Curso Fundamentos

de Segurança da
Informação

Módulo 01
Sumário

Nesse módulo veremos:

● Tipos de ataques: engenharia social

● Ataques de aplicativo/serviço

2
 Tipos de ataques:
engenharia social –
aplicação e service
Engenharia social

● Prática de enganar ou manipular usuários para que divulguem

informações confidenciais.

● Meios: telefonemas, e-mails, mensagens, etc.

● Truques sociais: obter dados pessoais ou corporativos.

4
Phishing

● Ataque por e-mail: clicar em um link para um site malicioso,

divulgar credenciais ou outras informações privadas.

● Parecerem e-mails de remetentes legítimos: bancos, sistemas de

pagamento online ou sites populares de comércio eletrônico.

● Tipo mais simples de ciberataque e, ao mesmo tempo, o mais

perigoso e eficiente.

5
Spear phishing

● Phishing direcionado a grupos específicos: professores de

universidades, departamentos de uma empresa, etc.

● Nem todo e-mail que parece ter sido enviado pelo CEO ou seu
chefe é um e-mail verdadeiro.

● Os atacantes se passam por executivos de alto escalão e enviam

e-mails para funcionários pedindo dados confidenciais.

6
Whaling

● Phishing direcionado aos executivos da alta administração.

● CEOs e outros executivos de alto escalão têm acesso a

informações confidenciais.

● Induzir um executivo de alto nível a transferir fundos para a

conta do atacante.

● Educar o pessoal da gerência sênior e executivos de alto escalão.

7
Vishing

● Contato feito por telefone, para obter informações financeiras e

pessoais das vítimas.

● Parcial ou totalmente automatizadas.

● Golpe comum: pagamento de boletos alegando cancelamento de

serviços ou dívidas.

8
Como reconhecer um Phishing

● Está mal escrito.

● O logotipo não parece correto
● O URL não corresponde
● Solicita informações ou a realização de procedimento
relacionado a autenticação
● Apresenta um senso de urgência

9
Tailgating

● Acesso de um atacante numa área protegida.

● O atacante entra seguindo uma pessoa autorizada.

● Sem intenção de ajuda por parte da pessoa autorizada.

● Controles físicos podem ser eficazes.

11
Impersonation (Representação)

● O invasor se passa por uma pessoa autorizada.

● Funcionário de banco ou um técnico de Internet.

● Obter credenciais de usuários e informações privadas.

● Obter acesso a uma área de infraestrutura de TI.

● Instalar um dispositivo não autorizado para roubar ou destruir

dados.

12
Dumpster diving (Mergulhar na lixeira)

● Vasculhar o lixo buscando dados confidenciais em documentos

que foram jogados fora.

● Uso de informações pessoais para fraudes financeiras, ataques

de whaling e engenharia social.

● Proteção: Uso de trituradores ou outros meios para destruir

papéis com informações importantes.

13
Shoulder surfing (Surfe de ombro)

● Espiar “por cima do ombro de alguém”.

● Obter furtivamente informações confidenciais.

● Prevenção: apenas uma pessoa por vez em caixas eletrônicos.

● Prevenção: filtros de tela em monitores.

14
Hoax (Farsa)

● Mensagem maliciosa para incomodar.

● Usa boatos, correntes, lendas urbanas, etc.

● Causar alarmes e confusões desnecessárias.

● Perda de tempo e recursos alocados.

15
Watering-hole attack

● Injeção de código malicioso em um site que um usuário

conhecido provavelmente visitará.

● Alvo identificado por outras técnicas de engenharia social com

antecedência.

● Estudo da rotina de navegação da vítima.

● Quando o alvo visita o site, o código infecta o computador e

permite que os atacantes acessem remotamente a máquina
infectada.

16
Princípios(razões para eficácia) da Engenharia Social

Baseados na psicologia humana para tornar os ataques mais

eficazes.

● Autoridade: As pessoas tendem a fazer o que alguém em uma

posição de autoridade diz o que deveriam fazer. Usado em
ataques de vishing, whaling e impersonation.

● Intimidação: Falsificação de identidade para intimidar. Eficaz em

ataques de vishing e impersonation.

● Consenso: Exploração da inclinação humana de comprar um

produto ao ter recebido muitas avaliações favoráveis. Usado em
ataques de trojan e hoax.
17
Princípios(razões para eficácia) da Engenharia Social

Baseados na psicologia humana para tornar os ataques mais

eficazes.

● Escassez: Tendência de realizar uma ação quando se sabe que os

estoques estão limitados. Aumenta a eficácia dos ataques de
Cavalo de Tróia e phishing.

● Familiaridade: Quando uma pessoa admirada ou querida sugere

fazer algo, as pessoas tendem a concordar. Desenvolvimento de
relacionamento com o alvo antes de iniciar um shoulder surfing
ou um ataque tailgating.

18
Princípios(razões para eficácia) da Engenharia Social

Baseados na psicologia humana para tornar os ataques mais

eficazes.

● Confiança: As interações entre indivíduos são baseadas na

confiança. Consiste em ganhar a confiança do alvo antes de
efetuar um ataque.

● Urgência: Se algo for urgente, as pessoas vão agir

imediatamente. Empregado por invasores durante ataques de
ransomware, hoax, whaling, phishing e vishing.

19
Ataques de
aplicativo/serviço
DoS

● Negação de serviço (DoS).

● Ataque de serviço lançado por uma única fonte de ataque para

um único alvo.

● Interrompe um serviço fornecido pelo sistema de destino.

● Aplica uma carga muito alta nesse serviço ou aplicativo.

21
DDoS

● Negação de serviço distribuído (DDoS).

● Ataque de serviço lançado por mais de um computador contra

um único alvo.

● Consumo de placa de rede, memória e processador

extremamente alto.

● Interrompe um serviço fornecido pelo sistema de destino.

● Ex: um servidor web recebe um número excepcionalmente alto

de solicitações HTTP por segundo.

22
Tipos de Ataques DoS

● Ataques baseados em volume: sobrecarregar uma rede com

grandes quantidades de tráfego
● Inundação UDP, Reflexão/amplificação de DNS, Flood de ICMP
● Ataques de protocolo: solicitações de conexão mal-
intencionadas que exploram as comunicações dos protocolos.
● Ataque flood de SYN, Ataque Smurf, Ping of Death
● Ataques à camada de aplicativo: Realizados por meio da
inundação de aplicações com solicitações mal-intencionadas, os
ataques à camada de aplicação
● NTP Amplification, HTTP flood,

23
Exemplo de um Ataque DDoS - Inundação UDP

● Ao receber um pacote UDP o destino:

1. Verifica se há algum programa em execução que esteja escutando solicitações na porta

especificada.

2. Se nenhum programa estiver recebendo pacotes nessa porta, o servidor responderá com um pacote
ICMP para informar ao remetente que o destino estava inacessível.

24
Defesa contra Ataques DoS

● Depuração em nuvem de DDoS: Enviar o tráfego de rede para

um serviço de nuvem. Este redirecionamento pode ser realizado
por alteração do anúncio de rota do BGP (Border Gateway
Protocol) ou de um redirecionamento do DNS (um registro ou
CNAME).
● Defesa baseada em CDN (Rede de Entrega de Conteúdo): usado
acelerar o tráfego dos protocolos HTTP e HTTPS e com isso
acaba descartando qualquer ataque de camada 3 ou 4.
● Usar Web Application Firewall: combater ataques avançados
como inundações HTTP GET e HTTP POST
● DNS distribuído: vários servidores espalhados pelo mundo.

25
Man-in-the-Middle (MITM)

● Ato de espionagem ou interceptação.

● O atacante posiciona um sistema comprometido entre dois

computadores que se comunicam em uma rede.

● Programado para receber pacotes de ambos os computadores e

encaminhar o tráfego entre os dois sem que saibam que um
ataque MITM está em andamento.

● Pode interceptar tráfego, inserir malware e encaminhá-lo para

ambos os computadores.

● Autenticação pode ajudar contra MITM.

26
Estouro de buffer

● Vulnerabilidades na memória de um computador.

● Uma parte da memória alocada para um aplicativo é chamada de

buffer.

● Quando um aplicativo recebe uma entrada além do que está

programado para receber, ele retorna um erro que abre o acesso
à área de memória além do buffer.

● Oportunidade de incorporar código malicioso na área da

memória exposta pelo erro do aplicativo.

● Pode resultar em um ataque DoS.

27
Injeção

● O invasor injeta uma entrada não autorizada em um programa.

● Destinadas a aplicativos web.

● Acontece se a validação de entrada não for completa.

● A entrada não autorizada é processada como uma consulta e

pode modificar a maneira como um programa funciona.

● Negação de serviço e perda de dados, perda de integridade de

dados e roubo de dados.

28
Cross-site scripting

● Ataque de injeção comum chamados de XSS.

● Permite que um invasor se faça passar pelo usuário, modifique o

aplicativo e execute JavaScript arbitrário no navegador web do
alvo.

● O invasor injeta um script malicioso, geralmente em JavaScript,

em um aplicativo da web ou site.

29
Falsificação de solicitações entre sites

● Cross-Site Request Forgery (XSRF ou CSRF).

● O invasor engana o usuário fazendo com que ele execute uma

ação em um site sem saber.

● Ex: clicando em um link HTML criado especificamente para esse

fim.

● Possíveis em qualquer site que inclua ações por meio de links

HTML.

● Informações de autenticação armazenadas no cache do

navegador do usuário como um cookie.

30
Falsificação de solicitações entre sites (proteção)

● CSRF Tokens: Criar um campo oculto no formulário com um token

único por usuário. Esse token fica salvo na sessão do usuário no
servidor e, quando o formulário é postado, o token enviado é
comparado com o que se tem na sessão, lá no servidor.
● Atributo SameSite para cookies: indicará ao navegador para
restringir o envio do cookie conforme as seguintes configurações:
● Strict; o navegador não enviará o cookie em nenhuma requisição cross-site
sob nenhuma hipótese.
● Lax, ele apenas não enviará o cookie em requisições “inseguras” (aquelas que
usam o método POST, por exemplo), mas ele enviará o cookie nas requisições
cross-site “seguras”, como as que usam os métodos GET, HEAD, OPTIONS e
TRACE.

31
Escalada de privilégios

● Obter direitos e permissões superiores e vantagens elevadas.

● RATs (Trojan Access Remote) podem ser usados para mudar os

privilégios.

● Podem ser evitados com a implementação de uma política de

segurança.

32
Poisoning ARP

● O invasor modifica o endereço MAC.

● Cria solicitações ARP falsificadas e pacotes de resposta.

● Usa os pacotes de resposta para envenenar o cache ARP da

vítima.

● A vítima, sem saber, transmite pacotes de dados para o sistema

do invasor, em vez do destino legítimo.

● Perda de confidencialidade e dados.

● Facilita os ataques MITM e DoS.

33
Amplificação

● O invasor falsifica seu endereço IP e envia solicitações DNS para

servidores DNS usando o endereço IP falsificado.

● Solicita que os servidores DNS de destino enviem muito mais

dados do que o normal. Pode ser lançado de várias fontes ao
mesmo tempo.

● A vítima é inundada com solicitações, levando ao esgotamento

da capacidade: abordagem DDoS.

● O tráfego de e para o computador de destino aumenta muito.

34
DNS poisoning ou envenenamento de DNS

● Altera os resultados do DNS.

● Os endereços IP podem ser modificados pelo servidor DNS

comprometido e os usuários podem ser direcionados para sites
maliciosos.

● Evitar o envenenamento do DNS: uso de extensões de segurança

do sistema de nomes de domínio (DNSSEC).

35
Domain hijacking (sequestro de domínio)

● O invasor modifica o registro do nome de domínio sem a

permissão do proprietário do domínio.

● Captura o domínio e impede que o proprietário original acesse o

site.

● O invasor redefine a senha no site do registrador de domínio e

altera a propriedade do domínio, evitando assim que os
proprietários acessem seu próprio site.

36
Zero day (dia zero)

● Um bug ou fraqueza desconhecida do público e às vezes até

mesmo dos fornecedores de antivírus.

● O invasor explora uma vulnerabilidade que ainda não foi

documentada.

● Quando o fornecedor fica sabendo de uma vulnerabilidade, ele

cria um patch para neutralizar a ameaça.

● A ameaça continua a ser classificada como vulnerabilidade de dia

zero até que o fornecedor libere o patch.

37
Replay (ataques de repetição)

● Um invasor captura dados de uma sessão de comunicação para

um ataque de impersonation (representação) numa data
posterior.

● O atacante intercepta as credenciais de autenticação dos

clientes na sessão.

● Durante um ataque de repetição, o invasor tenta se passar por

um dos clientes legítimos da sessão capturada.

38
Pass the hash (PtH)

● O atacante descobre a senha com hash e a usa para acessar o

sistema do usuário.

● Um hash não deve ser transmitido por uma rede de forma não
criptografada.

● Ocorrem com alguns protocolos de segurança mais antigos,

como NTLM e LAN Manager (LM).

● Para evitar: Kerberos ou NTLMv2.

39
Clickjacking

● O invasor induz os usuários a clicar em um link diferente daquele

em que pretendiam clicar.

● Frames HTML: possibilitam que uma página da web mostre

outra página dentro de um frame ou iframe.

● Proteção: quebrar frames ou torná-los impraticáveis para que os

invasores não consigam exibir outro site.

40
Sequestro de sessão ou Session hijacking

● Cookie: arquivo com uma ID de sessão armazenado automaticamente

para a conveniência dos usuários.

● O invasor usa a ID de sessão para representar os usuários.

● O servidor web não distingue entre um usuário legítimo e um

personificador se a mesma ID de sessão for usada.

● O invasor incorpora os ID de sessão ao cabeçalho HTTP e os transmite

ao site.

● Se usuários legítimos estiverem conectados com esses IDs de sessão

na próxima vez que visitarem, o atacante obtém acesso às contas dos
usuários.

41
URL hijacking e Typosquatting

● Aquisição de um nome de domínio quase idêntico a um nome de

domínio legítimo.

● Induz a visita de um site mal-intencionado em vez do site

original.

42
Manipulação de driver - Shimming

● Shimming: desenvolvedores escrevem código para ser

executado no lugar de um driver antigo/incompatível.

● Shimming pode ser usado para manipular drivers e incorporar

código malicioso neles.

● Infecção do Sistema Operacional e fazê-lo executar um código

malicioso.

43
Refactoring

● Técnica de reescrever o funcionamento interno de um programa

sem alterar sua saída externa.

● Originalmente usado para resolver problemas de design de

software.

● Invasores podem usar refactoring para manipular os drivers.

44
MAC spoofing

● O invasor modifica o endereço MAC de origem para se passar

por um usuário ou sistema.

● Uso técnicas de software para relacionar outro endereço MAC à

NIC.
IP spoofing
● O invasor modifica o endereço IP de origem para fazer com que
pareça que o pacote IP é de outra origem.

45
Fim do Módulo 1