[ISSA_Brasil] Ajuda APTs

alfred em petrobras.com.br alfred em petrobras.com.br
Sexta Novembro 29 12:13:04 -03 2013 

Prezado,

Desde já posso dizer que nenhuma empresa implanta APTs, mas sim sistemas de
proteção contra APTs.

Um APT nada mais é do que um ataque focado de um hacker, que está buscando
informações específicas de uma empresa. Os ataques tipicamente utilizam
"zero day vulnerabilities", que são vulnerabilidades conhecidas por alguns
hackers mas não pelas empresas de software, de modo que ainda não há
patches para evitar ataques que explorem essas vulnerabilidades.

Um APT vai aproveitar vulnerabilidades "zero day vulnerability", vai usar
engenharia social, vai usar toda sorte de ferramentas de invasão, tudo para
buscar informações específicas. O "Persistant" quer dizer que o ataque pode
ser mantido por um bom período de tempo. A empresa de equipamentos de rede
Nortel foi hackeada (http://en.wikipedia.org/wiki/Nortel) por mais de 10
anos e alguns acham que esse hacking, conduzido por crackers chineses,
contribuiu para a quebra da empresa. Os rootkits instalados pelos crackers
chineses constituíram uma espécie de APT, dentro da tecnologia da época.

Os equipamentos de proteção contra APTs são na realidade sistemas que
detectam comunicações suspeitas pela rede da organização. Não cheguei a
estudar esse tipo de sistema, mas sei que há vários no mercado de sistemas
de segurança.

O SANS mantém uma biblioteca de artigos (em inglês) sobre diversos temas.
Achei esse artigo, que anexei, sobre o tema APTs, que explica tecnicamente
a natureza de um ataque investigado pelo autor do artigo (que pelo jeito
entendia chinês, essencial para decifrar o ataque, dado que o ataque se
originou na China).

(See attached file: SANS_Detailed_Analysis_APT_Frankie_Li.pdf)

Uma empresa que fornece sistemas de proteção é a Fireeye:
http://www.fireeye.com/products-and-solutions/. Há outras empresas no
mercado.

Att,

_____________________________________________________
Alfred John Bacon, CISM, CISA, CRISC, CISSP
Consultor Sênior
Cel:(+5521)8187-2649
PETROBRAS - Financeiro Corporativo - Controle e Conformidade
Av República do Chile, 65 - 402A - Centro Tel(+5521) 3224-4850
CEP 20031-912 - Rio de Janeiro - RJ - Brasil



De:	william Borges da Silva <williambds1 em gmail.com>
Para:	Thiago Vaz Berto <thiagovb em outlook.com>,
            associados em issa.org.br,
Data:	29/11/2013 10:15
Assunto:	Re: [ISSA_Brasil] Ajuda APTs
Enviado por:	"Associados" <associados-bounces em issa.org.br>



Sim é APT's (Advanced Persistent Threats)

Preciso entender o que é APT e seus métodos, ferramentas.

Com isso terei firmeza em tocar o projeto e Pocs

Muito obrigado pessoal.


Em 29 de novembro de 2013 10:30, Thiago Vaz Berto <thiagovb em outlook.com>
escreveu:
      Bom dia William,


      Seria controle de APT's (Advanced Persistent Threats)? Quais seriam
      as dúvidas? Com certeza, pontuando o que Você precisa o pessoal
      poderá ajudar com mais acertividade no que você está precisando de
      apoio.



      Abraço.


      ____________________________________________
      Thiago
      Enviado pelo meu Windows Phone 8
      De: william Borges da Silva
      Enviada em: 29/11/2013 09:32
      Para: associados em issa.org.br; Jaime Orts Y Lugo
      Assunto: [ISSA_Brasil] Ajuda APTs

      Bom dia pessoal,


      Minha Empresa Vai implantar APT e gostaria de uma ajuda do grupo em
      relação a isso.

      O projeto sera tocado por mim e sera a primeira vez que implanto.
      conheço pouco sobre este assunto.

      Obrigado.

      William Borges


_______________________________________________
Associados mailing list
Associados em issa.org.br
http://issa.org.br/mailman/listinfo/associados_issa.org.br
 
"O emitente desta mensagem é responsável por seu conteúdo e endereçamento. Cabe ao destinatário cuidar quanto ao tratamento adequado. Sem a devida autorização, a divulgação, a reprodução, a distribuição ou qualquer outra ação em desconformidade com as normas internas do Sistema Petrobras são proibidas e passíveis de sanção disciplinar, cível e criminal."
 
"The sender of this message is responsible for its content and addressing. The receiver shall take proper care of it. Without due authorization, the publication, reproduction, distribution or the performance of  any other action not conforming to Petrobras System internal policies and procedures is forbidden and liable to disciplinary, civil or criminal sanctions."
 
"El emisor de este mensaje es responsable por su contenido y direccionamiento. Cabe al destinatario darle el tratamiento adecuado. Sin la debida autorización, su divulgación, reproducción, distribución o cualquier otra acción no conforme a las normas internas del Sistema Petrobras están prohibidas y serán pasibles de sanción disciplinaria, civil y penal."
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20131129/9a1fa345/attachment.htm>
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: graycol.gif
Tipo: image/gif
Tamanho: 105 bytes
Descrição: não disponível
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20131129/9a1fa345/attachment.gif>
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: SANS_Detailed_Analysis_APT_Frankie_Li.pdf
Tipo: application/pdf
Tamanho: 2739904 bytes
Descrição: não disponível
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20131129/9a1fa345/attachment.pdf>

Mais detalhes sobre a lista de discussão Associados