A Virustotale CarbonBlackanunciaram mais uma parceria que proporciona um avanço significativo aos analistas de segurança e às empresas que precisam lidar com cada vez mais espécimes diferentes de códigos maliciosos, diariamente.
A Virustotal - empresa espanhola adquirida pelo Googlehá menos de um ano - é a líder mundial em análise de malwares concomitantemente em múltiplos motores de Anti-Vírus (44 para ser exato) - e é uma ferramenta conhecida de equipes de Segurança e Resposta a Incidentes há vários anos.
O CarbonBlacké uma ferramenta revolucionária de resposta a incidentes, que permite que empresas monitorem de 100 a 100.000 máquinas com um baixo investimento em hardware (um servidor a cada 10mil máquinas, sem utilização de appliances) e utilizando apenas um pequeno sensor nas máquinas monitoradas (processos, alterações em file-system, registro, conexões de rede, etc). Eu comecei a acompanhar e testar o desenvolvimento da CarbonBlackem 2011, quando através dos livrose posts de Harlan Carvey fui convencido de sua eficiência e da importância do investimento na preparação pré-incidentes nos endpoints.
O relacionamento entre as duas empresas se iniciou através de um plugin para a ferramenta da CarbonBlack, que permite que todos os processos executados em máquinas monitoradas pela solução sejam verificados pelo VirusTotal (44 anti-vírus). Mas isto é acessível apenas às empresas que possuem a solução CarbonBlack instalada em seus computadores.
Hoje foi anunciada uma parceria que provê dados da cadeia de execução de binários (especialmente malwares), através de uma nova seção acessível nas análises do VirusTotal, chamada "Relationships". Como o CarbonBlack controla quais foram os processos responsáveis pela criação de novos binários no sistema (ou a execução de binários já existentes), situações muito comuns como a exploração de aplicações vulneráveis (Java, Adobe Reader, Browsers, etc) e ataques com vários estágio (exemplo: dropper -> downloader -> backdoor) podem ser investigados de forma rápida e centralizada.
Alguns outros benefícios imediatos da parceria para os clientes de ambas empresas são os seguintes:
Feedback em tempo real da comunidade VirusTotal sobre novos binários executados na empresa;
Update em tempo real de binários suspeitos assim que as diferentes empresas de Anti-Vírus respondem às novas ameaças;
A capacidade de visualizar o relacionamento entre binários para se preparar ,detecar e responder a ataques envolvendo malwares (mesmo os não identificados pela principal ferramenta de AV da organização);
[ Update 14/05/2013 ]
Seguem alguns títulos que li nos últimos meses e que adiciono à lista de livros recomendados sobre Seguranca, Resposta a Incidentes e Forense Computacional:
[ Update 23/11/2012 ]
O Richard Beijtlich publicou hoje uma lista de leituras recomendadas em seu blog, motivada pela solicitação de um Coronel da Força Aérea Norteamericana interessado nos tópico "Cyber":
O site da Digital Forensics Association publicou uma lista extensa de referência bibliográfica. Por uma questão de organização, estou colocando esta lista ao final do post. [ Post Original - 18/12/2009 ]
O treinamento e aperfeiçoamento das equipes internas responsáveis pelo tratamento de incidentes de segurança e forense computacional é certamente a iniciativa de melhor custo-benefício (ou custo-eficiência) que pode ser tomada por uma empresa ou órgão governamental.
Na minha experiência como analista e coordenador de times de resposta a incidentes e como consultor da área, sempre percebi que - apesar de ser a menos valorizada dentre todas as iniciativas necessárias, este investimento fundamental de preparação do corpo técnico é certamente o que faz a diferença na hora de responder a incidentes complexos de forma eficiente.
Em se tratando de treinamento e aperfeiçoamento temos os cursos tradicionais de ferramentas utilizadas pela equipe, cursos de preparação para certificações, os ótimos cursos do CERT.BR (olá Klaus & Cristine) e da Escola Superior de Redes da RNP (oi Jacomo).
Além disto é necessário que haja um interesse contínuo de atualização por parte dos profissionais envolvidos, pois a nossa área requer profissionais extremamente preparados e capazes - afinal normalmente iremos atuar quando todos os outros esforços já falharam e o que resta é que seja feita uma boa e rápida reação ao incidente analisado.
Pelos motivos acima, eu compilei - e pretendo manter atualizada (envie suas sugestões) - uma lista de alguns livros que considero importantes para um time de resposta a incidentes e forense computacional, incluindo o link para a página do livro na Amazon e uma breve descrição sobre o conteúdo de cada título.
Na lista existem livros mais teóricos e outros mais técnicos, e também livros criados especificamente para profissionais de segurança que atuam na defesa de sistemas e os que exploram o modus-operandi de atacantes para que os profissionais de segurança possam se preparar para investigar ataques utilizando estas técnicas.
O objetivo é auxiliar equipes e profissionais na obtenção de mais conhecimento relacionado às áreas de segurança, resposta a incidentes e forense computacional.
Christopher L. T. Brown conseguiu prover um guia prático para coleta e preservação de evidências - considerando topologias de rede, metodologias de criação de imagens forenses, coleta de dados voláteis - é um livro bastante focado na manutenção da integridade das evidências digitais.
Markus Jakobsson e Zulfikar Ramzan escreveram parte e compilaram o restante das várias seções que este excelente livro nos apresenta. Todas elas são focadas no modus operandi atualizadodos criminosos e das ferramentas que estes utilizam (rootkits, bots, spyware, click fraud, etc..).
Com o crescente interesse de outras áreas da empresa em investigações internas utilziando as tecnologias de resposta a incidentes e forense computacional, este livro é fundamental para uma compreensão rápida do mundo da Fraude Corporativa, incluindo as causas de sua existência, fraudes comuns, sinais da sua ocorrência e procedimentos normalmente utilizados por equipes de Anti-Fraude que provavelmente são ou serão clientes internos de seu expertize em resposta a incidentes.
Greg Hoglund e Gary McGraw mostram de forma clara como se explora software vulnerável e apresentam ao leitor diferentes padrões de ataque, ferramentas e técnicas utilizadas em ataques reais. São cobertos temas como engenharia reversam exploração de clientes, servidores, buffer overflow e rootkits.
Richard Bejtlich apresenta neste ótimo livro uma abordagem realista para defesas de ataques ocorridos de dentro de uma organização. O livro aborda o design de redes melhor protegidas deste tipo de ataques, análise de sessões, utilização de forense de rede para entender e identificar a causa raiz de ataques complexos, além de vários estudos de caso interessantes e como respoder estes incidentes utilizando ferramentas open-source.
Brian Carrier detalha a estrutura, funcionamento interno e abordagem de investigação do ponto de vista baixo nível de Sistemas de Arquivos do tipo FAT, NTFS, Ext2, Ext3, UFS1 e UFS2 (se prepare para aprender a ler em hexadecimal).
Neste clássico livro de forense computacional para UNIX, Dan Farmer e Wietse Venema apresentam conceitos fundamentais para investigações modernas, como a ordem de volatilidade, confiança nas informações coletadas, captura e análise de memória, processo de boot, entre outros. Tudo isto utilizando as ferramentas originais criadas por eles no The Coroner ToolKit (TCT).
Esta série de sucesso apresenta técnicas utilizadas por crackers em ataques reais. Dentre os diferentes livros da série, são abordados aspectos como Segurança de Rede, Windows, Linux, Aplicações Web, Web 2.0, Códigos Maliciosos e RootKits, Wireless, entre outros!
Jon Erickson provê um livro de crescente complexidade apresentando os conceitos necessários para compreender e utilizar técnicas de programação para exploração de vulnerabilidades, debug de códigos, codificação de exploits, detalhes importantes de networking, shellcodes e medidas defensivas.
James M. Aquilina, Eoghan Casey e Cameron H. Malin apresentam um guia prático - com ênfase em ferramentas gratuitas - de análise e investigação de códigos maliciosos em situações live e em post mortem. Este extenso livro aborda temas como a coleta de dados voláteis de windows e linux, a análise de dumps físicos e de processos e descoberta e extração de de artefatos em unix e windows.
Steve Anson e Steve Bunting apresentam uma abordagem completa para investigações envolvendo crimes eletrônicos - desde a entrevista inicial com as vítimas, passando pelo entendimento de como atacantes exploram vulnerabilidades em redes reais, detalhes de file-systems, registros, análise de dados voláteis, análise de computadores de suspeitos, utilização do Encase para análise de eventos ocorridos em máquinas Windows, e chegando à fase final de como apresentar tecnicamente as informações processadas para públicos variados, como júris e advogados.
O autor faz uma revisão no início do livro sobre conceitos fundamentais para a Detecção de Intrusões, como endereçamento IP, subnetting, e pacotes, que considerei desnecessária para um livro com este título, porém logo depois ele detalha de forma adequada as soluções de rede e de end-point para uma resposta a incidentes efetiva.
Greg Hoglund e James Butler apresentam neste livro técnicas detalhadas da confecção e utilização de rootkits que subvertem o sistema, proporcionando ao atacante o controle remoto de máquinas, invisibilidade de processos e arquivos e sniffers de teclado. Técnicas avançadas como Hooking, Runtime Patching e manipulação direta de objetos do kernel de máquinas Windows são apresentadas, assim como dicas de como detectá-las durante a investigação de um sistema suspetio.
Jacob babbin, Dave Kleiman, Everret Carter Jr, Jeremy Faricloth e Mark Burnett apresentam neste livro o que é necessário ser feito do ponto de vista de monitoração de eventos de segurança críticos para ser capaz de: investigar intrusões baseados em logs de sistema, construir uma infra-estrutura de relatórios baseada em logs existentes de firewall, sistema, servidores web e ids/ips e como abordar um projeto para implantar uma ferramenta de SIEM (Security Information and Event Monitoring), incluindo a utilização de ferramentas open-source para agilizar o processo.
Andrew Jaquith desafia a dificuldade na medição do "retorno de investimento" (ROI) das iniciativas de segurança neste livro original. São apresentadas melhores práticas para criar e utilizar métricas de segurança dentro de uma coorporação. O livro apresenta técnicas e procedimentos práticos para geração de métricas de cobertura e controle, gerenciamento de vulnerabilidades, qualidade de passwords, latência de correções, e risco ajustado ao negócio. Além disto, técnicas de visualização e apresentação do resultado são exploradas, buscando a apresentação de visões diferenciadas da eficiência das iniciativas de segurança dentro de uma empresa.
Michal Zalewski apresenta neste livro uma maneira criativa e inesperada de abordar a exploração e defesa de ataques sofisticadas, que vão desde a segurança de geradores de números randômicos e sua influência na captura de informações em comunicações encriptadas, emanações TEMPEST, ataques a aplicações web, vulnerabilidades wi-fi, falhas em implementações de fragmentação IP, e a detecção para alguns dos ataques descritos.
Chris Anley, John Heasman, Feliz linder e Gerardo Richarte apresentam a última edição desta bíblia de como explorar computadores do ponto de vista da programação dos shellcodes. São explicados detalhadamente os códigos responsáveis por conseguir explorar as diferentes vulnerabildades em software. Excelente para a compreenção de como falhas são encontradas e como as explorações são pensadas e construídas de forma a obterem o resultado final.
Harlan Carvey neste livro apresenta uma variedade de códigos em linguagem Perl para execução de análise forense (incluindo live response) em máquinas Windows e para Monitoração de Segurança de aplicações.
Lance James mostra neste ótimo livro a evolução do Phishing e as diferentes técnicas utilizadas pelos fraudadores, incluindo Malwares (Trojans), Blind Drops, Cross-Site Scripting, explorações SSL e DNS poisoning.
Keith Jones, Richard Bejtlich e Curtis Rose apresentam técnicas eficientes de live response para máquinas Windows e Unix, Confirmação de ataques detectados, confecção de kits de resposta a incidentes, análise de dados voláteis e não-voláteis, execução e documentação de duplicações forenses, coleta e análise de evidência coletada na rede em ambiente windows e linux e reconstrução de atividades como navegação web, email e mudança no registro de máquinas analisadas.
Richard Bejtlich apresenta neste excelente livro uma abordagem híbrida de segurança e monitoração de rede, e mostra as melhores práticas e o caminho de como construir uma infraestrutura de monitoração de segurança com capacidade de customização de ferramentas existentes para a necessidade da sua rede. Várias ferramentas open-source são apresentadas e analisadas do ponto de vista da integração no framework de NSM (Network Security Monitoring)
Harlan Carvey atualiza nesta segunda edição a melhor referência detalhada de análise forense de máquinas Windows utilizando ferramentas open-source. Repleto de exemplos reais e ferramentas e códigos criados e detalhados pelo próprio autor - é uma maneira eficiente e realista de aprender (ou se atualizar) nas melhores técnicas para análise forense de máquinas Windows, incluindo coleta de dados voláteis, análise de dados, análise de memória, análise de registro, análise de arquivos e seus metadados, análise de executáveis e rootkits.
Esta lista tende a crescer se eu mantiver a média de 4 livros técnicos sobre Segurança no ano. Alguns dos próximos candidatos estão na minha Wish List da Amazon. Caso você tenha algum bom livro a recomendar - faça um mini-review e insira nos comentários!
Advances in Digital Forensics II (IFIP International Federation for Information Processing) (v. 2) Springer;
Alternate Data Storage Forensics by Amber Schroader; Tyler Cohen;
Building a Digital Forensic Laboratory by Andrew Jones, Craig Valli ;
CD and DVD Forensics by Paul Crowley;
Computer and Intrusion Forensics (Artech House Computer Security Series) by George Mohay, Alison Anderson, Byron Collie, Olivier de Vel, Rod McKemmish;
Computer Crimes and Digital Investigations by Ian Walden;
Computer Evidence: Collection & Preservation (Networking Series) by Christopher LT Brown;
Computer Forensics: Evidence Collection and Management by Robert C. Newman;
Computer Evidence (Forensic Crime Solvers) by Michael Dahl;
Computer Forensics: Incident Response Essentials by Warren G. Kruse, Jay G. Heiser;
Computer Forensics: An Essential Guide for Accountants, Lawyers, and Managers by Michael Sheetz;
Computer Forensics: Computer Crime Scene Investigation (Networking Series) by John R. Vacca;
Computer Forensics: Principles and Practices (Prentice Hall Security Series) by Linda Volonino, Reynaldo Anzaldua, Jana Godwin;
Computer Forensics and Cyber Crime: An Introduction by Marjie T. Britz;
Challenges to Digital Forensic Evidence by F Cohen;
Cybercrime and Society by Majid Yar;
Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes AUERBACH;
Digital Crime And Forensic Science in Cyberspace (N/A) by et AL;
Digital Evidence and Computer Crime, Second Edition by Eoghan Casey ;
EnCase Computer Forensics: The Official EnCE: EnCase Certified Examiner Study Guide by Steve Bunting, William Wei;
File System Forensic Analysis by Brian Carrier;
Investigating Computer Crime In The 21st Century: Investigating Computer Crime In The Twenty-first Century by Ronald L. Mendell;
Investigating High-Tech Crime by Michael Knetzger, Jeremy Muraski;
Practical Guide to Computer Forensics: For Accountants, Forensic Examiners. and Legal Professionals by Frank Grindstaff;
Silence on the Wire: A Field Guide to Passive Reconnaissance and Indirect Attacks by Michal Zalewski;
Computer Forensics and Investigations by Bill Nelson, Amelia Phillips, Frank Enfinger, Chris Steuart;
Computer Forensics JumpStart (Jumpstart (Sybex)) by Michael Solomon, Neil Broom, Diane Barrett;
Computer Investigation (Forensics: the Science of Crime-Solving) by Elizabeth Bauchner;
Cyber Criminals on Trial by Russell G. Smith, Peter Grabosky, Gregor Urbas
Cybercrime: Digital Cops in a Networked Environment (Ex Machina: Law, Technology, and Society)
J. M. Balkin;
Cyber Crime Investigator's Field Guide by Bruce Middleton;
Cyber Crime Investigations: Bridging the Gaps Between Security Professionals, Law Enforcement, and Prosecutors by Anthony Reyes; Richard Brittson; Kevin O'Shea; Jim Steel;
Cybercrime: The Transformation of Crime in the Information Age (Crime and Society) by David S. Wall ;
Incident Response and Computer Forensics, Second Edition by Chris Prosise, Kevin Mandia, Matt Pepe;
Mastering Windows Network Forensics and Investigation by Steven Anson, Steve Bunting;
The New Forensics: Investigating Corporate Fraud and the Theft of Intellectual Property by Joe Anastasi;
Perl Scripting for Windows Security: Live Response, Forensic Analysis, and Monitoring by Harlan Carvey, Jeremy Faircloth;
Real Digital Forensics: Computer Security and Incident Response by Keith J. Jones, Richard Bejtlich, Curtis W. Rose;
A Guide to Forensic Testimony: The Art and Practice of Presenting Testimony As An Expert Technical Witness by Fred Chris Smith, Rebecca Gurley Bace;
Hacker's Challenge 2: Test Your Network Security & Forensic Skills by Mike Schiffman, Bill Pennington, David Pollino, Adam J. O'Donnell;
Incident Response: Computer Forensics Toolkit by Douglas Schweitzer;
International Guide to Combating Cybercrime by Jody Westby;
Hacking Exposed Computer Forensics by Chris Davis, Aaron Philipp, David Cowen;
Handbook of Computer Crime Investigation: Forensic Tools & Technology by Eoghan Casey;
Information Risk And Security: Preventing And Investigating Workplace Computer Crime by Edward Wilding;
The Investigator's Guide to Computer Crime by Carl J., Ph.D. Franklin;
High Technology Crime Investigator's Handbook by Gerald L. Kovacich, William C. Boni ;
Investigating Computer-Related Crime by Peter Stephenson;
Malware Forensics: Investigating and Analyzing Malicious Code by Cameron H. Malin, Eoghan Casey, James M. Aquilina;
iPhone Forensics: Recovering Evidence, Personal Data, and Corporate Assets by Jonathan Zdziarski;
Privacy Protection and Computer Forensics, Second Edition by Michael A. Caloyannides;
Forensic Computing: A Practitioner's Guide (Practitioner Series) by A J Sammes, Brian Jenkinson;
Forensic Discovery (Addison-Wesley Professional Computing Series) by Dan Farmer, Wietse Venema;
Foundations to Computer Forensics and Online Crime Investigations (Middle_english Edition) by Luis M Andrade, Wayne P Firestone;
Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes, Second Edition (Information Security) by Jr., Albert Marcella, Doug Menendez’
Guide to Computer Forensics and Investigations, Second Edition by Amelia Phillips, Bill Nelson, Frank Enfinger, Christopher Steuart;
Digital Crime and Digital Terrorism by Robert W. Taylor, Tory J. Caeti, Kall Loper, Eric J. Fritsch, John Liederbach;
Mac OS X, iPod, and iPhone Forensic Analysis DVD Toolkit Syngress;
Scene of the Cybercrime: Computer Forensics Handbook by Debra Littlejohn Shinder, Ed Tittel;
Techno Security's Guide to E-Discovery and Digital Forensics: A Comprehensive Handbook by Jack Wiles;
The Official CHFI Study Guide (Exam 312-49) by Dave Kleiman, Craig Wright, Jesse "James" Varsalone, Timothy Clinton, Michael Gregg;
UNIX and Linux Forensic Analysis DVD Toolkit by Chris Pogue, Cory Altheide, Todd Haverkos;
Transnational Criminal Organizations, Cybercrime, and Money Laundering: A Handbook for Law Enforcement Officers, Auditors, and FinancialInvestigators by James R. Richards;
Windows Forensics: The Field Guide for Corporate Computer Investigations by Chad Steel;
Windows Forensic Analysis Including DVD Toolkit by Harlan Carvey;
Windows Forensics and Incident Recovery (Addison-Wesley Microsoft Technology Series) by Harlan Carvey;
Multimedia Forensics and Security IGI Global ;
Wireless Crime and Forensic Investigation by Gregory Kipper;
Software Forensics : Collecting Evidence from the Scene of a Digital Crime by Robert Slade;
Understanding and Managing Cybercrime by Sam C. McQuade
1. CAMARGO Aranha Filho, Adalberto José Queiroz Telles de; “Crimes na Internet e a legislação vigente”; artigo publicado na Revista Literária de Direito, no 44, p. 23, outubro-dezembro/2002.
2. CASTRO, Carla Rodrigues Araújo de; “Crimes de Informática e seus Aspectos Processuais”.
3. CORRÊA, Gustavo Testa, “Aspectos Jurídicos da Internet”.
4. COSTA, Ana Maria Nicolaci da; “Na malha da Rede”. Os impactos íntimos da Internet.
5. DELMANTO, Celso; Código Penal Comentado.
6. GOUVÊA, Sandra; “O Direito na Era Digital”. Crimes praticados por meio da Informática.
7. LEGISLAÇÃO SOBRE INTERNET NO BRASIL, material elaborado pela Consultoria Legislativa da Câmara dos Deputados:
8. LEONARDI, Marcel; “Responsabilidade Civil dos Provedores de Serviços de Internet”.
9. Livro Verde sobre SEGURANÇA CIBERNÉTICA NO BRASIL, produzido pelo Governo Federal: http://dsic.planalto.gov.br/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.pdf
10. LUCCA, Newton de e Adalberto Simão Filho; “Direito e Internet”. Aspectos jurídicos relevantes.
11. NORONHA, Magalhães; Direito Penal, volumes 1 a 4.
12. PAULINO, José Alves; “Crimes de Informática”.
13. PLANTULLO, Vicente Lentini; “Estelionato Eletrônico”. Segurança na Internet.
14. QUEIROZ, Claudemir. VARGAS, Raffael. “Investigação e Perícia Forense Computacional. Certificações, Leis Processuais, Estudos de caso.”
15. REIS, Maria Helena Junqueira; “Computer crimes”. A criminalidade na era dos computadores.
16. ROSA, Fabrízio; “Crimes de Informática”.
17. VIANNA, Túlio Lima; “Fundamentos de Direito Penal Informático”. Do acesso não autorizado a sistemas computacionais.
[ Update - 28/04/2013 ]
Aproximadamente um mês depois dos ataques, o principal suspeito de orquestar os ataques foi preso na Espanha, enquanto viajava em uma van que servia de "escritório móvel". Trata-se de Olaf Kamphuis, holandês de 35 anos e se auto-entitulou "ministro das telecomunicações e relações exteriores da República de CyberBunker". [ Post Original - 28/03/2013 ]
A "grande mídia" começou a cobrir com mais frequência incidentes relacionados à cibersegurança, e hoje várias fontes publicaram notícias sobre os efeitos de ataques que foram motivados pela briga entre duas empresas holandesas, a SpamHaus (que mantém listas para bloqueios de spam) e aCyberBunker (cb3rob) que hospeda vários spammers e possui como um de seus clientes a WikiLeaks.
Como o assunto começou a ser também comentado aqui no Brasil, resolvi escrever este breve post sobre o caso em pauta. Ataques Distribuídos de Negação de Serviço (Distributed Denial of Service - DDOS) são uma realidade - e um problema - na Internet há muito tempo. Eles ocorrem diariamente, mas geralmente não tem um efeito noticiável nas redes e computadores que não são alvos ou origem dos ataques distribuídos. O mais importante é antes de mais nada deixar claro que um ataque de negação de serviço não "invade" os computadores e redes afetados, mas impede que eles se comuniquem, tendo um efeito desastroso na disponibilidade de serviços online. O ataque não foi o maior ataque já ocorrido na internet (entre outros exageros que foram publicados), mas por ser o maior DDOS já ocorrido, tem importância única e merece destaque. Um outro ponto importante a se cosiderar é que existe uma dificuldade significativa na atribuição de responsabilidade em ataques de negação de distribuídos, especialmente pelo volume de origens utilizadas (usualmente botnets ou farms de servidores em nuvem) e pela possibilidade de se forjar (spoofar) os endereços de origem em certos tipos de ataque (mais informações abaixo). Infelizmente nem todas as redes configuram adequadamente seus equipamentos para evitar este tipo de "falsificação" do endereço de origem. Este tipo de ataque é também muito utilizado por hacktivistas para protestar contra empresas ou contra o governo (há inclusive uma tentativa de legalizar deste tipo de ataque como protesto nos Estados Unidos e na Inglaterra). Há também quem julgue que este tipo de ataque é uma forma de censura, por "calar" o inimigo à força.
As legislações de vários países consideram este tipo de ataque um crime, incluindo a nova legislação que cobre os chamados "crimes eletrônicos", que entrará em vigor na semana que vem em Brasil. Lei n° 12.737 :
Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação: “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública Art. 266. ........................................................................ § 1o Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. § 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR)
Existem várias técnicas diferentes que podem ser utilizadas para efetuar um ataque do tipo DDOS, incluindo a utilização de Botnets (criadas ou alugadas), a utilização de "Booters" como no caso recente ataque ao site do BrianKrebs, a utilização de ferramentas com o consentimento do usuário para ataques de grupos (como o Hoic/Loic), entre outros. Entre todas elas, a mais eficiente foi a utilizada neste caso. [ Ataques de Negação de Serviço Distribuídos utilizando Servidores DNS Recursivos Abertos ] No caso em pauta (a briga entre duas empresas holandesas), de um lado temos a SpamHaus - responsável por lutar contra os spammers, através de blacklists utilizadas por grande parte dos servidores de email do mundo para evitar spams de redes reconhecidamente problemáticas, e de outro o CyberBunker (também conhecida como cb3rob)- empresa de hospedagem que é um paraíso para spammers e outros cibercriminosos - seus termos de uso só banem a pornografia infantil e o terrorismo, o resto vale!
A CyberBunker (e outros participantes coordenados em uma operação chamada #OpStopHaus / site) estava se sentindo incomodado pela frequente inclusão de suas redes nas listas negras da SpamHaus, e decidiu reagir de forma bastante ruidosa. A CyberBunker e seus aliados alegam que a SpamHaus na verdade apenas finge lutar contra o spam, mas o que fazem é censura e que usam "táticas mafiosas" (este link inclui vídeo da CyberBunker falando sobre os ataques).
Um ponto importante sobre a transnacionalidade deste tipo de problema (/incidente/crime) - no ataque em pauta, o principal suspeito (CyberBunker), ao ser perguntado sobre a investigação que está sendo feita por vários países que consideram o ataque ilegal, o porta voz da empresa disse que todos que efetuaram (não necessariamente quem planejou) os ataques não estão em países onde ataques de DDoS são ilegais - CyberBunker entrevistada (no final deste vídeo). O ataque massivo de DDOS teve como o alvo o site da SpamHaus ese iniciou no dia 18 de março, mas nos dias subsequentes ele cresceu muito, a ponto de gerar lentidão na comunicação de algumas redes em diferentes lugares do mundo. Os ataques que inicialmente se direcionavam à SpamHaus (dia 19, 75Gbs) foram progredindo para seus fornecedores de conectividade (upstream providers) e chegaram até as redes que formam a infraestrutra de conectividade da internet (IX - internet exchange). Na imagem abaixo, divulgada pela CloudFlare, é visível o efeito do ataque no London Internet Exchange (também foram afetados os IX de Amsterdam, Frankfurt e Hong Kong. No pico do ataque o trhoughput foi de 300Gbps (300 Gigabytes por segundo).
"In the Spamhaus case, the attacker was sending requests for the DNS zone file for ripe.net to open DNS resolvers. The attacker spoofed the CloudFlare IPs we'd issued for Spamhaus as the source in their DNS requests. The open resolvers responded with DNS zone file, generating collectively approximately 75Gbps of attack traffic. The requests were likely approximately 36 bytes long (e.g. dig ANY ripe.net @X.X.X.X +edns=0 +bufsize=4096, where X.X.X.X is replaced with the IP address of an open DNS resolver) and the response was approximately 3,000 bytes, translating to a 100x amplification factor. We recorded over 30,000 unique DNS resolvers involved in the attack. This translates to each open DNS resolver sending an average of 2.5Mbps, which is small enough to fly under the radar of most DNS resolvers. Because the attacker used a DNS amplification, the attacker only needed to control a botnet or cluster of servers to generate 750Mbps -- which is possible with a small sized botnet or a handful of AWS instances. It is worth repeating: open DNS resolvers are the scourge of the Internet and these attacks will become more common and large until service providers take serious efforts to close them."
Ou seja a CloudFlare - ao redirecionar os pacotes que tinham como endereço os IPs do alvo (SpamHaus) para múltiplos IPs espalhados em vários continentes, aliviou o efeito do ataque e permitiu uma melhor conectividade para as redes próximas ao alvo, mas (potencialmente) afetou as demais redes para onde o tráfego foi redirecionado. Isto normalmente nem é percebido para ataques menores, mas este ataque de 300Gbps, foi diferente. Para o ataque foram utilizados 30.000 servidores DNS "open resolvers". Segundo o Open Resolver Project, já foram mapeados quase 27 milhões de servidores DNS open resolvers na Internet. Curiosamente, nas últimas 12 horas, o CyberBunker está indisponível mas o SpamHaus continua online.
Algumas fontes de notícias tem exagerado nos efeitos deste ataque à SpamHaus, aumentando sua importância para a internet como um todo - alguns estão o chamando de "bomba nuclear digital", entre outros exageros. De qualquer forma, se considerarmos que o último maior ataque DDoS foi de cerca de 10Gbps, é um ataque significativo, sim - e certamente efeitos colaterais foram sentidos.
Vale lembrar que ataques DDOS em servidores de DNS raiz já tiveram um efeito (este sim, devastador) por duas vezes na história da internet - em 2002 e 2007. Um vídeo muito interessante sobre ataques de negação de serviço distribuídos utilizando amplificação de DNS foi feito peloTeam Cymru(também parceiro da Apura):
II - O pessoal da Whitehat Security publicou um "DDoS RunBook" (formato .docx) para auxiliar as empresas a se prepararem para este tipo de incidente de segurança, criando um plano de resposta. Se você faz parte de um time de segurança da informação ou CSIRT, recomendo.
A descrição dos passos do ataque pode ser vista nos parágrafos e imagem abaixo: "Uma das técnicas de DDoS utilizadas atualmente envolve a exploração de servidores DNS recursivos abertos, para gerar grandes quantidades de tráfego de resposta DNS para uma vítima cujo endereço IP está sendo forjado. Um dos problemas fundamentais explorado nesses ataques é o fato do sistema de DNS utilizar UDP (Internet User Datagram Protocol) como protocolo principal de comunicação. Como este protocolo não requer o estabelecimento de uma sessão entre o cliente e o servidor e não possui métodos de autenticação, fica facilitada a ação de forjar a origem de uma consulta DNS.
1 - O atacante publica um registro muito grande, em geral TXT, em um servidor DNS sob seu controle (muitas vezes esse pode ser um servidor previamente comprometido pelo atacante).
2 - O atacante, de posse de uma lista de servidores DNS recursivos abertos, envia a estes servidores centenas ou milhares de consultas pelo registro publicado no passo 1, forjando o endereço IP da vítima, ou seja, colocando o endereço IP da vítima como endereço de origem da consulta (2a). Deste modo, o atacante faz com que as respostas sejam enviadas para a vítima e não para a máquina que fez as consultas. Na primeira consulta recebida por um servidor recursivo este vai buscar a resposta no servidor controlado pelo atacante (2b), nas demais consultas a resposta será enviada diretamente do cache do servidor recursivo aberto.
Em diversos casos documentados as consultas feitas à lista de servidores abertos foram realizadas por uma grande quantidade de bots, o que em geral aumenta ainda mais o volume de tráfego sendo enviado para a vítima.
3 - A vítima recebe as respostas DNS, que costumam gerar uma amplificação de aproximadamente 10 a 80 vezes o tráfego inicial de consultas, pois, para uma consulta média de aproximadamente 50 bytes, podem ser retornados cerca de 4.000 bytes de resposta para a vítima."
Para solucionar o problema dos servidores DNS recursivos abertos é necessário separar os servidores autoritativo e recursivo e atribuir políticas de acesso diferentes a cada um. Isto pode ser feito de duas maneiras:
Colocando os servidores DNS em computadores diferentes, com configurações e políticas de acesso diferentes; ou Utilizando o conceito de views (visões ou vistas) do BIND 9 (Berkeley Internet Name Domain versão 9).
Para a lista completa de sugestões de mitigação para servidores DNS (BIND9 e Microsoft DNS), veja as instruções técnicas diretamente o site do CERT.BR.
VI - Uma dica valiosa para empresas/órgãos preocupados em não participar deste tipo de ataque por possuir servidores mal configurados em suas redes é fornecida no documento do CERT.BR (I) . Trata-se do serviço disponibilizado pelo "DNS Factory" - http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl, onde qualquer um pode solicitar que a lista dos Open Resolvers sobre sua responsabilidade sejam enviadas para os emails de contato (RFC 2142) das redes em questão. (Uma alternativa interessante ao DNS Factory é o DNSInspect).
[ Update: 25/04/2013 ] Leitura obrigatória para quem trabalha na área, o "2013 Verizon Data Breach Report" inclui uma série de informações e métricas interessantes sobre incidentes de segurança ocorridos durante o ano passado. O site do Framework Veris - padrão utilizado para compilar o relatório e já citado neste post - é uma ótima base para as organizações e CSIRTs de coordenação que precisam lidar com fontes diversas de informações de incidentes: http://www.veriscommunity.net/doku.php
O que eu acabei conhecendo é um outro padrão, do CERT / Carnegie Mellon - chamado "The CERT Insider Threat Database" - que é um outro Framework interessante nos mesmos moldes - já incluído na lista de referências abaixo.
[ Update: 27/01/2013 ] Um dos maiores desafios na área de Resposta a Incidentes é o compartilhamento de informações entre entidades - CSIRTs, Backbones, Provedores de Acesso e Forças da Lei - entre outros. Por este motivo, conhecer e divulgar iniciativas bem sucedidas é de suma importância para todos os envolvidos. Um dos grandes problemas que as organizações afetadas por incidentes de segurança enfrentam é a dificuldade de receber e enviar informações sobre os ataques bem sucedidos ocorridos na sua constituência para outras organizações como Grupos de Coordenação de Incidentes (como o CERT.BR e o CTIR.GOV, no Brasil) e até mesmo para Forças da Lei, por exemplo em eventos que precisem ser investigados sob o ponto de vista das novas leis de crimes cibernéticos brasileiras (12735/2012 e 12737/2012). Como o Dr. Emerson Wendt colocou em um artigo conjunto publicado há cerca de 3 anos atrás aqui no blog: "São diversas as ocasiões em que contatamos, com a devida ordem judicial, o suposto administrador da rede responsável e fomos informados que não haveria como repassar a informação correta de qual computador e/ou usuário partiu o acesso criminoso". Nossa experiência mostra que esta realidade se repete há vários anos em vários estados e diferentes esferas federativas. Por este motivo, meu objetivo com este post é chamar atenção para iniciativas já existentes de colaboração na área, seja pelo compatilhamento de eventos ou metadados relacionados a incidentes de segurança ou atividades consideradas indesejadas, seja por padronização na troca de informações que beneficiem os atores envolvidos em um processo de Resposta a Incidente de Segurança. Além do OpenIOC, já citado anteriormente neste post, vale ressaltar algumas outras iniciativas de disseminação e compartilhamento de informações sobre incidentes de segurança (e possíveis crimes cibernéticos), relacionadas abaixo: Padrões Abertos:
A dificuldade de se compartilhar informações sobre incidentes entre organizações é um problema antigo, e existem algumas alternativas que podem auxiliar quem está buscando soluções. Hoje sairam três updates interessantes sobre o assunto:
Python tools for IOC (Indicator of Compromise) handling
[ Post Original: 02/11/2011 ] Framework OpenIOC - Open Indicators of Compromise Considero o projeto iniciado pelo Kevin Mandia (publicado no livro
"Incident Response & Computer Forensics") e agora disponibilizado
oficialmente como um framework aberto (licença Apache 2) o mais
organizado esforço da definição de um padrão (schema XML) que "descreve
características técnicas de ameaças, metodologias de atacantes e outros
indicadores de comprometimento" - útil demais para controle de modus operandi de incidentes, troca de informações intra e entre CSIRTs, interoperabilidade de
ferramentas, entre outros. Falei brevemente do OpenIOC durante uma apresentação sobre os avanços em Resposta a Incidentes e Computação Forense, durante o ICCyber 2010.
