segurança da informação - prof neto

SEGURANA DA INFORMAO

PROF. DARIO ALMUDI NETO

UNOESTE UNIVERSIDADE DO OESTE PAULISTA

PRESIDENTE PRUDENTE - 2010

Sumrio

APRESENTAO ............................................................................................................................. 6

UNIDADE 1. - Conceitos e Princpios da Segurana da Informao .............................................. 8

Objetivos da aprendizagem....................................................................................................... 8

Introduo ao estudo .................................................................................................................... 8

1. A importncia da informao ................................................................................................ 8

1.2. Tipos de Informao ......................................................................................................... 10

1.2.1 Ciclo de Vida da Informao ....................................................................................... 11

1.3. O que um sistema de informao ................................................................................. 12

1.4. A Importncia do Sistema de Informao na Organizao Empresarial .......................... 13

1.5. O que segurana da informao ................................................................................... 14

1.6. Princpio da Confidencialidade ......................................................................................... 16

1.7. Princpio da Disponibilidade ............................................................................................. 17

1.8. Princpio da Integridade ................................................................................................... 17

Questes para reflexo ........................................................................................................... 18

Para concluir o estudo da unidade .......................................................................................... 18

Resumo .................................................................................................................................... 19

Atividades de aprendizagem ................................................................................................... 19

UNIDADE 2. - Principais Vulnerabilidades dos Sistemas Computacionais .................................. 20

Objetivos da aprendizagem..................................................................................................... 20

Introduo ao estudo .............................................................................................................. 20

2.1. Entendendo as Vulnerabilidades...................................................................................... 21

2.2. Descobrindo o inimigo ..................................................................................................... 23

2.3. Ameaas e Ataques .......................................................................................................... 25

2.3.1. Ameaas .................................................................................................................... 26

2.3.2. Ataques ..................................................................................................................... 27

2.3.3. Ataques tipo DoS e DDoS .......................................................................................... 28

2.3.3.1. Como funciona o DDoS .......................................................................................... 28

2.3.3.2. Caractersticas do DDoS ......................................................................................... 29

2.3.3.3. Como surgiu o DDoS ............................................................................................... 29

2.3.3.4. Como o trfego de DDoS pode ser detectado pelo NIDS ....................................... 29

2.3.3.5. Como evitar um ataque DoS .................................................................................. 29

2.3.3.6. Tipos de Ataques de DoS ........................................................................................ 29

2.3.3.7. Exemplos de Ataques DoS ...................................................................................... 30

2.3.4. Metodologia dos ataques .......................................................................................... 31

2.3.4.1. Footprinting Coletando informaes do alvo...................................................... 31

2.3.4.2. Varredura ............................................................................................................... 32

2.3.4.3. Enumerao ........................................................................................................... 33

2.4. Ferramentas utilizadas por hackers ................................................................................. 33

2.4.1. Trojans ....................................................................................................................... 33

2.4.2. Password Crackers .................................................................................................... 34

2.4.3. Scanners .................................................................................................................... 34

2.4.4. Sniffers ....................................................................................................................... 34

2.4.5. Exploits ...................................................................................................................... 34

2.4.6 BufferOveflows ........................................................................................................... 35

2.5. Vulnerabilidades das Redes ............................................................................................. 35

2.5.1. Malwares ................................................................................................................... 35

2.5.1.1. Vrus........................................................................................................................ 36

2.5.1.2. Trojans ou Cavalo de Tria ..................................................................................... 36

2.5.1.3. Worm...................................................................................................................... 37

2.5.1.4. Vrus de Macro ....................................................................................................... 37

2.5.1.5. Vrus de Boot: ......................................................................................................... 38

2.5.1.6. Spywares ................................................................................................................ 38

2.6. Cookies ............................................................................................................................. 38

2.7. Spam ................................................................................................................................. 39

2.8. Backdoor: ......................................................................................................................... 39

2.9. Adware: ............................................................................................................................ 40



Resumo .................................................................................................................................... 41


UNIDADE 3. - Engenharia Social .................................................................................................. 43



3. O que Engenharia Social ....................................................................................................... 43

3.1. Planejando como um Engenheiro Social .......................................................................... 45

3.2. Qual o perfil de um Engenheiro Social ............................................................................. 45

3.3. Algumas tcnicas utilizadas .............................................................................................. 46



Resumo .................................................................................................................................... 48


UNIDADE 4. - Polticas de Segurana .......................................................................................... 50



4.1. Definindo o que uma Poltica de Segurana de Informaes ....................................... 51

4.2. Dificuldades para criao de uma Poltica de Segurana ................................................. 52

4.3. Construindo uma Poltica de Segurana .......................................................................... 53

4.4. Contedo da Poltica de Segurana.................................................................................. 55

4.4.1. O que estamos protegendo? ..................................................................................... 55

4.4.2. Quem deve ser envolvido na formulao da poltica? .............................................. 56

4.4.3. Mtodos de proteo ................................................................................................ 57

4.4.4. Responsabilidades ..................................................................................................... 57

4.4.5. Como os funcionrios devero ou no usar a rede. ................................................. 58

4.4.6. Plano de Contingncia ............................................................................................... 59

4.4.7. Penalidades ............................................................................................................... 59



Resumo .................................................................................................................................... 61


UNIDADE 5. - Auditoria em Informtica e Legislao ................................................................. 63



5.1. A Auditoria nas Organizaes .......................................................................................... 64

5.2. O Setor da Auditoria dentro da organizao.................................................................... 65

5.4. O papel do Auditor ........................................................................................................... 65

5.5. Importncia da Auditoria e suas fases ............................................................................. 66

5.5.1. Pr-Auditoria ............................................................................................................. 67

5.5.2. Auditoria .................................................................................................................... 67

5.5.3. Ps-Auditoria ............................................................................................................. 68

5.6. Inter-Relao entre auditoria e segurana em informtica ............................................. 68



Resumo .................................................................................................................................... 72


Referncias Bibliogrficas ........................................................................................................... 73

APRESENTAO

Quando pensamos no termo informao passamos a tratar do maior contedo

abstrato que o ser humano gera em seu cotidiano. As propores que estamos falando

so realmente gigantescas e administrar este segmento torna-se uma tarefa muito

difcil.

A simples troca de informao em uma conversa formal do dia-a-dia pode definir ou

direcionar tomadas de decises certas ou erradas, at mesmo provocar alta ou queda

da bolsa de valores de grandes pases economicamente estveis, se verdade que eles

ainda existem.

Podemos observar que neste momento, ao realizar uma observao sobre os pases

economicamente estveis coloco uma dvida em questo: Ser que eles existem

realmente?. Esta informao de alguma forma gera insegurana e dvida sobre a

economia mundial, temos absoluta certeza que no o objetivo de nosso estudo o

fator econmico, e apenas demonstrei como podemos facilmente manter uma linha

de raciocnio, ou poderemos desviar nossa ateno e percorrermos outro caminho,

seguindo uma nova informao que nos desviou a ateno do assunto primeiro.

Este universo da informao que nos cerca foi impulsionado com o advento da

internet e ao mesmo tempo colocado em risco. Sabemos que devido ao grande volume

de informaes que trafegam na rede, este veculo de comunicao passou a ser alvo

de fraudes, roubos, espionagem e no podemos esquecer a fofoca, que tem

prejudicado e denegrido a imagem de muitas pessoas, fazendo-me lembrar aqui do

famoso caiu na net.

A pergunta : como me defender?, ou melhor, como me proteger?. Estas questes

sero esclarecidas durante o nosso estudo, procurando demonstrar as tcnicas que

so utilizadas para os ataques, buscando compreender as maneiras de como

poderemos nos proteger. Seria muita ambio da nossa parte garantir que aps este

estudo estaremos totalmente seguros quanto as nossas informaes, pois sabemos

que o nico computador verdadeiramente seguro aquele que est desligado da

tomada.

Organizaremos nosso estudo iniciando com os princpios bsicos da segurana da

informao, vamos explorar as principais vulnerabilidades dos sistemas

computacionais, entendendo quais so elas e como poderemos nos proteger, faremos

uma abordagem sobre a engenharia social, que uma das grandes ferramentas

utilizadas para explorar as vulnerabilidades, na seqncia trataremos sobre as polticas

de segurana e auditoria em informtica, fazendo o fechamento com um tpico sobre

a legislao pertinente ao assunto.

Espero que atravs deste estudo possamos tornar a nossa troca de informao mais

responsvel e segura, bem como administrarmos melhor a informao em nossos

ambientes de trabalho. Bom estudo a todos!

UNIDADE 1. - Conceitos e Princpios da Segurana da Informao

Objetivos da aprendizagem

Esta unidade tem a finalidade de:

Apresentar os aspectos bsicos da segurana da informao;

Conceituar termos utilizados;

Falar da importncia da Informao;

Apresentar Sistemas de Informao.

Introduo ao estudo

Voc deve estar se perguntando sobre este grande universo da informao. Como

primeiro aspecto sobre a informao podemos afirmar que: A informao pela sua

preciosidade deve ser cuidadosamente trabalhada. Objetivando este percurso vamos

buscar compreender um pouco mais de sua essncia e formas de como realizar este

feito. Primar pela segurana da informao conhecendo os caminhos de como

proteger melhor este patrimnio. Estes so alguns dos objetivos que vamos buscar

nesta unidade de estudo.

Seo 1 Conceitos Bsicos da Informao

Nessa seo, voc vai conhecer um pouco mais sobre o termo Informao. Como ela

esta presente em nosso cotidiano e a forma como trabalhamos com ela no meio

digital. Entender as diferentes maneiras como a informao encontrada e

manipulada neste ambiente, compreendendo sobre o seu ciclo de vida para que

possamos cuidar bem deste patrimnio de muitas empresas.

1. A importncia da informao

Introduzimos nossa unidade apresentando algumas definies sobre informao

coletada de alguns autores.

Na NBR ISO IEC 17799, norma brasileira que trata sobre os padres que devem ser

adotados para segurana da informao, tem a seguinte definio de informao:

A informao um ativo que, como qualquer outro ativo importante, essencial para

os negcios de uma organizao e conseqentemente necessita ser adequadamente

protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais

interconectado (NBR ISSO 17799, 2005).

O conceito de informao no usado apenas na tecnologia de comunicaes e de

controle, mas onde quer que a funo de sistemas complexos ou a interao entre

vrios sistemas implique em processos formais.

A palavra informao originaria do latim, do verbo informare, que significa dar forma

ou aparncia, colocar em forma, criar, mas tambm representar, construir uma idia

ou uma noo (ZEMAN, 1970).

No cotidiano, o conceito de informao est diretamente ligado ao significado e

utilizado como sinnimo de mensagem, notcia, fatos e idias, em sua forma original

ou no, que so captadas e passadas adiante como um conhecimento ou saber. O

simples prazer do saber conduz o homem a manter-se informado sobre aspectos

polticos, sociais e econmicos, pois a informao tem um valor muito significativo e

pode representar grande poder para quem a possui. Desta forma afirmamos que a

informao contm valor, pois est integrada com os processos, pessoas e tecnologias

(MACHADO, 2003).

Vivemos em uma sociedade que se baseia em informaes e que exibe uma crescente

propenso para coletar e armazenar informaes, e o uso efetivo da informao

permite que uma organizao aumente a eficincia de suas operaes (KATZAM,

1977).

Sabemos tambm que a informao quase sempre sofrer algum tipo de alterao

pelo seu emissor, e isso pode ocorrer de forma consciente ou inconsciente. Algumas

vezes, essa interferncia planejada, com a finalidade de direcionar o comportamento

das pessoas que se servem da informao, e isso ocorre de acordo com interesses de

uma classe dominante, seja ela qual for.

Diante da viso destes autores temos a idia da relevncia da informao dentro do

setor empresarial. Na sociedade da informao, a informao o principal patrimnio

da empresa e est sob constante risco (DIAS, 2000). A informao representa a

inteligncia competitiva dos negcios sendo reconhecido como ativo crtico para a

continuidade operacional e sade da empresa (SMOLA, 2003). A informao e o

conhecimento sero os diferenciais das empresas e dos profissionais que pretendem

destacar-se no mercado e manter a sua competitividade (REZENDE E ABREU, 2000). O

controle da informao um fator de sucesso crtico para os negcios e sempre teve

fundamental importncia para as corporaes do ponto de vista estratgico e

empresarial (SYNNAT, 1987; FELICIANO NETO, FURLAN E HIGO, 1988).

Sabemos que a informao tem um custo e no basta tax-la pelo seu simples

contedo, mas precisam ser analisados e avaliados todas as etapas que esto

envolvidas no processo que so posteriores a sua criao. Ao mencionarmos o servio

de recuperao da informao, tero custo todos os processos de aquisio e de

organizao do sistema que o contemplam, alm do meio pelo qual a informao ser

transportada, bem como o custo das telecomunicaes.

Uma informao pode ter seu nvel de importncia alterado ou rebaixado,

dependendo do nvel de confidencialidade, integridade e disponibilidade que a

informao tiver no momento. Por exemplo, a informao sobre um novo produto de

uma empresa que ainda ser lanado comercialmente. Esta informao no momento

anterior ao lanamento considerada confidencial, mas no momento em que este

produto divulgado publicamente, esta informao passa a ser pblica.

1.2. Tipos de Informao

A informao pode ser apresentada de diversas formas. Podendo ser escrita em papel

ou impressa, transmitida pelo correio ou por sistemas eletrnicos, falada em conversas

ou apresentada em filmes, transmitida por gestos e smbolos.

PARA SABER MAIS

Muitas vezes utiliza-se dados e informao como sinnimos, mas ateno, so coisas

diferentes. Dados representam um conjunto de fatos que no foram associados ou

manipulados, e para que eles tenha algum valor significativo devem passar por um

processo de avaliao. Os dados podero ser convertidos em informaes e

apresentarem alguma relevncia, mas na sua forma primria muitas vezes no

expressam sentido algum.

Poderamos enumerar uma infinidade de formas sob qual a informao se apresenta,

seja ela falada ou escrita, atravs de smbolos ou sinais, com formato digital ou

analgico. Sabemos que independente da forma apresentada ou o meio atravs do

qual a informao compartilhada ou armazenada, recomendado que ela seja

sempre protegida adequadamente.

Entretanto vou apresentar aqui uma classificao no muito abrangente, mas que nos

auxilie no processo de identificao da informao em suas formas.

Informao como mensagem: a forma mais comum de encontrarmos a informao,

pois a informao trabalhada no cotidiano. Para este processo de propagao da

informao basta ter um emissor e um receptor que a comunicao estabelecida.

Desta forma entendemos que mensagem a informao materializada e quanto maior

a quantidade de informao contida na mensagem recebida, maior o seu grau de

preciso.

Informao como padro: A informao estabelecida atravs de sinais, signos,

smbolos, ou pelas suas combinaes e transformaes. Muitas vezes este padro

criado um sistema fechado e s pode ser interpretado por um grupo especfico.

Informao como estmulo: a informao tratada de maneira mais subjetiva afim de

estimular algo e obter um retorno satizfatrio ou no. Para exemplificar esta situao

e tornar mais fcil o entendimento podemos citar o perodo de reproduo dos

animais onde muitos machos estimulam suas fmeas.

Informao como registros: Os registros compoem um aspecto muito especfico do

tipo de informao. Os registros so informaes geradas a partir de atividades que

devem ser armazenadas com a finalidade posterior de manipulao destas

informaes.

1.2.1 Ciclo de Vida da Informao

Com a finalidade de facilitar o gerenciamento da informao existe um ciclo que

determina os caminhos que a informao percorre. Consideramos quatro momentos

para que o ciclo de vida da informao esteja completo:

Manuseio Inicializao do ciclo, neste ponto a informao gerada.

Armazenamento Momento em que a informao guardada, seja ela depositada em

uma base de dados, em papel ou sob qualquer outra forma.

Transporte A informao encaminhada por correio, e-mail, fax, entre outros. Esta

parte consiste no envio da informao atravs de um meio existente

Descarte a parte final do ciclo. O momento em que a informao descartada ou

depositada de forma definitiva com a finalidade de no ser mais utilizada.

Seo 2 Sistemas de Informao

Nessa seo, voc aprender que a informao deve ser trabalhada por processos que

podem aproveitar o mximo de seu potencial. Manipular a informao de forma que

ela se torne algo representativo e com valor agregado muito importante para o

sucesso das negociaes das empresas.

1.3. O que um sistema de informao

Para OBrien (2004) SI um conjunto organizado de pessoas, hardware, software,

procedimentos, redes de comunicaes e dados, que coleta, transforma e dissemina

informaes em uma organizao.

Para Matsuda (2007), Sistemas de Informao so processos administrativos que

envolvem processos menores que interagem entre si. O sistema dividido em

subsistemas que podem ser: produo/servio, venda, distribuio, materiais,

financeiro, recursos humanos e outros, dependendo do tipo de empresa. O

departamento de informtica da empresa cruza esses subsistemas, o que leva a uma

abordagem sistemtica integrativa, envolvendo questes de planejamento estratgico

da empresa.

PARA SABER MAIS

Sistemas de Informao um conjunto de recursos, que coleta, processa, armazena,

analisa e dissemina as informaes produzidas pelos departamentos da estrutura

organizacional no apoio s decises gerenciais e operacionais.

Os sistemas de informao so partes integrantes das empresas e instituies. Na

verdade, algumas empresas no existiriam sem seu sistema de informao, e muitas

empresas tornaram-se realidade a partir deste fundamento. A empresa precisa

organizar e estruturar seus dados, que so fatos ou descries de eventos, atividades e

transaes capturadas, registradas, armazenadas e classificadas, sendo que se no

estiverem organizadas no apresentam valor algum.

PARA SABER MAIS.

Sistema de Informao (SI) no deve ser entendido como sinnimo de Tecnologia da

Informao (TI), que o conjunto de recursos tecnolgicos facilitadores das

atividades e processos organizacionais necessrios para o tratamento das

informaes.

Para melhor atenderem as necessidades dos componentes de entrada, processamento

e sada, os Sistemas de Informao, na sua execuo, trabalham com trs elementos

de grande valor que devem ser diferenciados. Para Turban, Rainer e Potter (2003) ao

estudar um SI, essencial saber a diferena entre os trs elementos utilizados pelos SI,

que so:

Dados so fatos, ou descries bsicas de eventos, atividades e transaes que

so capturados, registrados, armazenados e classificados, porm, no so

organizados.

Informao conjunto de fatos, ou seja, dados organizados com significado para o

usurio final.

Conhecimento conjunto de informaes organizadas e processadas prontas para

transmitir discernimento, experincias e habilidades que podem ser aplicadas a

um problema ou deciso gerencial.

LINK

Neste site voc pode conferir a explicao do sistema de informao do Governo

Federal para Gesto de Projetos. http://sigproj.mec.gov.br

1.4. A Importncia do Sistema de Informao na Organizao Empresarial

Os Sistemas de Informao tem sua importncia dentro da organizao quando as

informaes so trabalhadas de forma correta, proporcionando resultados positivos e

eficazes em todo o ambiente organizacional, e aumentando a capacidade de realizao

de negcios atravs dos recursos disponveis, sendo os mesmos utilizados com

eficincia.

PARA SABER MAIS

Um sistema informtico sem procedimentos e sem interao com o Homem NO

um Sistema de Informao.

Os Sistemas de Informao quando sintonizados e integrados com as necessidades das

escolhas nos processos decisrios, torna-se um elemento fundamental para atender

cada um dos envolvidos no processo, podendo interagir e apoiar, auxiliando a tomada

de deciso.

Para OBrien (2004) os papis vitais dos SI na estrutura organizacional proporcionam a

essncia do planejamento, a vantagem competitiva e o controle na tomada de

decises, nos nveis estratgico, ttico e operacional, se o contedo for adequado e

confivel. Portanto, quando os SI desenvolvem os principais papis realizam

conquistas de vantagens estratgicas, gerenciais e operacionais, mas isso requer

inovao, dinamismo e investimentos, para conquistar vantagem competitiva no

mercado e principalmente apoio do ambiente empresarial.

As informaes devem conter caractersticas de quantidade, qualidade e

oportunidade, adquiridas somente pelos Sistemas de Informao, que tero maior

confiabilidade e valor, dependendo de sua qualidade de integrao, para que atenda

as necessidades, conforme os requisitos do ambiente organizacional.

Seo 3 Segurana da Informao

Vamos entender nesta seo porque importante proteger a informao. Os riscos

que somos expostos quando trabalhamos com a manipulao de dados so muito

significativos. Aprenderemos sobre os princpios que garantem a veracidade da

informao para que ela possa ser um elemento de valor em nosso trabalho.

1.5. O que segurana da informao

A civilizao humana sempre buscou a proteo das informaes dos conhecimentos

adquiridos. Na antiga civilizao egpcia, somente as castas superiores da sociedade

tinham acesso aos manuscritos da poca, principalmente ao que eles escreviam. A

escrita por meio de hierglifos do Egito antigo representa uma das vrias formas

utilizadas pelos antigos para protegerem a informao e perpetuarem o seu

conhecimento. (GONALVEZ, 2003).

As redes de computadores, e conseqentemente a Internet mudaram as formas como

se usam sistemas de informao. As possibilidades e oportunidades de utilizao so

muito mais amplas que em sistemas fechados, assim como os riscos privacidade e

integridade da informao. Portanto, muito importante que mecanismos de

segurana de sistemas de informao sejam projetados de maneira a prevenir acessos

no autorizados aos recursos e dados destes sistemas (LAUREANO, 2004).

A segurana da informao a proteo dos sistemas de informao contra a negao

de servio a usurios autorizados, assim como contra a intruso, e a modificao no-

autorizada de dados ou informaes, armazenados, em processamento ou em

trnsito, abrangendo a segurana dos recursos humanos, da documentao e do

material, das reas e instalaes das comunicaes e computacional, assim como as

destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu

desenvolvimento (NBR 17799, 2003; DIAS, 2000; WADLOW, 2000; KRAUSE e TIPTON,

1999).

Segurana a base para dar s empresas a possibilidade e a liberdade necessria para

a criao de novas oportunidades de negcio. evidente que os negcios esto cada

vez mais dependentes das tecnologias e estas precisam estar de tal forma a

proporcionar confidencialidade, integridade e disponibilidade que conforme (NBR

17999, 2003; KRAUSE e TIPTON, 1999; ALBUQUER QUE e RIBEIRO, 2002), so os

princpios bsicos para garantir a segurana da informao das informaes:

Confidencialidade, Disponibilidade e Integridade.

PARA SABER MAIS

Segurana da informao: proteo dos sistemas de informao contra a negao de

servio a usurios autorizados, assim como contra a intruso, e a modificao

desautorizada de dados ou informaes, armazenados, em processamento ou em

trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao

e do material, das reas e instalaes das comunicaes e computacional, assim como

as destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu

desenvolvimento.

Os critrios de classificao definem qual o tratamento de segurana que uma

informao receber, ou seja, quanto ser preciso investir em segurana para garantir

a confidencialidade, integridade e disponibilidade da informao, objetivando sempre

priorizar recursos.

LINK

Um site muito interessante sobre segurana que vale a pena ser conferido.

http://www.linhadefensiva.org/

1.6. Princpio da Confidencialidade

Este princpio busca garantir que a informao poder ser acessada somente por

pessoas devidamente autorizadas. a proteo para impedir que pessoas no

autorizadas tenham acesso ao sistema de informao. Por meio deste princpio deseja-

se garantir a identificao e autenticao dos envolvidos. Recursos como Assinatura

Digital e Certificao Digital podem ser usados como meios de garantir a identificao

do usurio.

Podemos definir trs nveis de classificao quanto a confidencialidade:

Confidencial - toda informao considerada de alto risco para a empresa, pois

sua revelao no autorizada pode trazer graves prejuzos. Geralmente estas

informaes so acessadas pela alta administrao da empresa (presidncia,

diretoria, superintendncia);

Restrita toda informao considerada de mdio e baixo risco para a

empresa, pois sua revelao no autorizada pode trazer prejuzos a uma

determinada rea da empresa. Geralmente estas informaes so acessadas

pelas reas envolvidas na gerao e uso destas informaes, pelos gestores da

rea e pela alta administrao;

Pblica toda informao considerada de nenhum risco para a empresa e sua

revelao no autorizada no traz nenhum prejuzo. Estas informaes so

acessadas por todos os funcionrios e pessoas externas empresa.

Segundo a Norma NBR 17799, para identificar os requisitos para os acordos de

confidencialidade ou de no divulgao, convm que sejam considerados os seguintes

elementos:

a) uma definio da informao a ser protegida (por exemplo, informao

confidencial);

b) tempo de durao esperado de um acordo, incluindo situaes onde a

confidencialidade tenha que ser mantida indefinidamente;

c) aes requeridas quando um acordo est encerrado;

d) responsabilidades e aes dos signatrios para evitar a divulgao no

autorizada da informao;

e) proprietrio da informao, segredos comerciais e de propriedade intelectual, e

como isto se relaciona com a proteo da informao confidencial;

f) uso permitido da informao confidencial e os direitos do signatrio para usar a

informao;

g) direito de auditar e monitorar as atividades que envolvem as informaes

confidenciais;

h) processo para notificao e relato de divulgao no autorizada ou violao das

informaes confidenciais;

i) termos para a informao ser retornada ou destruda quando da suspenso do

acordo; e

j) aes esperadas a serem tomadas no caso de uma violao deste acordo.

Com base nos requisitos de segurana da informao da organizao, outros

elementos podem ser necessrios em um acordo de confidencialidade ou de no

divulgao.

1.7. Princpio da Disponibilidade

A informao ou sistema de computador deve estar disponvel no momento em que a

mesma for necessria. Este princpio procura garantir que pessoas autorizadas

obtenham acesso informao e aos recursos correspondentes, sempre que

necessrio. A disponibilidade se refere ao sistema estar sempre pronto a responder

requisies de usurios legtimos.

Podem-se definir dois nveis de classificao quanto disponibilidade:

Vital - toda informao de alto risco para a empresa. Esta informao precisa

estar sempre disponvel;

No Vital - toda informao que em caso de indisponibilidade no representa

nenhum risco para a empresa.

1.8. Princpio da Integridade

A integridade procura proteger a informao para que ela no seja modificada sem a

autorizao do proprietrio da informao. Estas mudanas incluem troca na escrita,

modificao do contedo, troca do status, excluso e criao de informaes.

Integridade significa garantir que se o dado esta l ento ele no foi corrompido,

encontra-se ntegro. Isto significa que aos dados originais nada foi acrescentado,

retirado ou modificado.

Dentro do princpio da integridade podemos classificar a informao levando em

considerao a gravidade do impacto ou dos prejuzos que a modificao no

autorizada da informao trar. Podem-se definir dois nveis de classificao quanto

integridade:

Crtica toda informao de alto risco para a empresa. Esta informao no

pode ser alterada sem prvia autorizao;

No Crtica toda informao que, se alterada sem prvia autorizao, no

representa nenhum risco para a empresa.

LINK

Recomendo a vocs assistirem o filme A Rede (The Net): Angela Bennett (Sandra

Bullock) uma especialista em corrigir sistemas de informtica, que se v

repentinamente envolvida em uma trama pelo fato de ter recebido um disquete que

revela graves segredos. Para destru-la um esquema criado, com a finalidade de

mudar seu nome e passado. Logo ela conhecida na polcia como prostituta, viciada e

ladra, sendo que provar quem de verdade fica cada vez mais difcil. Este filme

apresenta uma boa idia sobre a questo de segurana, vale a pena conferir.

A REDE. Ttulo Original: The Net. Direo de Irwin Winkler. EUA: Columbia Home

Video, 1995. 1 DVD

Questes para reflexo

O que a Norma ISO 17799? Qual o seu objetivo?

Voc realmente consegue selecionar bem as informaes do seu dia-a-dia?

Procure lembrar se sua empresa ou mesmo em sua casa j aconteceram

incidentes devido falta de comunicao ou uma comunicao mal feita.

Para concluir o estudo da unidade

Agora j temos uma boa bagagem para aprofundarmos mais nossos estudos.

Aprendemos sobre o universo da informao e percebemos como ela nos cerca de

todos os lados. Ns no vivemos sem nos comunicarmos, por isso a informao faz

parte do nosso cotidiano. Somos inseridos muitas vezes como emissores e receptores

simultneos e precisamos estar sempre atentos para filtrarmos essas informaes e

selecionarmos o que bom e ruim. Somos agentes do universo da informao e ela

deve sempre estar disposio quando necessitarmos (Princpio da Disponibilidade).

Vamos avanar agora para enriquecer mais ainda nosso saber com novas informaes.

Resumo

Nesta unidade apresentamos definies sobre informao fundamentadas em autores

conceituados. Abordamos sobre o ciclo de vida da informao e aspectos gerais de

Sistema de Informao.

Foi apresentado tambm a importncia da Segurana da Informao e os seus

princpios que devem ser assegurados.

O objetivo desta unidade foi introduzir vocs no universo da informao, de uma

forma simples e direta.

Atividades de aprendizagem

O que Informao?

Cite algumas formas que podemos encontrar a informao.

Quais so os quatro momentos do ciclo de vida da informao?

O que um Sistema de Informao?

Conceitue Segurana da Informao.

Quais so os trs pilares da Segurana da Informao? Conceitue cada um

deles.

UNIDADE 2. - Principais Vulnerabilidades dos Sistemas Computacionais



Compreender o que so vulnerabilidades;

Mostrar as principais vulnerabilidades dos sistemas computacionais;

Verificar os inimigos que se oportunizam das falhas;

Entender o que so ameaas e ataques;

Explicar os mtodos de ataques utilizados.

Introduo ao estudo

Tudo certo at aqui pessoal? Vamos entrar agora em um tema muito interessante que

trata sobre as vulnerabilidades, ou seja, os pontos fracos que existem nos sistemas

computacionais. Faremos uma explicao detalhada destes aspectos, pois eles so

importantes para que possamos compreender as formas que temos para nos defender

de intrusos.

Um princpio bsico nos diz que quando grandes volumes de dados so acumulados

sob formato eletrnico, ficam suscetveis a muito mais tipos de ameaas do que

quando esto em formato manual. Os avanos nas telecomunicaes e nos sistemas

de informao aumentaram essas vulnerabilidades, e devido a esses avanos o volume

de movimentao das informaes tornou-se muito maior.

Abuso ou fraude no fica limitado a um nico lugar, pois os Sistemas de informao

em diferentes localidades podem ser interconectados por meio de redes de

telecomunicaes. Logo, o acesso no autorizado pode ocorrer em qualquer ponto da

rede.

Muitas oportunidades para invaso e manipulao so criadas devido a estruturas

complexas de hardware, software, pessoais e organizacionais que so implementadas

em redes de telecomunicao. Redes sem fio utilizando tecnologias baseadas em rdio

so mais vulnerveis invaso, devido facilidade de fazer a busca das faixas de

radiofreqncia. A Internet tambm apresenta muitos problemas porque foi projetada

para acesso fcil por pessoas com sistemas de informaes diferentes.

Percebemos quantas oportunidades de entradas temos, tornando assim muito frgil os

aspectos de segurana. Vamos ver como podemos garantir um ambiente um pouco

mais seguro.

Seo 1 Vulnerabilidades

As vulnerabilidades so os grandes problemas que vamos encontrar relacionados a

segurana da informao. Nesta seo vamos entender como elas ocorrem e quais

suas principais conseqncias. Vamos entender tambm quem so as pessoas que

esto explorando estas vulnerabilidades e quais seus objetivos.

2.1. Entendendo as Vulnerabilidades

No ambiente da segurana podemos considerar vulnerabilidades como falhas ou

fraquezas que, se exploradas, permitem a perda ou o vazamento de alguma

informao. As vulnerabilidades podem ser encontradas no modo de agir das pessoas,

nos equipamentos, ou nos sistemas ou softwares. muito importante identificarmos

as vulnerabilidades que podem favorecer a ocorrncia de incidentes de segurana,

pois elas auxiliam na identificao de medidas preventivas.

Vulnerabilidades so o que no faltam na grande quantidade de servios disponveis

na Internet, principalmente quando pensamos no nmero de usurios que esto

conectados a rede, o qual praticamente impossvel de se mensurar, e tambm pelo

fato desta rede ser a maior compradora e vendedora do mundo. Analisando a

dimenso que a internet alcana, verificamos realmente seu potencial como maior

estrutura de comunicao e prestadora de servios do mundo.

Os riscos no podem ser determinados sem o conhecimento de at que ponto onde

um sistema vulnervel, ao das ameaas. Em um processo de anlise de

segurana, devem-se identificar os processos crticos vulnerveis e saber se os riscos a

ele associados so aceitveis ou no. O nvel de vulnerabilidade decai medida que

so implementados controles e medidas de proteo adequadas, diminuindo tambm

os riscos para o negcio. Pode-se dizer que os riscos esto ligados ao nvel de

vulnerabilidade que o ambiente possui, pois para se determinar os riscos, as

vulnerabilidades precisam ser identificadas (MOREIRA, 2001).

Outro aspecto interessante a semelhana das vulnerabilidades do mundo virtual com

vulnerabilidades do mundo real, podemos citar como exemplo: Pornografia, jogos de

azar e assdio sexual. Estas fraquezas aliciam as pessoas e trabalham de forma sutil na

conduta do ser humano. No ambiente virtual temos ameaas especficas como os

vrus, worms, trojans e o hacker de computador.

PARA SABER MAIS

As principais vulnerabilidades encontradas costumam ser relativas a erros, acidentes

ou desconhecimento dos usurios que, impensadamente alteram configuraes de

equipamentos, divulgam contas e senhas de acesso, deixam sesses abertas na sua

ausncia, utilizam senhas frgeis facilmente descobertas ou mesmo contaminam seus

arquivos e programas com vrus de computadores.

No podemos esquecer que o hacker de computador a ameaa mais comentada na

rede. A prpria curiosidade torna este indivduo um ser misterioso, e acima de tudo,

deve ser levado em considerao os problemas que um hacker mal intencionado

(cracker) pode causar.

Podemos apontar algumas conseqncias:

a) Voc poder sofrer modificaes na sua senha e sua conta poder ser furtada;

b) Poder ter seus dados e informaes secretas divulgados;

c) Podero ser instaladas escutas telefnicas grampeando sua linha;

d) A rede de comunicao poder ser bombardeada e perder a funcionalidade;

e) Sua imagem pode ser afetada com fraudes;

f) Podero ocorrer roubos nas suas finanas;

g) Operaes diversas podero ser realizadas em seu nome.

Muitas vulnerabilidades surgem a partir de aspectos tcnicos que muitas vezes podem

ser de grande complexidade. O trabalho do hacker investigar detalhadamente estes

fatores para descobrir como quebrar sua segurana. de grande interesse de nossa

parte proteger a rede de nossa empresa e por isso temos que conhecer muito bem os

aspectos tcnicos, compreendendo as vulnerabilidades mesmo que ainda complexas e

de difcil entendimento.

O principal meio de divulgao de vulnerabilidades a prpria internet. Estes so os

principais elementos que podero estar divulgando as informaes:

a) Hackers;

b) Crackers;

c) Fabricantes de software ou hardware.

Uma forma de estar sempre informado sobre as vulnerabilidades assinando listas de

discusso, principalmente aquelas que possuem atualizaes dirias Duas listas de

discusso muito significativas so::

a) BUGTRAQ (pertence SecurityFocus).

b) BOS-BR (Brasileira, pertence Securenet)

Alguns Sites sobre segurana:

a) http://www.securityfocus.com

b) http://ciac.llnl.gov

c) http://www.securenet.com.br

d) http://packetstorm.securify.com

Consultem o portal Lockabit da COPPE/UFRJ. apresentada uma grande lista de

discusso sobre vulnerabilidades

LINK

Lockabit da COPPE/UFRJ: http://www.lockabit.coppe.ufrj.br/

importante verificar tambm continuamente os sites dos fabricantes dos softwares

que sua empresa utiliza, normalmente eles possuem uma seo dedicada a segurana.

PARA SABER MAIS

Um problema grave a quantidade de informaes existente na Internet abordando

falhas de segurana e tcnicas de invaso. Muitos manuais e ferramentas esto

disponveis, distribudas por grupos de hackers e at por organizaes dedicadas a

segurana.

2.2. Descobrindo o inimigo

Problemas de segurana tm sua origem em pessoas maliciosas que procuram tirar

vantagem, principalmente financeira, entretanto existem aqueles que tambm

querem apenas vingana ou poder.

Devemos pensar entre as situaes possveis qual ser o nosso grande adversrio.

claro que depende muito da situao na qual estamos inseridos ou contra quem temos

inimizades. Vamos verificar a tabela a seguir para sabermos um pouco mais sobre os

adversrios:

Adversrios Objetivos

Estudante Muitas vezes inofensivo, realiza suas tarefas apenas por

diverso ou simples curiosidade. Na maioria das vezes

apenas vasculha emails e quebra algumas senhas.

Hacker e Cracker O papel do hacker testar a segurana dos sistemas,

enquanto o cracker tem a finalidade de roubar e causar

algum tipo de prejuzo.

Homens de

negcios

Sua principal ao descobrir a estratgia de seu

concorrente para poder super-lo.

Ex-empregado Este pode ser um elemento muito perigoso, pois

geralmente age por vingana

Espio O servio de espionagem ganhou novo impulso com a

tecnologia sendo inovada a cada dia, roubar informaes

tornou-se uma tarefa mais simples devido aos avanos

tecnolgicos.

Terrorista Dependendo da inteno deste elemento poderemos ter

um simples roubo de informaes ou mesmo grandes

tragdias com vtimas. Defendem aspectos sociais e

polticos

Todos os dias surgem notcias sobre piratas digitais na televiso e na Internet. Um

pirata invadiu o computador de um sistema de comrcio eletrnico, roubou os

nmeros de carto, comprou Viagra e mandou entregar na casa do Bill Gates. Outro

conseguiu derrubar sites famosos como YAHOO, CNN, AMAZON e ZDNET. Mais

recentemente um grupo estrangeiro conseguiu tirar mais de 650 sites do ar em um

minuto (ASSUNO, 2002).

No devemos subestimar o poder do inimigo, sendo que uma pessoa quando esta

motivada a uma ao utilizar de meios ilcitos para alcanar seu objetivo. O poder de

persuaso poder ser a principal arma utilizada na inteno de realizar a tarefa.

Seo 2 Conhecendo as ferramentas de ataque

Vamos agora aprender sobre as ameaas reais a segurana da informao. Entender

como se planeja um ataque e quais os recursos que podero ser utilizados para realizar

esta ao.

2.3. Ameaas e Ataques

Ameaas so condies ou agentes que causam problemas que comprometem as

informaes e seus ativos atravs da explorao de vulnerabilidades, ocasionando

perdas de confidencialidade, integridade e disponibilidade e, conseqentemente,

causando grandes impactos aos negcios de uma organizao.

As razes dos problemas de segurana:

a) Fragilidade nas configuraes dos servios;

b) Falhas de programao no desenvolvimento de sistemas;

c) Demora dos fabricantes nas solues das vulnerabilidades;

d) Poucos treinamentos na rea de segurana;

As vulnerabilidades ocorrem devido a alguns aspectos de fragilidade na configurao

dos servios:

Configurao default do sistema deixa muito a desejar em segurana;

Instalao de um sistema com as configuraes padro apenas;

Instalao e/ou habilitao de servios de forma indiscriminada.

Outro aspecto a ser considerado so as falhas de fabricao de software,

vulnerabilidades que sempre existiro. A culpa colocada nos fabricantes, por que

seus sistemas possuem vulnerabilidade e falhas, quando no deveriam ter. Acontece

que bugs so to naturais em softwares quanto doenas so em ns, seres humanos. A

importncia da atualizao do software para ajudar a corrigir os erros e falhas nos

sistemas.

Outro fator a demora dos fabricantes nas solues das vulnerabilidades. Os

programas desenvolvidos devem ter uma rea especfica para suporte e atualizao,

o que denominamos controle de qualidade do produto. Devemos sempre verificar se

este setor existe na empresa desenvolvedora do produto que desejamos adquirir, pois

esta a garantia de segurana do software contra vulnerabilidades que possam vir a

ocorrer.

Sabemos tambm que os treinamentos em segurana ainda no so o foco de muitas

empresas, pois demandam investimentos e tempo em algo que no esta em primeiro

lugar na escala de lucro dentro do planejamento. De nada adianta temos os melhores

profissionais na administrao, os melhores produtos, se colocamos em risco toda a

estrutura empresarial devido a falta de proteo das informaes. Investimento em

segurana e oportunizar tempo para treinamento neste setor devem ser uma

prioridade dentro das empresas.

2.3.1. Ameaas

A ameaa pode ser definida como qualquer ao, acontecimento ou entidade que

possa agir sobre um ativo, processo ou pessoa, atravs de uma vulnerabilidade e

conseqentemente gerando um determinado impacto. As ameaas apenas existem se

houverem vulnerabilidades, sozinhas pouco fazem (SMOLA, 2003).

Utilizamos o termo threat para definir ameaa. E temos vrios tipos de threat

(SHIREY, 2000):

Ameaa Inteligente: Circunstncia onde um adversrio tem a potencialidade

tcnica e operacional para detectar e explorar uma vulnerabilidade de um

sistema;

Ameaa Potencial da Violao de Segurana: Existe quando houver uma

circunstncia, potencialidade, ao ou evento que poderia romper a segurana e

causar o dano;

Ameaa de Anlise: Uma anlise da probabilidade das ocorrncias e das

conseqncias de aes prejudiciais a um sistema;

Srias conseqncias poder ocorrer devido a incidncias de ameaas, elas incluem

principalmente: divulgao, usurpao, decepo e rompimento;

Conforme descrito em (SMOLA, 2003), podemos classificar as ameaas quanto a sua

intencionalidade e dividi-las em grupos:

Naturais Ameaas decorrentes de fenmenos da natureza, como incndios

naturais, enchentes, terremotos, tempestades, poluio, etc.

Involuntrias Ameaas inconscientes, quase sempre causadas pelo

desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc.

Voluntrias Ameaas propositais causadas por agentes humanos como hackers,

invasores, espies, ladres, criadores e disseminadores de vrus de computador,

incendirios.

Existe um grande nmero de ameaas, citamos algumas delas eu so mais comuns.

Elas podem se originar de fatores tcnicos, organizacionais e ambientais, agravados

por ms decises administrativas (LAUDON e LAUDON, 2004).

Falha de hardware ou software;

Falta de atualizao dos produtos;

Aes pessoais;

Invaso pelo terminal de acesso;

Roubo de dados, servios, equipamentos;

Incndio;

Problemas eltricos;

Erros de usurios;

Mudanas no programa;

Problemas de telecomunicao.

2.3.2. Ataques

Quando atacamos, estamos atentando contra alguma coisa ou algum. No ambiente

virtual realizar um ataque o ato de tentar manipular a segurana da informao de

forma a quebrar seus princpios.

Em ingls, utilizado o termo attack para definir ataque. E existem vrios tipos de

ataques. Ataque pode ser definido como um assalto ao sistema de segurana que

deriva de uma ameaa inteligente, isto , um ato inteligente que seja uma tentativa

deliberada (especial no sentido de um mtodo ou tcnica) para invadir servios de

segurana e violar as polticas do sistema (SHIREY, 2000).

PARA SABER MAIS

O ataque um evento que pode arriscar a segurana de um sistema ou uma rede. Um ataque pode ser bem sucedido ou no. Um ataque bem sucedido caracteriza uma invaso. Um ataque tambm pode caracterizar uma ao que tenha um efeito negativo, Ex: DoS.

Quando um ataque realizado no temos a plena garantia que ele ter xito, pois

dependendo da vulnerabilidade do sistema que saberemos qual nvel de sucesso

ser alcanado.

Com a finalidade de conhecermos os recursos de segurana precisamos enumerar as

formas que podem ser utilizadas para atacar um sistema:

Interceptao: acesso ao sistema por pessoas ou meios no autorizados.

Interrupo: interrompe o fluxo de mensagens na rede

Modificao: o ato de modificar a mensagem violando sua integridade.

Personificao: violao da autenticidade da mensagem. Quando no possvel

garantir quem enviou a mensagem.

SAIBA MAIS

Um ataque pode ser ativo, tendo por resultado a alterao dos dados, passivo, tendo

por resultado a liberao dos dados, ou destrutivo visando negao do acesso aos

dados ou servios (WADLOW, 2000).

2.3.3. Ataques tipo DoS e DDoS

A internet comunica-se atravs da transmisso dos pacotes de dados. Quando a

mquina recebe uma quantidade superior de pacotes com a qual ela tem a

possibilidade de trabalhar, a mquina automaticamente ir se recusar a receber novos

pacotes, sendo que ela possui uma grande quantidade de dados para manipular e,

portanto, ficar indisponvel. Chamamos este tipo de evento de DoS (Denial of Service,

ou negao de servio). Portanto, quando uma mquina bombardeada no pode mais

servir os usurios legtimos, aps o 'flood' de dados recebidos, ocorre negao de

servio.

O DoS tambm tem sido usado para avaliar a capacidade de sua rede. Profissionais de

segurana utilizam este recurso como ferramenta para medir o desempenho.

Entretanto, crackers utilizam este recurso inundando suas redes do mundo todo e tm

trazido muitos problemas a muitos servios da internet. O poder de ataque desses

recursos aumenta quando eles so originrios de vrias mquinas para um alvo, ou

seja, o envio de pacotes de dados parte de diversos pontos. Chamamos este ataque de

Distributed DoS (DDoS).

2.3.3.1. Como funciona o DDoS

A estrutura deste ataque realizada atravs de diferentes hosts que disparam seus

programas atacando seu alvo. Estes computadores so denominados de Zumbis, que

so acionados a partir de um comando de um computador central, ento esses Zumbis

comeam a remeter o mximo de pacotes ao alvo destino. Este ataque pode ser

entendido em trs etapas, sendo que na primeira est o cracker que aciona o

dispositivo, na etapa seguinte mquinas intermedirias e na ltima etapa as mquinas

s quais iro enviar diretamente os pacotes ao destino.

O Flood na mquina da vtima pode ser causado usando o comando ping do UNIX. Mas

este sistema precisa ser acionado para que ele inicie o ataque. Este disparo pode ser

realizado usando um telnet ou um SSH para se conectar a cada host e acion-lo.

Atualmente existem ferramentas que automatizam este processo e disparam os hosts

simultaneamente.

2.3.3.2. Caractersticas do DDoS

Para que o ataque tenha maior sucesso necessrio que as pistas deixadas pelo

invasor sejam apagadas. Desta forma foram desenvolvidas ferramentas para os rastros

do ataque desapaream. Com a finalidade de despistar, esses programas falsificam o

endereo da origem do pacote, aproveitando-se de uma deficincia no protocolo da

internet.

2.3.3.3. Como surgiu o DDoS

Acredita-se que o uso de DoS surgiu em salas de bate-papo do IRC (Internet Relay

Chat). Pessoas que queriam dominar o canal e usavam esse ataque para sobrecarregar

a mquina dos outros usurios.

2.3.3.4. Como o trfego de DDoS pode ser detectado pelo NIDS

Existem dois tipos de trfego originados por DDoS: o trfego de controle (entre cliente

e servidor) e o trfego flood (entre servidor DDoS e a vtima). Para habilitar uma

deteco eficiente deve-se procurar por sinais gerais (assinaturas), ou pelo volume de

trfego, que causam suspeita por serem intensos.

2.3.3.5. Como evitar um ataque DoS

No existe uma soluo eficiente para bloquear um ataque DoS/DDoS. A tentativa

minimizar seu impacto, para que isso seja possvel temos que primeiramente

identificar um ataque de DoS de forma correta e depois criar alternativas para

desviar o fluxo de pacotes, que pode ser feito atravs de um firewall ou algum tipo

de alterao de endereamento IP ou DNS.

2.3.3.6. Tipos de Ataques de DoS

O primeiro ataque que veremos um ataque que consome a Largura de Banda que

a quantidade em bits/s que a rede suporta. So apresentadas duas formas para

executar este ataque:

1. Quem ataca tem uma largura de banda maior que a da vtima.

2. Um conjunto de computadores utilizado para realizar o ataque vtima

ampliando seu poder para consumir a largura da banda.

Outra forma de ataque tentar esgotar os recursos do sistema para travar os

processos que esto em execuo no computador. A tentativa aqui lotar os discos,

consumir memria, estourar pilhas para afetar o sistema operacional.

Encontramos tambm ataques a Servidores de Nomes de Domnios (DNS) e a

Roteadores. Neste ataque um servidor de nomes (servidor DNS) comprometido de

tal forma que as requisies de acesso a um site feitas pelos usurios deste servidor

sero redirecionadas a outro endereo, sob controle dos atacantes. Desta forma, o

atacante pode conduzir todo trfego para a mquina dele, ou para uma rede que no

existe, o que denominamos de buraco negro.

2.3.3.7. Exemplos de Ataques DoS

SMURF Este ataque um dos mais temidos. Ataques 'smurf' exploram erros de

configurao em roteadores que permitem a passagem de pacotes ICMP ou UDP. Um

ataque 'smurf' utilizando um dado nmero de redes 'amplificadoras' consegue

consumir grandes quantidades de banda tanto destas redes quanto da rede da vtima

impossibilitando o trfego de pacotes nestas redes. Quando os pacotes chegam na

rede auxiliar eles so multiplicados e a vtima ser inundada com quantos pacotes

forem ecoados na rede.

SYN FLOOD Este ataque determinado pelo envio de uma grande quantidade de

pacotes de abertura de conexo, atravs de um endereo de origem falsificado (IP

Spoofing), atacando um determinado servidor. Quando o servidor recebe os pacotes

eles so colocados em uma entrada na fila de conexes em andamento, depois envia

um pacote de resposta e aguarda uma confirmao da mquina cliente. Sendo o

endereo de origem dos pacotes falso, a confirmao de resposta nunca chega ao

servidor. Desta forma a fila de conexes no servidor fica lotada e todos os pedidos de

abertura de conexo so jogados fora e conseqentemente o servio paralisado. A

paralisao persiste at o tempo para o servidor identificar a demora e remover a

conexo em andamento da lista.

2.3.4. Metodologia dos ataques

2.3.4.1. Footprinting Coletando informaes do alvo.

Esta tcnica utilizada pelos invasores com a finalidade de obter informaes do alvo.

O footprinting um dos trs instrumentos que se utiliza com a finalidade de um pr-

ataque. A varredura e a enumerao so os outros dois que atuam em conjunto. Com

o footprinting o invasor poder abstrair desde alguns dados pessoais da vtima at o

perfil de redes. Existem vrias ferramentas utilizadas no levantamento de informaes,

o prprio google um exemplo. Uma ferramenta bem fcil o Nslookup, ou seja, a

ferramenta utilizada para consulta de nomes de domnio nos servidores.

Existem tcnicas diferentes de footprinting, com o objetivo de descobrir informaes

utilizando-se dos recursos ao qual o atacante pode ter acesso. Listamos a seguir

algumas das informaes que podero ser obtidas atravs dos seguintes recursos:

1. Utilizando a internet o atacante poder identificar: Nome de domnio, Blocos

de rede, Endereos IP, Servios TCP e UDP executados em cada sistema

identificado, Arquitetura do sistema, Mecanismos de controle de acesso,

Firewalls, Sistemas de deteco de intruso (IDS), Enumerao de sistemas

(nome de usurios e de grupos, Tabelas de roteamento, informaes de

SNMP);

2. Utilizando uma intranet o atacante poder identificar: Protocolos de rede em

uso, Nomes de domnio interno, Blocos de rede, Endereos IP, Servios TCP e

UDP executados em cada sistema identificado, Arquitetura do sistema,

Sistemas de deteco de intruso (IDS), Enumerao de sistemas (nome de

usurios e de grupos, tabelas de roteamento, informaes de SNMP);

3. Utilizando acesso remoto: Nmeros de telefone analgicos e digitais, Tipo de

sistema remoto, Mecanismos de autenticao.

O roteiro do footprinting:

Inicialmente deve ser determinada qual a amplitude do objetivo, para saber

quais informaes sero necessrias e como procurar por tais informaes. Se

desejarmos saber onde procurar, primeiro temos que responder se o objetivo

est restrito a uma empresa, uma empresa com suas filiais ou somente a

matriz, onde esta localizada e outras informaes que possam determinar fsica

e geograficamente a empresa.

A busca de informaes de domnio pblico o prximo passo para o

levantamento das informaes. Podem ser realizadas buscas procurando

muitas informaes em locais como: sites da organizao; levantamento de

informaes na Internet, buscas na USENET, listas de nmeros de telefones,

listas de endereos, servidores relacionados organizao procurando nomes e

lista de emails dos funcionrios entre outras informaes.

Outras fontes pesquisadas so as informaes relativas as redes que podem ser

obtidas atravs de consultas na Faperj, no Internic, servidores de Whois. No

registro BR pode ser obtido quem registrou o domnio, contato administrativo,

quando o registro foi criado, os servidores de domnio e outros domnios

relacionados.

Por ltimo poder ser determinada a topologia da rede usando ferramentas

como o traceroute, e tambm a identificao dos firewalls. Outras ferramentas

como o VisualRoute, cheops, scotty podero ser utilizadas tambm.

2.3.4.2. Varredura

Varredura (ou scanning) o recurso utilizado para descobrir todas as aberturas que o

ambiente oferece. O objetivo descobrir todos os sistemas disponveis e ativos a partir

da internet utilizando-se de ferramentas e tcnicas, como, por exemplo, varreduras de

ping, varreduras de porta e ferramentas de descoberta automatizadas. importante

lembrar que um sistema (um endereo IP) descoberto utilizando o footprinting

anterior no significa que esta mquina est ligada, ou mesmo se ela existe, por isso a

varredura necessria, ela que vai determinar os seus alvos. Vamos citar alguns

mtodos de varredura:

Varredura de Portas Clssicas: TCP connect, TCP syn (conexo semi-aberta),

varredura baseadas na RFC 793 (no Microsoftware), TCP rvore de natal, TCP

null (varreduras nulas), Microsoftware e RFC 793, UDP, ACK, TCP window, TCP f

in/ack ( fim de conexo).

Varreduras de ping de rede: fping, gping, hping, nmap sP, Pinger, Ping Sweep

etc.

Varreduras para sistemas UNIX/Windows: nmap, strobe, udp_scan, Netcat

Varreduras para sistemas Windows: PortPro, PortScan, Stealth

Consultas ICMP: icmpquery, icmpush

Deteco de Sistema Operacional: nmap O, queso

Pacotes completos: scotty, cheops e ferramentas de gerncia.

2.3.4.3. Enumerao

O processo de enumerao semelhante ao que se utiliza para escrever um texto.

Antes de iniciar a escrita voc deve listar o contedo de seu documento. Utilizando

este princpio voc dever preparar a lista de informaes enumeradas. A investigao

poder iniciar atravs dos recursos de compartilhamento de rede, pesquisa de

usurios e grupos, determinar os aplicativos e suas verses.

Alguns comandos e programas conhecidos podem facilitar o seu trabalho. No Windows

NT voc poder utilizar: o net view. Ex: net view /domain ou net view /domain: lab123.

Usar o NTRK (Windows NT Resource Kit). Outra alternative o Legion, NAT.

Ferramentas para SNMP especficas do NTRK (Ex. snmputil) e tambm a enumerao

de banners, usando telnet para portas especficas

Segue tambm a lista de comandos par o Unix: showmount e. rpcinfo p. finger l

@vitima.com.br. rusers, rwho, etc. Poder utilizar o Netcat e o SamSpade.

2.4. Ferramentas utilizadas por hackers

Vamos listar alguns grupos de ferramentas que so utilizadas para verificao de

segurana:

Malwares;

Dispositivos Destrutivos;

Ferramentas de DoS/DDoS;

Emails bomba;

List Linking;

2.4.1. Trojans

So cdigos no autorizados dentro de um programa legtimo. O programa (trojan)

muitas vezes tem o seu nome alterado para o nome de um programa executvel

conhecido ou at mesmo de um arquivo. Muitas vezes os trojans no so destrutivos,

eles de alguma forma apenas coletam informaes do sistema/usurio e transferem

para o atacante;

2.4.2. Password Crackers

So ferramentas utilizadas para quebra de senhas. o processo de recuperao de

senhas a partir de dados que tenham sido armazenados ou transmitidos por um

sistema de computador. Uma abordagem comum tentar repetidamente adivinhar a

senha. O objetivo da quebra de senha poderia ser a de ajudar o usurio a recuperar

uma senha esquecida, tentar ganhar acesso no autorizado a um sistema, ou como

medida preventiva utilizado por administradores de sistema para verificar as senhas

que so facilmente atacadas. Exemplos de programas: John the Ripper, Cracker,

L0phtcrack, NTcrack, Zipcrack, Netcrack, PGPcrack.

2.4.3. Scanners

Ferramentas para varredura de redes. So programas utilizados para encontrar

vulnerabilidades nos sistemas, ou seja, so programas que procuram por falhas de

segurana que podem possibilitar ataques e tambm invases. Existem tambm, para

uma atuao mais especfica, os Port Scanner que so programas que vasculham um

computador buscando portas de comunicao abertas. Estes programas ficam

analisando, de forma seqencial, as portas de um computador, atravs do envio de

vrios pacotes seguidos para esse computador com nmeros de portas diferentes, com

a finalidade de receber a resposta de uma delas e, com isso, constatar a presena de

portas abertas. Exemplos de programas: Nessus, Nmap, NSS, Strobe, SATAN, SAINT,

Internet Security Scanner - SafeSuite (ISS), Cybercop (NAI), Network ToolBox, Stealth

2.4.4. Sniffers

Ferramentas utilizadas para anlise de protocolos e de captura de pacotes na rede.

Atravs da captura de pacotes que trafegam pela rede, um invasor eu esteja ouvindo

a rede atravs de um programa sniffer pode capturar senhas e pacotes de informaes

que desejar. Exemplos: Sniffer (NAI para Windows), LinSniff (para Linux), SunSniff

(para Sun), Snoop (Sun), Tcpdump, Snort.

2.4.5. Exploits

Um exploit um programa utilizado para explorar uma vulnerabilidade de outro

programa. So na maioria das vezes, programas prontos que os Hackers constroem

para os que esto aprendendo a ser Hacker. Existem exploits para explorar

vulnerabilidades especficas de sotwares especficos, e mais, de verses especficas. Ou

seja, voc vai encontrar, por exemplo, um exploit para o Servidor de DNS (bind) verso

4.2 , verso para RedHat, Slackware, etc. s vezes os exploits suportam vrias verses,

mas isso no comum.

2.4.6 BufferOveflows

Alguns tipos de ataques que exploram vulnerabilidades na construo de hardware e

software para, inclusive, rodar um cdigo executvel remotamente na mquina alvo.

Um computador pode no autorizar a execuo de servios se algum sistema

operacional ou software tiver falha com o processo de alocao de memria e com o

tamanho dos buffers usados.

Os exploits so os responsveis por provocarem o estouro dos buffers. Quando

colocamos em um programa dados de forma incorreta ou uma quantidade muito

grande de dados, se o programa no estiver bem escrito, ele poder travar, ou mesmo

apresentar erros gigantescos. Quando programa apresenta este tipo de

comportamento muito provvel que ele esteja vulnervel a um buffer overflow. Um

buffer overflow ocorre quando inserimos uma quantidade de dados no programa bem

maior do que ele pode receber (estourando seu buffer) desta forma ele passar a

executar comandos que no esto programados. Assim, voc capaz de colocar

instrues nos prprios dados que est inserindo, fazendo o computador execut-las.

uma tarefa bastante complexa descobrir falhas deste tipo e escrever um exploit,

somente hackers com conhecimento muito avanado possuem tal habilidade. Para

proteger seus sistemas contra o uso destas tcnicas voc deve ficar atento aos ltimos

exploits lanados nos sites de hackers e nos as atualizaes de segurana nos

fabricantes.

2.5. Vulnerabilidades das Redes

2.5.1. Malwares

O palavra malware proveniente do ingls e significa malicious software; ou seja,

programa malicioso, que um software com a finalidade de se infiltrar em um sistema

de computador de forma ilcita, com o objetivo de provocar algum tipo de dano ou

mesmo roubar informaes. Vrus de computador, worms, cavalos de tria e spywares

so considerados malware. Programas que apresentem falhas, intencionais ou no,

tambm podem ser considerados um malware

Tratando-se de pragas virtuais, estes programas maliciosos tm dado muita dor de

cabea s empresas desde a inveno da internet. Analise comigo: a primeira coisa a

pensar, neste caso, como obter uma maneira segura de entrar na rede sem correr os

riscos que todos correm, no verdade? Quisera o usurio comum, ter a certeza de

que bastasse um antivrus (atualizado) para sanar seu problema.

2.5.1.1. Vrus

Vrus , antes de qualquer outra coisa, um programa de computador. Estes programas

so criados com a finalidade de causar prejuzo ou simplesmente danificar

computadores e programas. Os vrus so desenvolvidos em linguagens de

programao (Visual Basic, C, Delphi). Existem muitas maneiras de se contaminar por

um vrus, sendo a maioria delas via web:

Atravs de e-mail;

Atravs de qualquer mdia removvel (diskete, cd, dvd, pendrive);

Atravs de arquivos recebidos e executados em programas P2P e IRC;

Atravs de algum download efetuado proveniente de um site duvidoso;

Recebimento de qualquer arquivo de um conhecido seu, por programas tipo ICQ,

MSN;

Os vrus se propagam facilmente infestando todo o computador da vtima.

2.5.1.2. Trojans ou Cavalo de Tria

So programas que criam canais de comunicao para que invasores entrem num

sistema. Envia-se um falso presente para a vtima (geralmente por e-mail), que

ingenuamente aceita e o executa. Quando um programa desses acionado em um

computador, ele manda pacotes de informao por meio de uma porta de

comunicao qualquer ao seu dono (pessoa que o enviou vtima). Alm de abrir as

portas do computador da vtima o Trojan comea a fazer seu ataque se enviando por

e-mail para outras pessoas, como se fosse o usurio. a forma usada para sua

propagao para outros computadores.

Para que o invasor descubra quem possui o trojan instalado em seu computador, ele

faz uma varredura de endereos na Internet. Quem estiver contaminado pelo cavalo-

de-tria responder varredura. Desta forma ele poder se utilizar da vulnerabilidade

encontrada para realizar suas tarefas de invaso ou furto.

2.5.1.3. Worm

So trojans ou vrus que fazem cpias do seu prprio cdigo e as enviam para outros

computadores, seja por e-mail ou via programas de bate-papo, dentre outras formas

de propagao pela rede. Estes programas se aproveitam das falhas do sistema para se

propagar, e se replicar. Os Worms no contaminam arquivos.

Atualmente est cada vez mais difcil classificar um programa malicioso em uma destas

categorias, pois os "vrus" modernos esto usando cada vez mais tcnicas mistas de

contaminao. Eles so cada vez mais comuns e perigosos porque o seu poder de

propagao muito grande. No raro encontrar programas que usam tcnicas de

worms para entrar no sistema, alterar as configuraes de segurana e infectar seu

computador como se fosse um vrus de macro.

PARA SABER MAIS

Os worms so uma das pragas mais perigosas atualmente, eles unem o conceito de

vrus e trojan utilizando a internet para se propagarem automaticamente.

2.5.1.4. Vrus de Macro

Utiliza-se da linguagem VBScript, podendo ser executado em qualquer computador

que possua aplicativos baseados nessa linguagem (por exemplo, Word). Vrus de

Macro nada mais que um programa escrito em VBA. No momento que abrimos um

documento do Word contaminado, esta macro ativada, podendo apagar documentos

importantes, por exemplo.

S para entendermos o que uma macro: Macro uma aplicao feita em Visual Basic

que interpretada pelo pacote OFFICE da Microsoft, que pode ser utilizada para fazer

pequenos programas para trabalhar no Office.

2.5.1.5. Vrus de Boot:

Este tipo de vrus ataca o setor de boot e o sistema operacional. Normalmente se

instalam no MBR do hard disk, destruindo seu contedo ou apenas permanecendo l,

para que sejam carregados na inicializao do sistema operacional.

2.5.1.6. Spywares

Spywares tm o objetivo de coletar informaes do usurio sem a sua permisso e

envi-las para anunciantes ou empresas. Eles coletam informaes como hbitos de

navegao na web, teclas pressionadas, senhas, endereos de e-mails, etc. O objetivo

poder enviar ao usurio material direcionado em funo de conhecer seus hbitos de

navegao. uma forma que os distribuidores de softwares gratuitos encontram para

obter lucro.

Os spywares so simplesmente uma verdadeira praga e podem ser adquiridos atravs

da navegao na internet. Eles no so vrus, pois no prejudicam o sistema, apenas

ficam escondidos e tem como objetivos propsitos comerciais.

Algumas medidas de segurana devem ser tomadas para sua proteo: tomar cuidado

com sites suspeitos e no confiveis, no realizar o download de qualquer freeware e o

usar programas Anti-Spywares, como por exemplo: Spybot Search & Destroy, AD-

Aware e Spy-Sweeper. Estes programas varrem todo o computador em busca das

pragas e removem todas elas.

2.6. Cookies

Cookies nada mais so do que bits de informao, pequenos arquivos em formato

txt, que no pesam quase nada e so captados pelo browser e armazenados no HD. O

contedo da informao pode ser qualquer dado que o usurio eventualmente tenha

fornecido on-line, como por exemplo o preenchimento de algum cadastro. Com os

cookies, o web site pode lembrar qual a sua identidade e quais suas preferncias.

Exemplo: em um computador de uso domstico, para comodidade do internauta, a

presena dos cookies preenche automaticamente o login e a senha do usurio para

que ele s precise dar um clique em ok para entrar na sua conta de e-mail. Isso no

aconselhvel no caso de empresas (para evitar que voc seja bisbilhotado). Caso os

cookies sejam apagados (painel de controle opes de internet guia geral

excluir cookies), o usurio ser obrigado a digitar o login e a senha toda vez que quiser

acessar sua conta.

Os cookies podem ser teis tambm para dizer ao webmaster quantas visitas o seu

site recebeu, qual a freqncia com que os internautas acessam sua pgina, do que

eles gostam e quais pginas eles visitam. Esses tipos de dados servem para que as

pginas se tornem mais eficientes e mais proveitosas de acordo com o perfil do

visitante. Uma observao importante que os Cookies no podem transportar vrus,

pois estes s podem ser transportados por arquivos executveis (terminao .exe) e

por isso no podem carregar nenhum programa malicioso junto consigo.

Contudo, os browsers acabam revelando alguma informao sobre o usurio mesmo

sem os cookies, como: seu IP (endereo na internet), verso do sistema operacional,

tipo de navegador em uso, etc. Apesar de ser possvel tambm nos livrarmos dessa

situao, acabamos deixando de se beneficiar em certos aspectos na rede. Voc no

teria que reconfigurar pginas personalizadas a cada visita, por exemplo.

2.7. Spam

Quando se trata de e-mail, spam nada mais do que qualquer tipo de mensagem que

contenha: propaganda, ofertas e anncios sendo que a pessoa que elaborou tudo isso

(spammer) no se identificou. Mas como assim? Ao receber um spam, repare no

endereo do remetente: [email protected], [email protected],

[email protected], ou qualquer coisa parecida onde se o usurio

resolver responder o e-mail, caso consiga enviar, no receber resposta pois os e-mails

foram feitos somente para aquele momento da ocasio.

Existe tambm o spam familiar que lhe enviado como resposta automtica de algo

que foi comprado pela internet tem por objetivos confirmar o nmero do pedido,

endereo de destino, notificar sobre algum problema, etc.

Embora no exista no Brasil nenhuma lei que proba o envio de spams, estes podem

destruir completamente uma relao comercial. Opes vlidas de segurana so

encontradas na conta de e-mail, atravs do lixo eletrnico que filtra mensagens que

provavelmente seja spams. Caso o provedor se engane em alguma mensagem basta

que o usurio selecione a mesma e marque-a como no sendo lixo eletrnico para que

as prximas mensagens do respectivo remetente no sejam enviadas para a pasta do

lixo eletrnico.

2.8. Backdoor:

Porta dos fundos uma vulnerabilidade, normalmente implantada de forma

intencional pelo desenvolvedor do sistema, que permite a invaso do sistema por

quem conhece a falha (o programador, normalmente). Acredita-se que sistemas

comerciais famosos, como o Windows, possuam Backdoors para que a Microsoft possa

obter informaes do micro sem que o usurio invadido saiba.

2.9. Adware:

So programas que, instalados no computador do usurio, realizam constantemente a

abertura de janelas de anncios de propaganda. Muitas vezes confunde-se estes

programas com vrus, mas eles no atuam como tal, tem a finalidade apenas de

bombardear publicidade.

SAIBA MAIS

Kevin Mitnick considerado pelos EUA como o maior cracker americano. Esteve preso

e hoje atua em prol da segurana de dados pessoais e auxilia na proteo de rgos

governamentais.

LINK

Recomendo a vocs assistirem o filme A Senha: Swordfish: Gabriel Shear (John

Travolta) um perigoso espio que est a fim de roubar alguns bilhes de dlares do

governo. Para isso ele precisa da ajuda de um hacker, algum cujo talento faa os

sistemas de segurana mais fechados parecerem brinquedinhos de criana, e procura

Stanley Jobson (Hugh Jackman). Stanley um dos maiores hackers do mundo, acabou

de sair da priso por hackear o FBI e est quebrado. Ele aceita participar do plano,

principalmente por lhe prometerem que, se colaborar, poder ter a guarda de sua filha

novamente. Mas logo Stanley percebe que a operao no exatamente o que parece

e que est envolvido num plano bem mais sinistro do que um roubo high-tec. Este

filme apresenta uma boa idia sobre a questo de segurana, vale a pena conferir.

A SENHA: Swordfish. Ttulo Original: Swordfish. Direo de Dominic Sena. EUA: Warner

Bros, 2001. 1 DVD

Questes para reflexo

Quando voc encontra uma falha em um programa, qual sua atitude diante

deste problema?

Voc possui as devidas protees em seu sistema? Elas so sempre

atualizadas?

Entre os ataques que explicamos, qual deles chamou mais sua ateno e

porque?

Para concluir o estudo da unidade

Diariamente surgem novos tipos de malwares, por isso importante estarmos atentos

e acompanharmos as atualizaes sempre que possvel. Definitivamente sabemos que

no estamos seguros, devemos encontrar as formas mais eficientes para garantirmos a

proteo de nossas informaes.

Resumo

Nesta unidade aprendemos sobre as principais vulnerabilidades computacionais.

Procuramos esclarecer um pouco sobre cada uma das ferramentas utilizadas para

realizao de ataques e invases. Percebemos tambm as principais diferenas entre

elas e as finalidades que atendem. As explicaes sobre as ferramentas foram

apresentas de forma apenas a esclarecer para que servem e no com o objetivo de

instruir sua utilizao.

Atividades de aprendizagem

1) O que uma vulnerabilidade?

2) Quais as conseqncias de uma pessoa mal intencionada invadir seu

computador. O que ela pode causar?

3) Cita algumas maneiras de buscar informaes para sua segurana

computacional.

4) Que tipo de inimigo podemos encontrar no ambiente virtual?

5) Cites algumas causas dos problemas de segurana.

6) O que so ameaas e cite os tipos que podemos encontrar?

7) Quanto a sua intencionalidade, como classificamos as ameaas?

8) O que um ataque dentro do ambiente virtual?

9) Quais as formas possveis de ataque?

10) Explique como funciona o ataque DoS e a diferena para o ataque DDoS.

11) Cite exemplos de ataque DoS e explique-os.

12) O que a tcnica de footprinting?

13) Cite as ferramentas utilizadas pelos hackers e explique cada uma delas de

forma resumida.

14) Quais as vulnerabilidades das redes?

UNIDADE 3. - Engenharia Social



Introduzir o tema sobre engenharia social;

Mostrar como um engenheiro social faz seu planejamento;

Apresentar o perfil de um engenheiro social;

Demonstrar algumas tcnicas utilizadas pelo Engenheiro Social.

Introduo ao estudo

Os Administradores de Sistemas e Analistas de Segurana tem a preocupao de

manter a rede e os sistemas em pleno funcionamento. Muitos recursos so

disponibilizados no mercado para alcanar estes objetivos. Grandes investimentos so

realizados na rea de segurana, entretanto o elemento humano sempre esquecido

na planilha de investimentos. Muitos piratas virtuais com conhecimento medocre

em programao conseguem ultrapassar a maioria das defesas utilizando uma tcnica

denominada como Engenharia Social.

Seo 1 Princpios da Engenharia Social

Nessa seo, vamos aprender sobre a Engenharia Social e como esta ferramenta pode

ser perigosa em mos de pessoas mal intencionadas. Entender o perfil do Engenheiro

Social ser importante para percebermos quando estamos sendo alvo de um possvel

ataque.

3. O que Engenharia Social

Existe algum mtodo rpido e eficiente para se descobrir uma determinada senha?

No sabe? E se voc simplesmente perguntar? Pode parecer um absurdo, mais

realmente este o mtodo mais simples, mais usado e talvez o mais eficiente de se

obter informaes. muito simples, basta chegar e perguntar. Pode at no ser a

senha, mas e

segurança da informação - prof neto

Documents