrutura critica Papel do setor privado Papel dos CERT Confiança e notificação Métricas e recursos Usuários finais Cyberwar é uma realidade, é bom estar

preparado

61/54

OBRIGADO PELA SUA ATENÇÃO

João Rufino de Sales-TC Exército Brasileiro– Departamento de Engenharia e Construção – DEC– 61 – 3415-5141– joao_rufino@yahoo.com.br

Apresentação baseada no e-book Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities

http://www.nap.edu/catalog/12651.html

62/54