Upload
joao-rufino-de-sales
View
676
Download
1
Embed Size (px)
Citation preview
Guerra Cibernética – Cyberwar Mito ou realidade?
João Rufino de Sales
1/54
As informações e idéias contidas na apresentação são pessoais e podem não refletir a opinião de Instituições ou grupos que o autor participa ou pertence.
Conceitos
2/54
CONCEITOS
Guerra de Informações (Information Warfare)
“... operações de informação conduzidas durante período de crise ou conflito (incluindo guerra) para alcançar ou promover objetivos específicos sobre um ou mais adversários específicos.”
3/54
CONCEITOS
Guerra de Comando e Controle (C2 Warfare)
“... um subconjunto da guerra de informação e uma aplicação da mesma em operações militares.” “... o uso integrado de operações psicológicas (PSYOPS), despistamento (deception) militar, segurança de operações (OPSEC), guerra eletrônica e destruição física, mutuamente suportadas por inteligência para negar informação, influenciar, degradar ou destruir as capacidades de C2 adversárias enquanto protege as capacidades de C2 amigas contra estes tipos de ação.”
4/54
CONCEITOS
Guerra Assimétrica (Asymetrical Warfare)
“... operações realizadas por uma força relativamente pequena e pouco equipada contra pontos fracos de um oponente superior usando meios não ortodoxos.”
5/54
CONCEITOS
Guerra Estratégica de Informação
(Strategic Information Warfare)
“... baseada em ações técnicas que buscam através do uso da tecnologia da informação como arma ou como alvo afetar, de alguma forma, o funcionamento dos sistemas de comando e controle da chamada infraestrutura crítica nacional de um oponente.” Nesta apresentação, este mesmo conceito está sendo adotado para Guerra Cibernética ou Ciberguerra (Cyberwar)
6/54
CONCEITOS
Operações de Informação (Information Operations)
“... ações tomadas para afetar informações e sistemas de informação adversários, ao mesmo tempo que defende suas próprias informações e sistemas de informação.”
7
CONCEITOS
Cibercrime
Compreende exploração ilegal, hacking e outras intrusões em sistemas perpetradas por um indivíduo ou grupo com interesses e intentos criminais ou auto-motivados.
8/54
CONCEITOS
Ataques de Informação
“... atividades realizadas para manipular ou destruir informações ou sistemas de informação de um inimigo, sem necessariamente modificar visivelmente a entidade física na qual ele se encontra.”
9/54
CONCEITOS
Objetivos dos Ataques de Informação
• Alterar informações para afetar o processo de tomada de decisão; • destruir a confiança do inimigo no sistema; • forçar um adversário a usar meios de menor tecnologia
e, em muitos casos, menos seguros, para disseminar informações críticas; e • permitir que informações possam ser obtidas por forças
amigas.
10/54
Diante de tantas ameaças o que proteger?
11/54
INFRAESTRUTURA CRÍTICA
Instalações serviços e bens que, se forem interrompidos ou destruídos provocarão sério impacto social econômico ou político.
12/54
SERVIDORES DNS ESTÃO VULNERÁVEIS A ATAQUES
Quinta-feira, 4 de agosto de 2005 - 08:27 IDG Now! Vários servidores de Sistemas de Nomes de Domínio
(DNS), parte crítica da infraestrutura da internet, estão vulneráveis a ataques que poderiam levar a disseminar fraudes, revelou um especialista de segurança.
Em um mapeamento conduzido pelo pesquisador Dan Kaminsky foi constatado que dezenas de milhares de servidores podem estar vulneráveis a um tipo de ataque que direciona o tráfego da internet para sites maliciosos.
A técnica, conhecida como envenenamento de cache DNS, despertou atenção pública quando hackers direcionaram tráfego de um grande número de sites financeiros, de entretenimento, viagens e saúde a outros servidores a fim de instalar software malicioso.
13/54
PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC)
Definição
É toda atividade destinada a proteger os acessos, as facilidades e os serviços de telecomunicações e de rede, que são essenciais para a operação dos elementos que podem comprometer a infraestrutura crítica nacional, regional ou internacional.
14/54
PROTEÇÃO DE INFRAESTRUTURA DE REDE CRÍTICA (IRC)
Alcance
Mundial Regional Local
Atualmente a maior parte dos incidentes são locais , a não ser que as infraestruturas sejam compartilhadas (ex: Itaipu, Internet).
15/54
O QUE MUDOU?
Aumento no terrorismo internacional
Aumento na dependência do governo e iniciativa privada dos computadores e redes de telecom
Surgimento da Internet – possibilidade de ataques cibernéticos
16/54
DEPENDÊNCIA
“…a tecnologia da informação constitui o enlace de controle (control loop) de praticamente todas as infraestruturas críticas…”
FONTE: Making the Nation Safer (NCR 2002)
Essa dependência se torna tão forte
que o que acontece a um sistema
pode afetar outros sistemas não
diretamente inter-relacionados. 17/54
COMPONENTES CHAVES DA IRC
Telecomunicações
Voz, dados, cabos, wireless, satélite e serviços de internet
Internet
Distribuída, muito utilizada, suscetível a um ataque cibernético, pode ser usada para atacar outras redes sem fronteiras
Rede Elétrica
Impacta todos os setores da economia
18/54
SETORES CHAVES PARA A IRC
Financeiro
Governo
Suprimento de Energia e distribuição
Transportes
Emergência
Saúde
Água e Esgoto
Produção, distribuição e guarda de alimentos
19/54
HÁ ALGO DE NOVO NO HORIZONTE?
Desastres naturais , ataques físicos ou falhas de operação – extensão e dano imediatos , limitados geograficamente. Ex: Apagões, WTC
Ataque Cibernético ?
20/54
ATAQUES CIBERNÉTICOS SÃO DIFERENTES
Não é preciso contato Com as vítimas
É facil de aprender a fazer e adquirir ferramentas
Um pequeno investimento
causa um grande prejuizo
Muitas redes podem ser comprometidas
e muitos países envolvidos
Deixa pouco ou nenhum rastro
É facil se esconder
Não existe legislação adequada em todos os lugares
21/54
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
100% de segurança é um valor que não pode ser atingido
Riscos devem ser calculados e balanceados
Segurança tem que ser calculada em relação a disponibilidade
22/54
ENTÃO ATAQUE CIBERNÉTICO EXISTE?
23/54
ESPAÇO CIBERNÉTICO: O MUNDO DOS BITS
WWW
Deep Web Intranets Extranets
Business to Business
(B2B)
Satelite Militares Estradas de ferro Trafego Aéreo Nuclear
24/54
O QUE NÓS FAZEMOS NO E@?
Transações
Suporte a processos
Publicações
Análises
E-commerce E-governo, transferência de fundos Reservas e Compras Aéreas Mensageria,Redes Sociais,
Normalmente São Criticas
Estatisticas Data mining
Análises Financeiras Análises de atualização
Business Intelligence Análise de Situação
Algumas são Missões Critica
Alguns podem não ser criticos
Controle de tráfego Aéreo Utilidades Logística e acompanhamento Knowledge management Automação de Escritório
Serviços de Rede e-publishing Bancos de dados-acesso Publicações
Aumentando o Grau de criticidade
lista em constante crescimento
25/54
TIPOS DE ATAQUE CIBERNÉTICO
Computadores e comunicações como ferramentas
Quebra de senhas Decriptografia Interceptação
Computadores e comunicações como armas
Código Malicioso Negação de Serviço Sabotagem Armas inteligentes
Fraudes Extorsão Espionagem
26/54
Computadores e comunicações como alvos
O QUE MOTIVA OS ATORES?
nuances
Script Kiddies
Ethical Hackers Violação de copyright
Hacktivists Cyber-hooligans Garotos que pensam
Que são “big boys” Ego-trip
Negação de Serviço Serem ouvidos Causar embaraços Maliciosos Ganhar publicidade
Anarquistas Desrespeitar as leis Ter ganhos financeiros
Mostrar o quanto são espertos Identificar vulnerabilidades
Muitos querem se tornar consultores de segurança
27/54
O QUE MOTIVA OS ATORES?
Espionagem Industrial
Indústria da violação de copyright
Non-ethical Hackers (crackers)
Vírus e worm designers
Sempre dinheiro
“Somente porque eles estão lá”
Testar novas maneiras de espalhar código malicioso Causar perda ou corrupção de dados Espalhar ID ou passwords Spoofing Espalhar números de cartões de créditos Sabotagem, etc Pequeno risco de detecção e punição 28/54
O QUE MOTIVA OS ATORES?
Crime organizado
Invasores
Denegrir a imagem de uma pessoa Intento Criminal: fraude, extorção, roubo, Corupção de dados, sabotagem, etc Baixo risco de detecção e punição
Novas áreas de oportunidade - globais Facilidade de se esconder no espaço cibernético Facilidade de estabelecer redes globais Falta de legislação e jurisdição
29/54
O QUE MOTIVA OS ATORES?
Cyber-terroristas ou estados
Facilidade de estabelecer redes globais Abilidade de se esconder Falta de legislação ou jurisdição
Oportunidades ilimitadas Baixo volume de recursos necessários Grande impacto dos ataques bem sucedidos Grande visibilidade
Dirigidos pela ideologia
30/54
FORMAS DE ATAQUE
Fraudes
CATEGORIAS
Relativos aos dados
Interceptação Modificação Roubo
Relativos a Rede Interferencia
Sabotagem Anonimato
Relativos ao acesso
Hacking Distribuição de código malicioso
Relativos aos Computadores
31/54
FORMAS DE ATAQUE
Interferência
Sabotagem
Denial of service Controle servidores ou Equipamentos de rede Uso de acessos validos e confiáveis Para acessar outras redes “Sniffing”- tráfego Hoaxes-Boatos
Desconexão e quebras físicas Corrupção de nomes de domínios Ataques aos ISP Ataques a infraestrutura crítica
Anonimato Roubo e uso de celulares clonados Hijacking the ID and password de um usuário legítimo da rede
32/54
RELATIVOS A DADOS
Interceptação
Modificação
Roubo
Defacement de website e-mail spoofing Bancos de dados e conteúdo de documentos Transações comerciais
Propriedade Intelectual Dados pessoais User IDs and passwords Informações proprietárias
Voz e fax e-mail Transferência de dados
(fixo e movel)
10010101001
33/54
RELATIVOS AO ACESSO
Hacking
Distribuição de Código malicioso
Accesso não autorizado às redes e sistemas de computadores Uso de serviços eletrônicos sem pagamento Apagar e/ou destruir dados Divulgação de falhas de segurança e descobrir como explorar Invasão de privacidade
Para lançar e distribuir ataques de denial of service Para causar lentidão ou fechamento de redes (worm) Para corromper servidores e dados (virus and/or worm) Para ganhar controle de um servidor ou device (trojan horse, back door) Para pedir pagamento (logical bomb)
34/54
RELATIVOS A COMPUTADORES
Ajudando o cyber-crime
Fraudes
Forjando
Provendo (sabendo ou não) técnicas, financiamento e facilidades legais para conduzir ou/e esconder cyber-crime
Mensagens e documentos I.D digitais Dados de copyright (software, música, e-book)
Falsificando ou financiando transações Uso de cartões de crédito ou dados pessoais
35/54
IMPACTO DE ALGUNS ATAQUES
Mais intrusivos Mais caros
Mais divulgados Mais frequentes
Virus, worm, trojan horse fraudes, sabotagem
Roubos de informações proprietárias
Ataques em e-business - Roubos de Cartões - Negação de Serviço
Erros no desenvolvimento Erros na configuração de redes Precária administração de sistemas
36/54
PARA PENSAR
Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional
Quais são as diferenças ?
- silenciosa
- anônima
- sem território definido
- sem reação
Quem? Como? De onde?
37/54
PARA PENSAR
GUERRA CONVENCIONAL: defesa da Infraestrutura crítica com foco nas 4 dimensões fisícas:
TERRA
MAR
AR
ESPAÇO EXTERIOR
GUERRA CIBERNÉTICA: 5ª dimensão
ESPAÇO CIBERNÉTICO
38/54
ENTÃO ATAQUE CIBERNÉTICO EXISTE?
39/54
O que é ataque cibernético
• Cyberattack refers to deliberate actions to alter, disrupt, deceive,degrade, or destroy computer systems or networks or the information and/or programs resident in or transiting these systems or networks.
40/54
ENTÃO ATAQUE CIBERNÉTICO EXISTE?
• Estonia – 2007
• Mark Landler and John Markoff, “In Estonia, What May Be the First War in Cyberspace,”
• International Herald Tribune, May 28, 2007.
• Joshua Davis, “Hackers Take Down the Most Wired Country in Europe,” Wired, Issue
• 15.09, August 21, 2007.
41/54
ENTÃO ATAQUE CIBERNÉTICO EXISTE?
• Georgia 2008
• In August 2008, a military conflict involving land, air, and sea forces of Georgia and Russia occurred in South Ossettia and Abkhazia, provinces under the nominal control of Georgia. Russian military action in this conflict was immediately preceded by a number of cyberattacks against a variety of websites of the Georgian government.
42/54
ENTÃO ATAQUE CIBERNÉTICO EXISTE?
Sim – A maioria dos ataques porém não tem alvo certo, nenhum estado soberano fala abertamente de ataque cibernético.
São dirigidos a vulnerabilidades dos sistemas, aplicativos ou a aplicativos de controle de ativos de rede
43/54
ATAQUE DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDO(DDOS)
Fevereiro de 2000
Anatomia
– Busca de servidores inseguros
– Instalação de software para ataques tornando os servidores escravos do atacante
– Lançamento do ataque remotamente ativando todos os sistemas simultaneamente
44/54
WORMS X VÍRUS
Worms x vírus – Vírus ficam latentes enquanto vc não faz alguma
atividade para ativá-los
– Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
– Primeiro worm – 1989 – Morris worm
– Julho de 2001 – Code Red – 359.000 sistemas – a cada 37 minutos dobrava sua capacidade de ataque
45/54
SQL SLAMMER ATTACK
Janeiro de 2003 – sql slammer worm – Dobrava o número de sistemas atacados a cada 8,5 segundos
– Infectou 90% dos servidores vulneráveis em apenas 10 minutos
– Apenas 3 minutos após sua ativação ele já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo
– Infectou 75.000 servidores com sérias conseqüências • 13.000 ATM do Bank of America foram desabilitados
• O serviço de emergência 911 foi desabilitados afetando 680.000 pessoas
• 14 corpos de bombeiros e 2 delegacias tb foram afetados
• A Microsoft já havia disponibilizado a correção a seis meses
46/54
Conficker – Nov 2008
• The program, known as Conficker, uses flaws in Windows software to co-opt machines and link them into a virtual computer that can be commanded remotely by its authors. With more than five million of these zombies now under its control — government, business and home computers in more than 200 countries .(NYT)
47/54
Conficker
• There is also a different possibility that concerns the researchers: That the program was not designed by a criminal gang, but instead by an intelligence agency or the military of some country to monitor or disable an enemy’s computers(NYT)
48/54
Declaração -2009
• ''States, terrorists and those who would act as their proxies must know that the United States will protect our networks,‘’ Hillary Rodham Clinton
49/54
VULNERABILIDADES DOS SOFTWARES E INFRAESTRUTURA
Bugs – código não esperados que sempre causam funcionamento inesperado
Bom programa – 1 a 2 bugs a cada 1000 linhas de código
Windows Vista – +50 milhões de linhas de código
Linux – somente o kernel – +10 milhões
50/54
MUNDO DO SOFTWARE
Novos softwares significam novos bugs
Bugs antigos nem sempre são corrigidos
Correções nem sempre são implementadas
Correções podem conter novos bugs
51/54
NOVO CENÁRIO
Os golpes de PHISHING vão se mostrar mais audaciosos e elaborados.
E-mails contém scripts que reescrevem os arquivos “hosts” das máquinas.
Para capturar números de contas bancárias + senhas não é necessário clicar em um link.
52/54
CONVERGÊNCIA
Golpes financeiros na INTERNET combinam várias técnicas:
– Spam no envio da mensagem;
– Vírus na criação e instalação do Trojan;
– Engenharia social;
– Lavagem de dinheiro (pagamento de contas);
– Fraudes no comércio eletrônico.
53/54
COMO ESTÁ O BRASIL
Telecomunicações
– Toda a rede de telecomunicações é privada.
– Existem estudos em andamento para identificar os pontos criticos da rede
– VOIP
54/54
COMO ESTÁ O BRASIL
Internet
– Gestão pelo Comitê Gestor da Internet
– Existem grupos de Resposta a Incidentes em setores públicos e privados
– O governo criou o CSIRT-Gov
55/54
COMO ESTÁ O BRASIL
Setor Elétrico
– Existe controle centralizado via ONS
– O sistema é muito complexo e sua operação é muito dependente da rede de controle.
56/54
COMO ESTÁ O BRASIL
O Gabinete de Segurança Institucional da Presidência da Republica criou vários grupos de estudo para tratar do assunto na sua área de atuação
O Ministério da Defesa tratou o setor cibernético como prioritário na Estratégia Nacional de Defesa.
57/54
O PROBLEMA É SÓ NOSSO?
Não
– Em todos os locais do mundo a solução depende da cooperação dos setores públicos e privados
– Embora as políticas e coordenação estejam no governo a maioria da infraestrutura é propriedade do setor privado
– As ações dependem de todos
58/54
ONDE CADA UM PODE COOPERAR?
Setor privado
– Desenvolvimento, suprimento, operação e manutenção dos componentes e serviços
– Operação segura
– Participação nos comitês instituídos
– Planejamento de emergência e defesa de redes
O QUE É CRíTICO PARA O SETOR PRIVADO NEM SEMPRE É CRíTICO PARA DEFESA NACIONAL
59/54
ONDE CADA UM PODE COOPERAR?
Instituições reguladoras
– ABNT , ANATEL, ANEEL, ANA
Universidades
– Grupos de resposta a incidentes e formação de pessoal
Usuários finais
– Proteção de sistemas pessoais – antivírus, firewall pessoal, atualização dos sistemas
60/54
CONCLUSÕES
Aperfeiçoar continuamente o modelo de proteção da infraestrutura critica
Papel do setor privado Papel dos CERT Confiança e notificação Métricas e recursos Usuários finais Cyberwar é uma realidade, é bom estar
preparado
61/54
OBRIGADO PELA SUA ATENÇÃO
João Rufino de Sales-TC
CIASC
– 48-32311166
– [email protected] Apresentação baseada no e-book Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities
http://www.nap.edu/catalog/12651.html
62/54