diff --git a/1ano/1semestre/iei/infor2022-ap-g16/README.md b/1ano/1semestre/iei/infor2022-ap-g16/README.md new file mode 100755 index 0000000..d71ae3a --- /dev/null +++ b/1ano/1semestre/iei/infor2022-ap-g16/README.md @@ -0,0 +1,3 @@ +# Introdução à Engenharia Informática - 2022/2023 +## Grupo 16 - [Rúben Gomes](https://github.com/RubenCGomes) e [Tiago Garcia](https://github.com/TiagoRG) +#### Trabalho de Aprofundamento e Projeto Final sobre Cibersegurança diff --git a/1ano/1semestre/iei/infor2022-ap-g16/projeto/about.html b/1ano/1semestre/iei/infor2022-ap-g16/projeto/about.html new file mode 100644 index 0000000..79a88bb --- /dev/null +++ b/1ano/1semestre/iei/infor2022-ap-g16/projeto/about.html @@ -0,0 +1,83 @@ + + +
+ +
+ Trabalho realizado no âmbito da cadeira de Introdução à Engenharia Informática, da Licenciatura em Engenharia de Computadores e Informática.
+ Código fonte disponível no Repositório do GitHub
+ Realizado pelos autores (e respetivas contribuições):
+ Rúben Gomes • (50%)
+ Tiago Garcia • (50%)
+
+ 2022-2023
+
+ Universidade de Aveiro
+ Departamento de Electrónica, Telecomunicações e Informática
+
+ Para este trabalho, foram usadas diversas bibliotecas para um melhor aspeto do mesmo. A biblioteca Bootstrap foi usada para a criação do menu de navegação, e a biblioteca jQuery para a criação do menu de navegação responsivo. Foi usado um Bootstrap de tema escuro para um aspeto visual mais agradável. + Também foi usado o jQuery para a criação de um menu de navegação responsivo. +
++ Em grande parte do projeto foram usados stylesheets e scripts personalizados para a criação de efeitos visuais, mapas, entre outros. +
++
+ Conjunto de malware e software com capacidade de afetar o funcionamento normal de equipamentos digitais. Muitas vezes usadas para ciberterrorismo e causar danos graves com o intuito de lucrar ou impossibilitar o trabalho usual de uma entidade. +
++ Botnets são robos digitais que conseguem infetar dispositivos tal como um vírus e a partir de aí permitir que utilizadores remotos tenham acesso à máquina onde se encontram alojados. Estas máquinas são muitas vezes usadas para realizar tarefas ilícitas e ilegais por parte do utilizador remoto sem este ser exposto por não ser a máquina do mesmo a realizar as ações. +
++ Estes botnets podem contaminar computadores, dispositivos móveis, routers e dispositivos IOT (Internet of Things). +
++ Da mesma maneira que um vírus tenta infetar o corpo humano por falhas no sistema imunitário, também estes bots tentam infetar os dispositivos através de falhas de segurança. é possível detetar que o dispositivo se encontra infetado a partir da deteção de comportamentos anormais por parte da máquina, por exemplo, quando esta trabalha de forma mais lenta do que o normal ou quando durante a utilização aparecem mensagens de erro aleatórias. +
+Dentro dos botnets existem dois tipos: Cliente Servidor e Peer-to-Peer
++ Estas ameaças são das mais comuns e mais utilizadas pela comunidade de atacantes. O objetivo destes ataques é levar o consumo de recursos do servidor/aplicação ao limite. Uma vez sem recursos disponiveis, o servidor acaba por ter falhas de funcionalidade ou pode chegar mesmo a ir abaixo, ficando offine. A quantidade deste genero de ataques têm aumentado substancialmente, segundo a Microsoft, a Azure Networking registou, em 2021, um aumento de 25% a mais de casos de DDoS em relação a 2020. +
++ Durante estes ataques, um conjunto de Botnets ataca uma aplicação/servidor visando desgastar e levar o consumo de recursos ao limite. Fazem isto procedendo ao uso exagerado de solicitações Hypertext Transfer Protocol (HTTP). Visto que os atacantes usam estes bots, conseguem também acesso à base de dados, podendo conseguir roubar informação sensivel e, visto que os recursos do servidor já estão no limite, os proprietários e responsáveis pela segurança do servidor têm dificuldade na defesa do seu sistema. Estes ataques podem demorar diversos intervalos de tempo, desde minutos até mesmo dias. +
++ Durante um ataque DDoS podem ser usados apenas um ou mais destes tipos, muitas vezes começa como um dos tipos para debilitar os sistemas de segurança para que depois possam ser usados ataques de exaustão do sistema. +
+Por vezes estas ameaças e armas cibernéticas são usadas para criar guerras. Estas são muito prejudiciais para as vítimas da guerra, mas benificial para o atacante, pois este consegue muitas vezes vencer a guerra sem qualquer custo para si, mas leva a sérios danos à vítima, explorando falhas de segurança nos seus sistemas.
+As vítimas são muitas vezes países ou empresas e não entidades pequenas, atacados não apenas dados das entidades mas também os próprios sistemas, levando ao corrompimento de parte do functionamento da entidade.
+Estas guerras são também usadas no roubo de informação desde dados simples até mesmo dados bancários ou na espionagem de dados militares, ou diplomáticos. Outro uso dado a estas guerras é a corrupção e a manipulação de dados para benificio de uma certa entidade como acontece em algumas disputas de poder.
+Exixtem duas formas de guerras: ARC e ERC.
++ Estas guerras são responsáveis pela destruição e degradação de redes e da informação com a qual estas trabalham. Podem ser usados DDoS para provocar sobrecarga no servidor fazendo pedidos de informação de quantidade superior à que o servidor aguenta ou podem-se criar bloqueios nos servidores para impedir o acesso aos mesmos por parte dos utilizadores. +
++ Estas guerras são as responsáveis pelo espionamento de entidades e por vezes provocar danos colaterais na rede durante o processo. +
++ Tal como o nome sugere estas ameaças procuram tirar proveito de falhas em sistemas bancários quer bancos financeiros, quer bancos de dados. Com a exploração de vulnerabilidades nestes bancos, o atacante consegue um grande acesso à informação dos utilizadores, usando essa informação para proveito próprio posteriormente. +
++ Muitos dos sistemas usam uma API (Application Programming Interface) que permite a utilização do sistema por parte de aplicações externas. Por exemplo, o PayPal tem uma API que permite que outras aplicações o usem como método de pagamento. No entanto, estas APIs são também bastante sujeitas a ataques DDoS, entre outros. Outro problema com a sua encriptação é o baixo nível da complexidade das chaves de autenticação usadas (muitas vezes são pins numéricos com poucos digitos). +
+Este género de malware pode conseguir roubar a informação do dispositivo, inutilizar aplicações. Estas ameaças podem facilmente se espalhar através do Bluetooth.
++ Com estes malwares, o utilizador corre o risco de ter dinheiro, informação pessoal/profissional/empresarial roubadas, podendo ser posteriormente vendidas no mercado negro da internet. +
++ Com o passar dos anos, as tecnologias que temos ao nosso dispor têm evoluído de uma forma rápida e sem fim, como, por exemplo, o hardware de um computador. Mas, com constantes evoluções, também vem uma necessidade de responsabilidade, pois com quanto mais recursos existirem, maior será o impacto de danos a indivíduos ou entidades. +
++ Dito isto, neste website iremos apresentar diversos tipos de ameaças cibernéticas, bem como as principais vulnerabilidades métodos para as detetar e as soluções de segurança que existem para as ameaças. +
++ Quando os sistemas e ambientes digitais foram criados não existia quase nenhuma interação entre dispositivos e a pouca que existia era efetuada por cabo. Porém, quando a internet foi criada, a interação entre dispositivos digitais aumentou e com isso, tal como acontece com interações humanas, vieram diversos perigos e ameaças aos utilizadores. Da mesma forma que existem crimes no mundo físico também existem crimes digitais e da mesma forma que existem soluções e entidades responsáveis pela prevenção e combate a crimes físicos, também os mesmos existem para o mundo digital, proporcionando cibersegurança aos utilizadores da internet e ambientes digitais. +
++ Como é óbvio, para a automatização quer seja para os sistemas de ataque ou para os sistemas de defesa é usada bastante programação e como isto não são sistemas dísponíveis a todos os utilizadores, cada hacker cria a sua aplicação à sua maneira para atingir os seus objetivos. +
++ Todos os hackers optam pelo uso de uma distribuição de linux a seu gosto e embora a maioria delas funcionem, o Kali Linux é o mais usado por ter uma grande quantidade de ferramentas dedicadas à área. Esta ferramenta encontra-se mais detalhado aqui. +
++ Para combater todas as ameaças cibernéticas e combater possíveis falhas de segurança, é necessário encontrar soluções de defesa do sistema e dos servidores. Há diversas formas de melhorar a segurança e de testar o sistema contra as ameaças, mesmo sem o danificar. +
+ ++ Por mais que a cibersegurança tenha de ser assegurada pela entidade responsável pelo sistema em questão, a verdade é que o usuário comum deve ajudar no combate às ameaças e ataques cibernéticos. Pode começar pela instrução dos usuários para um melhor uso da internet e outras tecnologias web no intuito de não serem tão facilmente expostas. O não abrir ligações desconhecidos ou suspeitos, não cofiança em toda a informação disponível online (pois acaba por vezes por ser maliciosa), a não transferência de ficheiros e aplicações sem que o seu criador ou gerenciador seja confiável e o não uso de sistemas web piratas, pois com eles podem vir uma data de problemas. +
++ As empresas de tecnologia têm um papel bastante importante no que toca à segurança tanto dos seus sistemas como dos usuários dos seus serviços. Para isto as empresas têm de implementar medidas para promover esta mesma segurança. Para isto, um dos primeiros passos pode ser o teste da sua segurança que passa por provocar um ataque aos seus próprios sistemas (usando Owasp-Zap para realizar Pen Testing para poderem proceder à deteção das suas vulnerabilidades para posteriormente corrigirem os seus problemas e falhas de segurança. Outra medida que podem tomar é a monitorização a tempo inteira dos seus recursos e do tráfego dos seus serviços para garantir o bom funcionamento dos mesmos (principalmente para empresas grandes) bem como a resposta rápida por parte da empresa no evento de um ataque. Outro possível método, para a proteção de dados dos usuários, é o uso de diferentes servidores para que a informação não roubada caso algum tenha problemas. +
++ O gráfico seguinte apresenta o número de ataques cibernéticos por ano desde 2016 até à primeira metade de 2022, dados da Statista. +
+ ++ A imagem representa os custos atuais gastos em soluções de cibersegurança, em Dólares Americanos. +
+ ++ A análise de vulnerabilidades no papel da Cibersegurança é muito importante. Sem ela, não existiria nenhuma melhoria no ramo de combate às ameaças cibernéticas, pois sem desenvolvimento, não haveria métodos de nos proteger dos diversos tipos de ataque que se conhecemos. +
++ Este tópico é dividido em vários ramos, como a Digital Forensics, a Incident Response, entre outros. +
+ ++ A Digital Forensics é, como o nome indica, a forense digital, e é a obtenção e análise de dados de uma forma pura, sem quais quer tipos de distorção e sem tendências para qualquer lado, de modo a reconstruír o que se passou no passado com o sistema. +
++ Tem como objetivo examinar dados de sistemas, ativdidade de utilizadores do sistema, programas em execução, entre outras métricas que possam ajudar a determinar se está a decorrer um ataque e quem está por detrás do ataque. +
++ Deve-se ter sempre em conta a preservação dos dados. Se o caso a ser estudado for levado a tribunal e se descobrir que os dados foram, de qualquer forma, manipulados, é o suficiente para a prova de esses mesmos dados ser completamente anulada, e até mesmo levar o caso contra quem apresentou essa prova. +
+ ++ Com a DFI, entra-se na parte judicial das investigações. É uma investigação mais especializada, pois devem-se usar métodos e técnicas que permitam a que as evidências apresentadas possam ser admissíveis num tribunal. +
++ O grande objetivo é chegar à causa raíz do problema/evento e garantir com clareza que as evidências não foram manipuladas de forma alguma, não levantando quaisquer questões ou dúvidas. +
+Deve ser realizado um DFI, por exemplo:
+ ++ Existem dois tipos conhecidos de métodos de análise de evidências, o Método Tradicional e Método Vivo +
+ ++ O método tradicional consiste na análise de evidências com o sistema desligado, acedendo ao disco num modo inalterável(read-only), e examinar, por exemplo: +
++ O método vivo resulta da análise da máquina, com a mesma ligada. Pode ser usado como prova um screenshot da máquina. No caso de ser necessário examinar um disco, pode demorar algum tempo, especialmente se for de grande capacidade de armazenamento. +
+ ++ Incident Response(resposta ao incidente) é o procedimento que um sujeito ou, nomeadamente uma empresa toma para que se prepare, detete, contenha e recupere de uma eventual perda de dados. +
++ Esta é bastante importante em empresas para minimizar os danos eventuais de uma invasão de dados, ou seja, não haver perda de dados e, até mesmo, impedir que a mesma aconteça. +
++ Existem várias equipas específicas para cada tipo de invasão, como Computer Incident Response Teams (CIRTs), Computer Emergency Response Teams (CERTs), entre outras. +
++ A Threat Intelligence baseia-se na obtenção e análise de informações que ajudem a identificar possíveis ataques. Esta vem com o benefício de ter uma segurança proativa, ou seja, evitar qualquer tipo de ameaças a uma empresa. +
+O seguinte esquema demonstra no que constitui uma Kill Chain:
+ +As 7 fases de um ataque cibernético
++ Também é importante mencionar as inúmeras organizações que ajudam e facilitam o combate aos ataques cibernéticos, sendo a mais destacada a MITRE ATT&CK. +
++ A MITRE ATT&CK é uma organização focada na obtenção de informações de ciberataques apenas por observação do que acontece no mundo digital. É conhecida por ter uma vasta base de dados de ataques com informações de quase todos os ataques que aconteceram. +
++ Além de identificar os problemas, também disponibiliza soluções para os mesmos, tudo isto sem qualquer custo tanto para uso pessoal como para uso empresarial. Isto obviamente reforça a ideia de colaboração, que é bastante importante no ramo da informática. +
+ ++ É muito importante ter em conta a ordem de volatilidade dos ficheiros criados por um sistema, pois devemos começar sempre pelos ficheiros que estão mais em contacto com o sistema (como ficheiros cache, RAM, etc.). A ordem por base no tempo em que estão disponíveis e acessíveis é, respetivamente, pela seguinte ordem: +
++ A seguinte ordem é importante pelo facto de ao examinar um sistema, é preciso ter precisão para encontrar a origem do problema, e na maioria dos casos essas evidências estão na memória gerada pelo sistema no instante em que ocorre o ataque, sendo esse o foco principal de um investigador. +
+ ++ A análise de evidências é muito importante para o desenvolvimento de métodos eficazes para combate a malwares, pois permite-nos examinar máquinas afetadas por qualquer tipo de ameaça. Estas podem ser, por exemplo: +
++ Quando se fala em vulnerabilidades, refere-se a uma possível falha num sistema que, a partir da mesma, pode ser comprometido o sistema, o utilizador ou uma empresa. Deve ser encarada como algo de alta prioridade, e deve ser resolvida o quão antes possível, antes que ocorra algo inesperado. Por este motivo deve sempre existir a identificação, análise e retificação de vulnerabilidades. +
++ Como forma de ajuda a combater vulnerabilidades, existem vários websites com as vulnerabilidades mais comuns, e todas as informações necessárias para poder saber a sua origem e como combatê-las. +
+ ++ A CVE é um projeto da MITRE, cujo intuito é identificar, definir e catalogar as várias vulnerabilidades que existem no mundo digital. Estas ameaças são sempre publicadas por parceiros da própria CVE, obtendo assim uma consistência nas descrições das vulnerabilidades, para quem desejar explorar múltiplas vulnerabilidades e não ter muitos conflitos com as explicações das mesmas. +
+ ++ A CVSS é um sistema que atribui a cada vulnerabilidade um grau de gravidade. Este é classificado do seguinte modo: +
+Severity | +Base Score Range | +
---|---|
None | +0.0 | +
Low | +0.1 - 3.9 | +
Medium | +4.0 - 6.9 | +
High | +7.0 - 8.9 | +
Critical | +9.0 - 10.0 | +
+ A tabela acima representa os graus de gravidade na classificação CVSS +
++ Apenas são usados valores definitivos, que significa que não vai existir mudança de valores para uma vulnerabilidade. Daí surgir a importância de uma calculadora capaz de medir com precisão o grau de gravidade de uma vulnerabilidade. Se a mesma se agravar, é criado um novo catálogo com a nova ameaça. +
+ ++ A CWE é outro projeto da MITRE, que lista todos os tipos de fraquezas de software e hardware comuns. Uma fraqueza é uma condição num software, hardware, firmware ou serviço que pode vir a introduzir uma vulnerabilidade a partir delas. +
++ O grande objetivo da CWE é parar as vulnerabilidades na sua raíz, educando qualquer pessoa que trabalha no ramo da informática, de modo a evitar erros comuns e contribuir para um espaço mais seguro numa empresa. +
+ ++ O OWASP é uma fundação open-source com o intuito de melhorar a segurança de software no geral, ensinando pessoas pelo mundo todo para existir uma web mais segura. +
++ Dentro desta fundação, foi criada um projeto bastante importante no mundo + cibernético, o OWASP Top Ten. Este projeto consiste em, no final de cada ano, organizar um top 10 das ameaças mais comuns nesse mesmo ano. É feito sempre uma comparação com anos anteriores para verificar as mudanças e melhorias que aconteceram. Ao ser realizada a comparação, consegue-se saber se houve melhorias face ao combate de vulnerabilidades anteriores, as novas vulnerabilidades introduzidas e uma breve explicação de cada uma delas. +
++ No seguinte esquema, está representada a comparação das vulnerabilidades do ano 2017, e do ano 2021: +
+ +Comparação das ameaças mais comuns entre 2017 e 2021
++ Para poder examinar e tirar conclusões de anomalias nos sistemas, é necessário utilizar ‘software’ dedicado para este tipo de problemas. Os softwares mais utilizados são o Autopsy, o OWASP-ZAP, e o Docker. +
++ Também é importante referir que para examinar discos e outras unidades de memória, é necessário usar uma máquina virtual Kali. +
+ ++ O Kali é um sistema operativo Linux de base Debian. É usada especificamente para análise de vulnerabilidades, invasão de redes, entre outros fins de forense. No website oficial existem várias opções de download do Kali. Uma das mais utilizadas para análise de máquinas é a Live Boot. +
++ A Live Boot consiste num sistema operativo temporário e inalterável, ou seja, ao reiniciar ou desligar, volta às definições default. Como não se pode fazer alterações definitivas na máquina, ela tem de estar pré-definida com os programas necessários para qualquer tipo de análise. Por ser um sistema inalterável, tem a vantagem de ser possível mexer nas evidências sem correr o risco de alterar as mesmas, algo que invalidaria automaticamente as provas. +
++ Por ser um sistema de base Linux, grande parte dos sistemas de ficheiros são acessíveis, algo que não é possível num sistema Windows. +
++ Existe também a possibilidade de usar o Kali em máquina virtual, usando um disco virtual, que significa que guarda todas as alterações como um computador faria. Este tipo de máquina é usada para explorar vulnerabilidades, por exemplo, em redes. +
++ Estas ferramentas devem ser usadas explicitamente com o consentimento total da vítima, sendo estritamente proibido realizar um ataque não autorizado a qualquer empresa ou indivíduo. São apenas ferramentas para fundos de educação. +
+ ++ O Autopsy é uma aplicação open-source que é capaz de analisar quase todos os tipos de discos, e foi escrita em Java. Esta usa plugins feitos pela comunidade para uma experiência customizável para cada utilizador, permitindo assim uma livre escolha dependendo das necessidades de cada pessoa. +
+Esta aplicação é focada em vários campos, como, por exemplo:
++ A grande vantagem de usar o Autopsy ao invés de usar um sistema Kali por Live Boot, é que pode-se analisar unidades de disco diretamente a partir do sistema operativo principal, aumentando significamente o desempenho da análise, pois não se usa uma pen ou uma máquina virtual para usar o sistema operativo. +
++ A OWASP-ZAP é uma aplicação open-source desenvolvida pela OWASP, com o objetivo de explorar vulnerabilidades num website. O programa vem com inúmeras ferramentas de Penetration Testing, para detetar o máximo de vulnerabiliades possíveis. +
+Esta aplicação tem como vantagens:
++ Por outro lado, não é a ferramenta mais prática de usar em empresas, pelo facto de ser open-source e não ter tanta privacidade como outras ferramentas pagas. +
++ É recomendado pela OWASP-ZAP o uso desta aplicação juntamente com o Docker, para a automatização das ferramentas existentes no programa. +
++ Também é importante referir o projeto Juice Shop, que consiste numa aplicação escrita em JavaScript e que simula uma loja genérica de vários produtos, que contém uma série de vulnerabilidades. +
++ É aconselhado usar a imagem deste projeto no Docker, para a exploração dos erros ser efetuada local e eficientemente. Estes erros têm vários graus de dificuldade de serem explorados, e à medida que se descobre os erros, eles vão sendo guardados num ficheiro log. que contém o que já foi descoberto pelo utilizador. +
+ ++ O Docker é um programa usado para desenvolver, enviar e correr aplicações. Desta forma, pode-se criar vários containers para correr ou enviar qualquer tipo de aplicação num espaço isolado. Tem a vantagem de poder ter várias aplicações a correr localmente no mesmo sistema sem consumir muito hardware, que é um grande benefício na área da cibersegurança, pois é usado vários programas ao mesmo tempo. +
+No seguinte esquema é apresentado que mostra a lógica por detrás do Docker:
+ +Esquema que representa o funcionamento do Docker
++ Os containers são feitos e funcionam em base de imagens, semelhante a um sistema operativo. Estas são normalmente imagens de outras imagens, apenas com algumas modificações feitas. +
++ Uma imagem bastante conhecida neste campo é a imagem do Juice Shop, um projeto referido na Seção OWASP-ZAP. Com o Docker e a imagem deste projeto, podemos criar um container que vai correr o site, localmente. A grande vantagem de correr ficheiros localmente é que pode-se fazer os testes sem qualquer problema, é possível fazer certos tipos de ataque que na Internet seriam considerados ilegais mas que são, sem dúvida alguma, cruciais para o bom funcionamento de um website. +
+ +