Faça o da apresentação

SEGURANÇA DA INFORMAÇÃO
Ameaças e Soluções
Francimara Viotti
Novembro/2015
O novo cenário de ataques e
defesa cibernética
Ataques cibernéticos
Ataques cibernéticos
www.norse-corp.com
Ataques cibernéticos - DDoS
http://www.digitalattackmap.com/
Internet
Internet
Internet
Internet
2003
Internet
2010
Internet
Seitas
Criminosos
Drogas
Máfia
ONG’s
Crackers
Hackers
Terrorismo
2015
Ameaças
Intimidade
Ameaças
Extimidade
Ameaças
Contrato Click
Somente 4% retiraram a cláusula
Ameaças
Roubo de Identidade
Novos Cenários
Antigas ameaças evoluindo
Novos Cenários
Antigas ameaças evoluindo
Novos Cenários
Antigas
Ameaças
Evoluindo
Novos Cenários
Antigas soluções se transformando
Firewall
Novas ameaças
Aumento de 165% observado no primeiro trimestre de 2015
Novas ameaças
Empresas
- Farmácia, fábrica de móveis, auto-peças
Prefeituras
- Japorã (MS)
- Pratânia (SP)
- Guaranésia (MG)
- Sorriso e Castanheira (MT)
- Pitanga e Guarapava (PR)
Novas ameaças
Ataques feitos com um objetivo específico, em lugar de uma ação oportunista em
busca de informações aleatórias que possam levar a ganhos financeiros
simplesmente. Muitas vezes esses ataques são guiados por organizações
externas.
Ataques APT são executados por ações humanas coordenadas, ao invés de serem
executadas por meras peças de software automatizado, que é incapaz de
responder inteligentemente a situações novas ou inesperadas.
Novas ameaças
APT – Advanced Persistent Threat
A partir de 2004, a Mandiant investigou violações de segurança de computadores em centenas de
organizações em todo o mundo. A maioria dessas violações são atribuídas a agentes denominados
“Advanced Persistent Threat” (APT).
Os primeiros detalhes sobre esses APT foram publicados no relatório M-Trends de Janeiro de 2010. Naquela
época, a posição da Mandiant foi a de que "O governo chinês pode estar autorizando essa atividade, mas
não há nenhuma maneira de determinar o tamanho do seu envolvimento."
Três anos depois, no relatório "APT1 Exposing One of China’s Cyber Espionage Units" a Mandiant afirmou
que tinha elementos para afirmar que os grupos que realizaram as atividades estão são baseadas
principalmente na China e que o Governo chinês está ciente."
APT – Advanced Persistent Threat
Stuxnet
Desenvolvido e disseminado por Estados Unidos e Israel, o worm Stuxnet foi projetado para atuar
em um ciberataque contra o Irã. O objetivo foi dificultar ou se possível impedir que o Irã
produzisse armas nucleares e foi direcionado à usina nuclear iraniana de Natanz. Esse ataque
pode ser considerado como um começo de uma possível guerra cibernética.
Lockheed Martin
Ataques executados com o uso de certificados subtraídos da RSA em 2011. Os invasores
conseguiram acesso inicial enganando um usuário interno, que abriu uma planilha anexada a
um e-mail que explorava uma vulnerabilidade do Adobe Flash. A partir daí, os invasores
obtiveram mais privilégios de acesso, instalaram backdoors e obtiveram controle de mais
recursos.
Operação Aurora
Ataque APT direcionado a inúmeras grandes empresas, tais como Google, Adobe, Rackspace
e Juniper Networks. Outras empresas também estavam na mira, inclusive Yahoo!, Northrop
Grumman, Morgan Stanley, Symantec e Dow Chemical. Acredita-se que o governo chinês
tenha direcionado os ataques como parte de uma campanha coordenada de larga escala
contra os Estados Unidos e outros países ocidentais.
Data Breaches
Target
- Gigante do varejo americano
- 110 M de clientes afetados
- Phishing vindo através de parceiro com
manutenção remota ( ? )
- Dados roubados à venda na Deepweb por $20 a
$100
Janeiro 2014
- Em março de 2015, a Target foi condenada a pagar
um total US$10milhões de dólares para os
usuários que provarem que foram prejudicados
pelo vazamento de dados.
Março 2015
Data Breaches
09 Novembro 2015
 Os invasores disseram que a invasão ocorreu como
“vingança”, porque integrantes Exército teriam
trapaceado em uma competição onde são utilizadas
técnicas de hacking , utilizando uma técnica
chamada
“WiFi deauthentication attack” que
elimina os outros concorrentes da rede Wifi.
 Os organizadores da competição disseram ser muito
difícil provar quem poderia ter utilizado a técnica e
que tal comportamento é comum nas competições
do tipo.
O anúncio foi feito inicialmente pelo site
Tecmundo.com.br.
O exército afirmou que o incidente não
comprometeu os sistemas estratégicos
de defesa dos servidores.
 Os invasores lançaram um desafio para que outros
grupos utilizem os milhares de CPFs vazados para
descobrir os donos de cada uma das senhas e usar
nos outros sistemas do governo federal. Como
bônus, um dos backdoors (falhas de segurança)
encontrados pelo time foi divulgado para quem se
interessar em testá-lo.
Data Breaches
Em junho de 2015, o United States Office of
Personnel Management (OPM) anunciou que
tinha sido alvo de uma violação de dados. As
estimativas iniciais indicavam que cerca de
quatro milhões de registros pessoais dos
funcionários públicos americanos haviam sido
roubados. Posteriormente o FBI elevou o
número para 18 milhões. Em 9 de julho, 2015, a
estimativa do número de registros roubados
tinha aumentado para 21,5 milhões.
A violação de dados, que supostamente teve
início em março de 2014, só foi notada pela
OPM em abril de 2015.
Esse vazamento foi considerados por funcionários
federais como uma das maiores violações dos
dados do governo na história dos Estados Unidos.
As informações vazadas incluiam números de
Seguro Social, nomes, datas, locais de
nascimento, endereços, renda, etc.
Em 11 de julho de 2015, Katherine Archuleta,
diretora da OPM e ex-Diretora Política Nacional
para campanha de reeleição de Barack Obama em
2012, Katherine Archuleta, pediu demissão.
Data Breaches
Ashley Madison é uma rede social de namoro on-line, voltado
principalmente para pessoas que já estão em um relacionamento e foi
lançado em 2001.
O nome do site foi criado a partir de dois populares nomes femininos
nos EUA: "Ashley" e "Madison". Seu slogan é"Life is short. Have
an affair" (A vida é curta. Curta um caso)
Data Breaches
O ataque é revelada pelo especialista em segurança Brian Krebs em seu blog. Hackers
autodenominados "Impact Team" dizem que vão liberar os dados confidenciais se o site não
for encerrado
Data Breaches
A Avid Life Media, empresa sediada em Toronto, controladora do site, diz na mídia que está
trabalhando com a aplicação da lei nos Estados Unidos e no Canadá, onde a empresa está
sediada. "O criminoso ou criminosos, envolvidos neste ato, denomiram a si mesmos como
juizes, jurados e carrascos, julgando-se aptos para impor uma noção pessoal da virtude em
toda a sociedade."
Data Breaches
Primeiro vazamento de dados: os hackers publicam os nomes, números parciais de cartão
de crédito, e-mail, endereços físicos e preferências sexuais de 32 milhões de clientes na
chamado Dark Web, o que significa que são dados públicos, mas difíceis de serem
encontrados por usuários comuns da Internet.
Data Breaches
Os dados roubados das pessoas que usaram o site Ashley Madison migram para a Web,
tornando-se facilmente pesquisáveis em vários sites.
Data Breaches
Dois escritórios de advocacia canadenses dizem que entraram com um processo no valor
$760.000.000 (dólares canadenses) contra a companhia Avid Life Media: o querelante
principal é descrito como um "viúvo com deficiência" que se juntou brevemente ao site após
a morte de sua esposa, mas nunca conheceu ninguém pessoalmente.
Data Breaches
E-mails e outras informações privadas de cerca de 15.000 funcionários do governo dos EUA
estão expostos. Entre eles: vários advogados do Departamento de Justiça e um especialista
em TI do Departamento de Segurança Interna que usaram contas de email pessoais, mas
acessadas a partir dos computadores do governo.
Data Breaches
As contas do governo incluem alguns com e-mails ".mil". O adultério vai contra o Código de
Conduta para os membros das forças armadas norte-americanas. O secretário de Defesa
Ash Carter diz que o Pentágono está investigando.
Data Breaches
Informações contendo os emails de Noel Biderman, CEO da Empresa-Mãe da Ashley
Madison, Avid Life, são liberadas, mas o arquivo foi corrompido e por isso não pode ser
completamente acessado pelo público.
Data Breaches
Os hackers liberam seu terceiro lote de informações roubadas, corrigindo o arquivo que
contém e-mails de Noel Biderman que tinha sido corrompido.
Data Breaches
A Avid Life Media tenta parar a propagação dos dados vazados. Ela emite avisos relativos
aos direitos autorais para vários sites que hospedavam ou estavam ligados à publicação das
informações roubadas, incluindo o Twitter.
Data Breaches
Várias pessoas diretamente afetadas pela violação de dados dizem à CNN Money que os
documentos roubados e vazados contem informações que serão utilizadas em processos de
divórcio. Clientes expostos estão preocupados com a possibilidade de serem demitidos de
seus empregos.
Data Breaches
A polícia de Toronto investiga dois suicídios que podem estar ligados ao vazamento das
informações. Nos Estados Unidos, um capitão da polícia de San Antonio acabou com a
própria vida depois que suas informações foram expostas, mas o Departamento de Polícia
de San Antonio não quis comentar se o fato está relacionado ao vazamento.
Data Breaches
Avid Life Media, oferece US $ 500.000 (dólares canadenses) para qualquer pessoa com
informações que levem à identificação dos hackers.
Data Breaches
O site The Daily Dot divulga que o site
Ashley Madison planejava lançar um
app que permitiria aos usuários postar
imagens da esposa e receber lances
por elas. Os e-mails vazados de Noel
Biderman revelam que ele havia
recebido uma versão trial do aplicativo
Data Breaches
Noel Biderman, CEO da empresa-mãe da Ashley Madison, Avid Life Media Inc., deixa o
cargo.
Data Breaches
John McAfee
Data Breaches
Data Breaches
6 Fevereiro de 2015
Hackers roubaram informações de dezenas de milhões de clientes da Anthem Inc. clientes, em
uma violação de dados em massa, que está entre os maiores da história corporativa. Anthem é a
segunda maior seguradora de saúde nos Estados Unidos.
As informações roubadas incluem nomes, aniversários, IDs médicos, números de seguro social,
endereços, endereços de e-mail e informações de emprego, incluindo os dados de renda.
O banco de dados comprometido continha cerca de 80 milhões de registros de clientes.
Anthem está trabalhando com um fornecedor líder de proteção de identidade e de confiança, para
oferecer 24 meses de serviços de reparação de roubo de identidade e de monitoramento de
crédito para indivíduos afetados.
Data Breaches
Ameaças e vulnerabilidades
Ameaças e vulnerabilidades
Ameaças e vulnerabilidades
Ameaças e vulnerabilidades
Novos cenários
Novos cenários
Bring Your Own Device (BYOD)
Funcionários utilizam seus próprios dispositivos e são totalmente
responsáveis por escolher quais são eles. Este método é popular
entre empresas menores ou aquelas com um modelo de pessoal
temporário.
Choose Your Own Device (CYOD)
Os empregados recebem um conjunto de opções de dispositivos
que a empresa aprovou. Dispositivos funcionam dentro do
ambiente de TI da empresa, mas os funcionários são os donos dos
dispositivos - ou porque pagaram por eles mesmos e pode mantêlos para sempre, ou porque a empresa forneceu um pagamentoe
eles podem mantê-los enquanto durar o emprego.
Company-issued, Personally-Enabled (COPE)
Os funcionários recebem um dispositivo escolhido e pago pela empresa, mas eles também podem usá-lo para
atividades pessoais. A empresa pode decidir quanto de escolha e liberdade funcionários podem ter.Este é o modelo
mais próximo ao método tradicional de fornecimento de dispositivos.
Desafios
Gartner Group
Digital Business
• Esse conceito considera o papel de quatro forças convergentes que se reforçam mutuamente, de modo a tornarem-se padrões que
alavancam o cenário de negócios na atualidade.
• Embora essas forças sejam inovadoras e disruptivas por si, sua atuação conjunta revoluciona a economia e a sociedade, transformando
radicalmente os velhos modelos de negócios e criando novas lideranças. O Nexus é, na realidade, a base para a tecnologia do futuro.
Desafios
Gartner Group
O Nexus das Forças (The Nexus of Forces)
• Como o mundo pode mudar?
• Como detectar essas mudanças?
• Como lidar com essas mudanças?
Desafios
Grupos de
Aliança
Vizinhança
Vigiada
Risco
Regulado
Controle
Parental
Gartner Group
Desafios
• Reciclar e renovar os quadros técnicos e estruturas organizacionais de segurança.
• Incentivar a liderança de riscos e fazer com as que a tomada de decisão da gestão
de risco se torne generalizada em todas a organização, colocando o ser humano no
centro do mundo de gestão de riscos digital.
• Explorar as novas oportunidades e os riscos que o negócio digital e modelos de
entrega alternativos trazem.
Desafios
“Em que casos devemos regular novas tecnologias poderosas por causa
dos potenciais perigos que representam, e em casos que não? Ou
devemos aceitar algumas consequências negativas devido ao impacto
extremamente positivo? “
Desafios
O Estado Islâmico já está se preparando contra esse ataque virtual.
Segundo o IB Times, os membros do ISIS foram orientados a
navegar por redes privadas (VPNs) para tentar escapar do
rastreamento do Anonymous.
Em um comunicado no canal do ISIS, no Telegram, há uma resposta
à declaração de guerra do Anonymous. Na mensagem, o porta-voz
chama os membros do grupo de "idiotas" e diz que a única coisa que
eles podem fazer é atacar emails, contas do Twitter e afins.
Referências
•
•
•
•
•
•
•
•
•
•
www.cert.br
www.digitalattackmap.com
www.norse-corp.com
http://thehackernews.com
http://blogs.estadao.com.br
http://edition.cnn.com
http://money.cnn.com
http:\\tecmundo.com.br
http://www.decisionreport.com.br
Gartner Group – 3º Seminário de Segurança da
Informação – Febraban – Nov 2014
Obrigada!
Francimara Viotti
[email protected]