download

MÓDULO DE:SEGURANÇA DE REDES AUTORIA: Gilberto OliveiraCopyright © 2008, ESAB – Escola Superior Aberta do Brasil 1 Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

Módulo de: Segurança de RedesAutoria: Gilberto OliveiraPrimeira edição: 2009CITAÇÃO DE MARCAS NOTÓRIASVárias marcas registradas são citadas no conteúdo deste módulo. Mais do que simplesmente listar esses nomese informar quem possui seus direitos de exploração ou ainda imprimir logotipos, o autor declara estar utilizandotais nomes apenas para fins editoriais acadêmicos.Declara ainda, que sua utilização tem como objetivo, exclusivamente na aplicação didática, beneficiando edivulgando a marca do detentor, sem a intenção de infringir as regras básicas de autenticidade de sua utilizaçãoe direitos autorais.E por fim, declara estar utilizando parte de alguns circuitos eletrônicos, os quais foram analisados em pesquisasde laboratório e de literaturas já editadas, que se encontram expostas ao comércio livre editorial.Todos os direitos desta edição reservados à 2ESAB – ESCOLA SUPERIOR ABERTA DO BRASIL LTDAhttp://www.esab.edu.brAv. Santa Leopoldina, nº 840/07Bairro Itaparica – Vila Velha, ESCEP: 29102-040Copyright © 2008, ESAB – Escola Superior Aberta do Brasil Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

ApresentaçãoO módulo de Segurança de RedesÉ vital para as organizações estarem acessíveis através da Web, para se manteremcompetitivas perante o concorrido mercado globalizado. Neste novo cenário, a informaçãotorna-se o ativo mais importante da organização, pois é através de sua manipulação deforma rápida e precisa que milhares de pessoas realizem negócios em tempo real, provandoa realização de transações comerciais a partir de um único clique.O mundo atual é um sonho para muitos que se esforçaram para conseguirmos acessarlugares distantes através de uma rede de computadores. Nem mesmo os inventores do TCP/ IP, nem da Internet, poderiam imaginar a extensão e a extensão deste projeto, bem comoseu uso nos mais diversos segmentos mundiais, que causou em todo o mundo a propagaçãode uma nova cultura digital.Do ponto de vista técnico, alcançamos a era digital, sem termos acoplados os conceitos desegurança para esta grande rede, pois o que seria apenas uma pequena rede militar, tornou-se a grande rede mundial. Os protocolos não foram criados para serem utilizados em tãolarga escala em termos de segurança, pois apresentam diversas vulnerabilidades. Mas, écomplicado mudá-los, pois é um padrão mundial.Se de um lado, temos a necessidade das organizações em dispor seus negócios de formarápida, fácil e acessível, de outro temos estes problemas técnicos.Esta matéria tem como objetivo fornecer conceitos importantes de segurança para seremaplicados em paradigmas do mundo real, como soluções a serem implantadas nos maisdiversos níveis da Internet, para que de acordo com o valor dispensado a esta meta, sejafeito o melhor aproveitamento possível da verba, direcionando os esforços a uma maiorsegurança das informações.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 3

Este esforço vem ao contrário dos objetivos da Internet, que é interligar todas as redes domundo, porém, sem este trabalho teríamos receio de acessar a Web e disponibilizarinformações pessoais ou comerciais. Este é um campo em ascensão e ainda, muito restrito,porém promete grandes oportunidades para os que almejam atuar nesta área.Objetivo1. Propiciar ao aluno condições de compreender e reconhecer as principais formas desegurança em redes e, condições de avaliar os riscos mais comuns num sistema decomputação quanto a sua segurança e conscientizar sobre a necessidade da segurança deredes.2. Apresentar as principais técnicas de ataques a redes existentes e suas conseqüências.Familiarizar o aluno com arquiteturas de firewalls, de sistemas de detecção de intrusão e deredes virtuais privadas, caracterizando e diferenciar as tecnologias de segurança de rede.EmentaConceitos gerais de Segurança da Informação, gestão de risco e criptologia com suasrespectivas normas regulamentadora, legislações, políticas, investigação e ética, tipos deameaças e riscos a Segurança de uma Rede, tipos comuns de invasão (interna e externa),vírus e ataques mais comuns.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 4

Sobre o AutorFormaçãoBacharel em Engenharia Elétrica com especialização em Telecomunicações e LicenciaturaPlena em Informática com especialização em Informática Educacional e professor deMatemática (Ensino Fundamental e Médio).ExperiênciaProfessor desde 1987 e formação em Tutoria pelo convênio CEFET/Pelotas-RS eUNIMINAS/Uberlândia-MGCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 5

SUMÁRIOUNIDADE 1 ........................................................................................................... 9 CONCEITUAÇÃO DE SEGURANÇA e AMEAÇAS ORGANIZACIONAIS ....... 9UNIDADE 2 .........................................................................................................18 OS ATACANTES..............................................................................................18UNIDADE 3 .........................................................................................................25 SEGURANÇA CONTINUADA .........................................................................25UNIDADE 4 .........................................................................................................30 TIPOS DE ATAQUES E CLASSIFICAÇÃO.....................................................30UNIDADE 5 .........................................................................................................44 CONTINUAÇÃO ............................................................................................... 44UNIDADE 6 .........................................................................................................53 CONTINUAÇÃO ............................................................................................... 53UNIDADE 7 .........................................................................................................62 CONTINUAÇÃO ............................................................................................... 62 Objetivo: Conhecer o universo de estudo, Conceituação de Segurança e Ameças. ...........................................................................................................62UNIDADE 8 .........................................................................................................72 CONTINUAÇÃO ............................................................................................... 72UNIDADE 9 .........................................................................................................74 PLANO DE CONTINGÊNCIA ..........................................................................74UNIDADE 10 .......................................................................................................79 CONTINUAÇÃO ............................................................................................... 79UNIDADE 11 .......................................................................................................84 NBR ISO/IEC DE SEGURANÇA .....................................................................84UNIDADE 12 .......................................................................................................93 Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 6

ÁREAS DE CONTROLE DO ISO 17799 .........................................................93UNIDADE 13 .....................................................................................................102 MEDIDAS, MONITORAMENTO E RISCOS NA SEGURANÇA....................102UNIDADE 14 .....................................................................................................112 POLÍTICAS, REGRAS E ESTATÍSTICAS DE INVESTIMENTOS EM CONTINGÊNCIA DE GRANDES EMPRESAS .............................................112UNIDADE 15 .....................................................................................................118 COMPONENTES DE SEGURANÇA: FIREWALL.........................................118UNIDADE 16 .....................................................................................................128 FILTROS E GATEWAYS ...............................................................................128UNIDADE 17 .....................................................................................................136 CONTINUAÇÃO ............................................................................................. 136UNIDADE 18 .....................................................................................................142 NAT, VPN E LIMITAÇÕES NO USO DE FIREWALL.................................... 142UNIDADE 19 .....................................................................................................148 ARQUITETURA E PROJETO DE FIREWALL...............................................148UNIDADE 20 .....................................................................................................154 SISTEMAS DE DETECÇÃO DE INTRUSÃO ................................................154UNIDADE 21 .....................................................................................................163 NIDS E HIDS.................................................................................................. 163UNIDADE 22 .....................................................................................................170 HONEYPOT E METODOLOGIA.................................................................... 170UNIDADE 23 .....................................................................................................175 IDS E PADRONIZAÇÃO ................................................................................175UNIDADE 24 .....................................................................................................179 VPN E CARACTERÍSTICAS .........................................................................179UNIDADE 25 .....................................................................................................185 FUNDAMENTOS E APROFUNDAMENTO SOBRE VPN.............................185Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 7

UNIDADE 26 .....................................................................................................193 CRIPTOGRAFIA ............................................................................................193UNIDADE 27 .....................................................................................................199 CHAVES CRIPTOGRÁFICAS .......................................................................199UNIDADE 28 .....................................................................................................208 ATAQUES A SISTEMAS CRIPTOGRÁFICOS..............................................208UNIDADE 29 .....................................................................................................211 AUTORIDADE CERTIFICADORA E CERTIFICADOS ................................. 211UNIDADE 30 .....................................................................................................215 AUTENTICAÇÃO ...........................................................................................215GLOSSÁRIO .....................................................................................................231BIBLIOGRAFIA ................................................................................................232Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 8

U 1NIDADECONCEITUAÇÃO DE SEGURANÇA e AMEAÇAS ORGANIZACIONAISObjetivo: Conhecer o universo de estudo, Conceituação de Segurança e Ameças.1. INTRODUÇÃOAtualmente, as organizações por estarem acessíveis através da Web tornou-se vital evantagem competitiva perante o concorrido mercado globalizado. Neste novo cenário, ainformação torna-se o ativo mais importante da organização, pois é através de suamanipulação de forma rápida e precisa que milhares de pessoas realizem negócios emtempo real, provando a realização de transações comerciais a partir de um único clique.Para muitos o mundo atual é um sonho para conseguir acessar lugares distantes através deuma rede de computadores. Nem mesmo os inventores do TCP/IP e Internet poderiamimaginar a extensão deste projeto, bem como seu uso nos mais diversos segmentosmundiais, que causou em todo o mundo a propagação de uma nova cultura digital.Tecnicamente, alcançamos a era digital sem termos acoplados os conceitos de segurançapara esta grande rede, pois o que seria apenas uma pequena rede militar tornou-se a granderede mundial. Os protocolos não foram criados para serem utilizados em tão larga escala emtermos de segurança, pois apresentam diversas vulnerabilidades. É complicado mudá-los,pois é um padrão mundial. Se de um lado, temos a necessidade das organizações em disporseus negócios de forma rápida, fácil e acessível, de outro temos estes problemas técnicos.O objetivo desta matéria não é esgotar ao máximo o tema e, sim, fornecer conceitosimportantes de segurança para serem aplicados em paradigmas do mundo real, comosoluções a serem implantadas nos mais diversos níveis da Internet, para que de acordo comCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 9

o valor dispensado a esta meta, seja feito o melhor aproveitamento possível da verba,direcionando os esforços a uma maior segurança das informações.Este esforço vem contrário aos objetivos da Internet, que é interligar todas as redes domundo, porém, sem este trabalho teríamos receio de acessar a Web e disponibilizarinformações pessoais ou comerciais. Este é um campo em ascensão e ainda muito restrito,porém promete grandes oportunidades para os que almejam atuar nesta área.2. CONCEITOS BÁSICOS DE SEGURANÇA Não adianta uma organização estar atuando virtualmente se as informações que alimentam o sistema estiverem vulneráveis. Da mesma forma que este é um fator diferencial para a globalização, a vulnerabilidade pode conduzir ao fracasso uma empresa.A Era da Informação trouxe consigo uma série de problemas pertinentes a vulnerabilidadesde sistemas operacionais e protocolos, como o Code Red, que causou em torno de 2,9bilhões de dólares de prejuízo por causar lentidão na rede devido aos sistemas operacionaisWindows NT e 2000, e os diversos ataques a sites, como Yahoo, Amazon, CNN, UOL, entreoutros. Também, a perda de privacidade de diversos clientes da CD Universe, devido aataque no site bem-sucedido, onde foram roubados os números de cartão de crédito dosclientes.Porém, os maiores ataques que causam prejuízos às organizações não são os externos,mas os internos que ocorrem a partir da própria rede. Para complicar este cenário, antesqueríamos que as pessoas externas a organizações não conseguissem enxergar as redescorporativas. Atualmente, o grande desafio das organizações é a disponibilização de serviçosatravés das redes externas, Internet, como se os parceiros comerciais estivessem dentro daempresa, e para isto ocorre o acesso à rede interna.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 10

2.1. A Tecnologia da Informação (TI) no mercado globalizadoPrimeiramente, é preciso definir três palavras:  Dado: característica qualquer de um objeto, como um nome, data de nascimento de alguém ou a cor dos olhos de uma pessoa. Em informática, é uma seqüência qualquer de bits armazenados.  Informação: ao associarmos o nome a uma pessoa específica, com sua cor de olhos e pele, data de nascimento, temos uma informação, pois os dados começam a ter sentido.  Conhecimento: ao termos um conjunto de informações, dados pessoais, comerciais e religiosos de alguém, por exemplo, podemos traçar um melhor perfil da pessoa e dependendo deste conjunto de informações posso atuar de diferentes formas. Este agir diferente é o conhecimento, pois agrega valor ao ser humano e a organização, podendo trazer vantagem competitiva.Nas décadas 70-80, temos a informática como ferramenta de proteção da confidencialidadedos dados. É a época marcada pela chegada dos mainframes, das empresas com muitosfuncionários que tinham dificuldades em realizar até mesmo a folha de pagamento econtabilidade.Nas décadas 80-90, com a chegada das redes corporativas, a TI é utilizada para guardar nãomais dados, mas informações consistentes e processadas. A informática avança naadministração e é parte da estratégia da empresa para minimizar seus custos. O importanteé a integridade da informação.A partir da década de 90, temos uma nova preocupação: disponibilidade. Temos as redes IP,tornando-se essencial aos negócios e são armazenadas nos sistemas informatizados nãomais informações, mas conhecimentos – o objeto a ser protegido nos computadores.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 11

Atualmente, o mundo globalizado exige uma nova postura das empresas: altacompetitividade na disputa de novos mercados. Mas, como conseguir atingir o maior númerode mercado e ser mais eficiente do que o concorrente, oferecer um melhor produto, commaior eficiência e manter um bom relacionamento? Através de sistemas interligados via rede,que conseguem atingir clientes nos mais diversos pontos geográficos, com sistemas queprovêem esta nova visão mercadológica e globalizada.Diante do exposto, para qualquer organização é necessário observar alguns requisitos, comoinfra-estrutura em telecomunicações e sistemas informatizados capazes de prover asnecessidades do mundo atual, tornando a informática um acessório de auxílio na execuçãode atividades de forma centralizada e mais rápida e, principalmente, parte do negócio daorganização que possibilita sua posição diante do cenário mundial.Desta forma, surge a necessidade da criação dos chamados ambientes corporativos, quenada mais é do que a interação de terceiros dentro da empresa, para que os parceiros denegócios consigam atuar de forma mais rápida e eficiente, maximizando o tempo entre anecessidade e o fechamento do negócio entre empresas, tornando-se, muitas vezes, peçafundamental e seletiva entre empresas. Como exemplo, citamos as montadoras deautomóveis do Brasil.Ao ser solicitado um carro, todas as peças são solicitadas on-line aos parceiros comerciais,que as entregam dentro do prazo esquematizado, pois seguem um padrão de fabricaçãodependendo da demanda, e faz com que na data prometida o carro solicitado seja entregueao cliente. Isto tudo oferece muitas vantagens às empresas, principalmente porque não émais necessário trabalhar com grandes estoques. A tecnologia oferece ainda a possibilidadede dispor de acessos remotos a clientes externos e internos, usuários móveis e comunicaçãoentre filiais.Do ponto de vista da segurança, temos algumas preocupações: Diversidade de tecnologia: apesar da maioria das organizações utilizarem o TCP/IP, cada uma possui suas peculiaridades: cultura, políticas internas, perfil de usuário, que precisam ser estudadas com cuidado, pois extrapolam o lado técnico e operacional.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 12

 Preservação das informações: é vital para as organizações que possuem este tipo de transação, a confiabilidade na proteção das informações, especialmente em casos onde existe grande interação entre empresas, para que uma não consiga obter dados não permitidos, nem da própria empresa nem das empresas parceiras.  Acesso de informação: quanto mais níveis de acesso têm as informações disponíveis, maior é o custo e a complexidade do gerenciamento.Agora iremos refletir como poderemos minimizar estes impactos negativos dentro daorganização, através de técnicas, metodologias e tecnologias de segurança.Ambiente corporativo – Diversidade de conexões2.2. Por que se proteger?A proteção de uma organização em TI não é apenas contra hackers, vírus e funcionáriosmaliciosos, mas como uma garantia de que os negócios da empresa estarão disponíveis deforma fácil e flexível, favorecendo e concretizando as diversas tendências da globalização,como B2B (Business to Business), B2C (Business to Consumer) entre outros. Comoexemplo, citamos o caso da Ford no Brasil que no ano de 2000, através do B2C, conseguiuCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 13

realizar transações no valor de 3.311,00 milhões de dólares e do Banco do Brasil, que obteveo valor de transações on-line na ordem de 4.077,40 bilhões de dólares. Com valores tãoexpressivos, podemos mensurar o quanto é importante à instabilidade dos sistemasinformatizados para estas e muitas empresas mundiais. Esta é uma das preocupações quetemos que ter quando falamos em segurança. Outros dados que precisamos saber é que de acordo com pesquisas realizadas nos Estados Unidos (Computer Security Institute e FBI), temos um aumento substancial em incidentes de segurança, sendo que 70% envolvem a Internet, 31% sistemas internos e 18% acessos remotos. De acordo com Information Security,os números de servidores que sofreram ataques entre 2000 e 2001 dobraram e estãodistribuídos da seguinte forma: 48% sofreram ataques, 39% ficaram indisponíveis e 32%ataque tipo overflow, podendo ter resultado em perda de confidencialidade. Apesar destesdados estatísticos, os ataques que mais atingem as organizações são os vírus, worms eCavalo de Tróia, que chegou a um percentual de 89%. Estes dados estatísticos vêm reforçara idéia da necessidade da segurança, pois em qualquer tipo de incidente, existem grandesprobabilidades dos clientes não conseguirem realizar negócios devido à falta ou lentidão dainstabilidade dos sistemas informatizados. Isto para a organização é perda de dinheiro ecredibilidade, fator muito importante e buscado com afinco em empresas que oferecem estetipo de serviço.3. AS AMEAÇAS ORGANIZACIONAIS 14São divididas em cinco:  Ameaças físicas.  Ameaças lógicas. Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

 Ameaça ocupacional. Ameaça à confidencialidade. Ameaça ambiental.3.1. Ameaças FísicasSão aquelas que os recursos materiais utilizados no ambiente de informação estão expostos,colocando em risco a integridade operacional da organização. Infelizmente, em muitasempresas, se gasta muito em segurança das informações e terminam se esquecendo deproteger o patrimônio. Exemplos:  Catástrofes (momento de intensa e descontrolada distribuição): desabamento, explosões, incêndios, inundações, paralisações, sabotagem, espionagem, roubo; furtos, terrorismo, acidente, furacão, entre outros.  Supressão de serviços: infra-estrutura operacional da tecnologia vigente falha ou deixa de existir causando interrupção ou descontinuidade às organizações.  Falha de energia.  Falha de equipamentos: defeito de fabricação, má revisão, uso inadequado, tempo de vida útil do equipamento.  Temperatura do equipamento.  Queda de comunicação: por acidente natural ou erro operacional.3.2. Ameaças lógicasOcorrem quando acontece uma modificação da capacidade funcional devido a dolo, acidenteou erro de recursos:Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 15

 Hacker ou usuários que conseguem acesso e usam de forma ilegais sistemas corporativos. Alteração e distribuição de dados de forma ilegal e destrutiva, através do uso intencional de programas maliciosos. De ponto de vista da segurança, este ato é tão criminoso quanto à destruição de bens tangíveis. Vírus: São programas que se ocultam dentro de outros. Vermes: Agem de forma independente, gerando cópias dele mesmo em outros sistemas. De modo geral, sua atuação consiste em distribuir programas e interromper o funcionamento da rede e sistemas computacionais. Roubo de equipamentos portáteis, devido a informações restritas a organização. Pirataria de software.3.3. Ameaças ocupacionaisOcorrem quando há uma desestabilização de recursos humanos, modificando a capacidadefuncional da organização:  Espaço físico.  Layout.  Temperatura.  Iluminação.3.4. Ameaça à confidencialidadeOcorre quando intencional ou acidentalmente alguém consegue acesso a um recurso quenão tem autorização de possuir. A privacidade é atingida por coletas ou mal uso de dados,Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 16

como o recebimento de e-mails, propaganda indesejáveis, como convite ao uso de cartão decrédito em compras, tornando-se um grande problema quando acontece em excesso.3.5. Ameaça ambientalAcontece quando se aplicam os quatro itens anteriores à infra-estrutura do ambiente, ouseja, a rede de computadores:  Destruição de informação ou de outros recursos.  Modificação ou deturpação da informação.  Roubo, remoção ou perda da informação ou de outros recursos.  Revelação de informações.  Interrupção de Serviços.As ameaças podem ser acidentais, ou intencionais, podendo ser ambas ativas ou passivas:  Ameaças acidentais: não estão associadas à intenção premeditada, como os bugs de software e hardware.  Ameaças intencionais: estão associadas à intenção premeditada, como a observação de dados com ferramentas simples de monitoramento de redes e alteração de dados, baseados no conhecimento do sistema.  Ameaças Passivas: quando realizadas não resultam em qualquer modificação nas informações contidas em um sistema.  Ameaças Ativas: envolvem alterações de informações contidas no sistema, ou modificações em seu estado ou operação.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 17

U 2NIDADEOS ATACANTESObjetivo: Conhecer o mundo e o nome dos principais atacantes.4. CONHECENDO OS ATACANTES O Objetivo dessa unidade é fazer com que você tenha conhecimento dos tipos de atacantes, seu perfil, como atacam e exemplos de incidentes ocorridos. Antes deconhecer como defender as organizações é preciso conhecer um pouco dos tipos deatacantes e ataques que as organizações estão sujeitas.4.1. De quem preciso me proteger?Hacker significa pessoas que utilizam seus conhecimentos para invadir sistemas decomputadores, com intuito de desafiar suas habilidades. Esta definição possui denotaçãodiferente daquela que muitas vezes empregamos: hacker é aquele que invade sistemascomputacionais visando causar transtornos às vitimas. Podemos dizer que a maioria doshackers são pessoas que colocam o conhecimento em informática como algo de destaqueem suas vidas, uma forma de poder. Em geral, são excelentes programadores de linguagensde alto nível, como C, juntamente com assembler (que apesar de ser de baixo nívelapresenta compatibilidade e versatilidade) e, conhecem muito bem redes de computadores.Antigamente, somente existiam hacker e cracker – aqueles que causavam danos a sistemase roubavam informações – e, como curiosidade, os hackers não gostavam, pois acabavamsendo incorporados a eles esta característica. Atualmente, esta classificação foi alterada eCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 18

de acordo com estudos realizados, temos diversas outras classificações para os diversostipos e níveis de hacker. Os mais conhecidos: Hackers.  Phreakers. Full Fledged ou Crackers.  Insiders. Script kiddies ou Newbies.  Coders. Lammers.  White hat. Wannabe.  Gray hat. Cyberpunks.  Cyberterrorista. Carders.4.1.1. Hackers: no mundo da Ciência da Computação ou Ciência da Informação, os hackerssão analistas de sistemas que são especialistas em segurança e auditoria.Com técnicas estudadas e algumas próprias, eles procuram brechas e possíveis falhas nosistema, e relatam o que foi achado e se existe uma forma para consertar. Infelizmente esteconceito de hacker mudou depois de Kevin Mitinick, que utilizava estas técnicas para roubarinformações vitais principalmente do governo americano. Depois que Mitnick foi preso, amídia mundial o chamou de hacker, e o termo ficou assim conhecido por todos como sendo apessoa que invade e rouba informações de sistemas.Com a nova economia gerada pelos computadores e pela Internet, é comum que asempresas guardem suas informações em formato digital, e também é comum a contrataçãode hackers por outras empresas, para espionagem industrial. Um hacker não age somentena Internet. Para descobrir informações que possam levá-lo a conseguir completo controlesobre o sistema, faz um verdadeiro trabalho de detetive.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 19

Um livro que ilustra muito bem esta situação é “A Arte de Enganar”, do Kevin Mitnick. Hoje,ele é proibido de acessar qualquer computador e presta consultoria de segurança paradiversas organizações mundiais, conforme a liberação do governo americano. No livro, elenarra vários episódios de acesso a informações sigilosas. Ele não diz que foi ele quemobteve o acesso, mas muita gente acredita que sim. Pelo sim ou pelo não, é válido ler paraverificar como podemos ser enganados facilmente.4.1.2. Full Fledged ou Crackers: utiliza suas habilidades para invadir sistemas e roubarinformações secretas das empresas, sendo os verdadeiros terroristas da Internet, com intuitode roubar e destruir dados. Não medem conseqüências, contanto que consigam o quequerem. Não são de confiança e costumam ser desprezados pelos próprios hackers.É comum vender as informações para a própria vítima, ameaçando a divulgação do roubo,no caso da empresa não negociar. Este ato é chamado de blackmail. Citamos o exemplo daCD Universe que teve um cracker em seus sistemas. Ele capturou os dados de cartão decrédito dos clientes e exigiu 100 mil dólares para não divulgar. A CD Universe não atendeu asolicitação e houve a divulgação dos mesmos.4.1.3. Script kiddies ou Newbies: ou “novatos” são os principiantes e apesar de muitosdescartarem este tipo, trazem diversos problemas para as empresa.Em geral, são pessoas inexperientes, que possuem conhecimento médio sobre comonavegar na Internet, e utilizam pequenos programas para tentar invadir computadores(normalmente de usuários domésticos) disponíveis na Internet. Eles não entendem o queestão fazendo, nem o que significa o programa. São freqüentadores de salas de chat, ondeprocuram trocar informações com pessoas mais experientes. São perigosos para asorganizações que não possuem uma política de segurança adequada, por isso apresentamalgumas vulnerabilidades, como atualização de patch em servidor, sistemas operacionais ebanco de dados. Porém, foi devido a este tipo de hacker que as organizações começaram aCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 20

perceber o valor da segurança e realizarem procedimentos que minimizem os efeitos destetipo de ataque, pois uma imensa maioria na Internet e também é o que mais causa incidente.Um fator interessante é que pelos conhecimentos dos scripts kiddies serem limitados, muitasvezes servidores Windows sofre ataques com comandos Unix.4.1.4. Lammers: são script kiddies que estão começando a entender como o programa deinvasão funciona, e descobrem locais onde podem trocar informações e aprender algumatécnica de hackerismo.Gostam de falar em salas de chat que conseguem invadir sistemas, querendo se apresentara Internet. Às vezes, em chat fazem \"flood\" (ou inundação de informações). Felizmente, paracada grupo de Lammers que aparecem hoje na Internet, somente uns poucos conseguemchegar a se tornar hackers propriamente ditos.4.1.5. Wannabe: são lammers que conseguiram invadir computadores com o uso de umprograma ou parar os sistemas de um provedor pequeno ou empresa utilizando algumatécnica. O nome \"Wannabe\" surgiu devido ao número crescente de lammers, que \"queremser\" hackers, e possuem algum conhecimento para isto.São aprendizes e se bem orientados, podem se tornar bons hackers. É comum escutarnotícias de sites na Internet pichados pelos wannabe.4.1.6. Cyberpunks: são hackers que se dedicam à invasão por divertimento e desafio.Possuem profundos conhecimentos e preservam sua privacidade, utilizando criptografia emsuas comunicações.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 21

Eles acreditam que o governo tenta captar as informações das pessoas na Internet,tornando-se um grande inimigo. São os mais extremistas que acreditam e divulgam asteorias de conspiração que, muitas vezes, encontramos na Web.Por terem um bom conhecimento e serem muito desconfiados, conseguem descobrirdiversas vulnerabilidades em sistemas, serviços e protocolos, ajudando à comunidade e aosdistribuidores a corrigir estes problemas. Infelizmente, as grandes empresas distribuidorascontam com esta ajuda externa e não adotam a política do desenvolvimento com segurança,caso contrário, não teríamos tantas correções em nossos sistemas computacionais.4.1.7. Carders: são especialistas em roubar números de cartões de crédito e utilizar estesnúmeros para comprar via Internet. Como os crackers, os carders são hackers que, ouconseguiram invadir um sistema de uma operadora de cartões de crédito, ou trabalhavam nosetor de Informática de uma operadora. Este tipo de hacker costuma causar grandesprejuízos as operadoras e empresas, obrigando estas a revisar a segurança constantemente.4.1.8. Phreakers: são especialistas em telefonia e informática, com conhecimento suficientepara invadir um sistema utilizando o sistema de telefonia de um país, diferente daquele queestá localizado.4.1.9. Insiders: são os responsáveis pela maioria dos incidentes graves nas organizações.Este tipo de ataque é originário da própria organização, podendo ser realizado a partir daengenharia social ou até mesmo relação de funcionário com o chefe, através da espionagemindustrial e suborno.Uma nova modalidade do crime organizado é a espionagem industrial, atribuída aos insiders.E a demanda para estes hackers é grande, pois vivemos numa sociedade baseada noCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 22

conhecimento e informação. Muitas pessoas nas organizações não sabem do valor quepossuem em suas mãos.Os ataques internos, apesar de ser em menor quantidade, apresentam maiores prejuízos àsorganizações. É o que diz uma pesquisa realizada pela Computer Crime and Security Survey– Computer Security Institute. A pesquisa mostra que os hackers são os maiores atacantes aempresas (81%) contra os funcionários internos (76%). Porém, o ataque realizado porfuncionários internos resulta em maiores perdas financeiras, sendo o roubo de propriedadeintelectual da organização.O valor do prejuízo por roubo destas informações correspondeu a 151 milhões de dólares e osegundo colocado – a fraude financeira – a 93 milhões de dólares. Os funcionários são asmaiores ameaças para a empresa por possuírem fácil acesso a informações, por conhecerpessoas de outros setores, ou seja, a fonte de informações importantes e ter acesso adiversas informações da empresa.Insiders geralmente são funcionários insatisfeitos com a empresa ou chefe, pois são maisfáceis de ser manipulados por concorrentes, que sabem como persuadir as pessoas que seencontram neste tipo de situação.Os terceiros podem constituir um grave risco, por conhecerem a rotina da organização,informações sigilosas, hábitos e pontos fracos da empresa. É possível que aceitem subornopara transmissão destas informações, a fim de obter segredos industriais.Outro controle importante é das pessoas da limpeza e manutenção predial, pois possuemacessos a diversas áreas restritas. A engenharia social pode ser utilizada nestas pessoaspara a obtenção de diversas informações importantes.4.1.10. Coders: são os hackers que compartilham seus conhecimentos escrevendo livros,ministrando palestras e seminários sobre sua experiência. É uma atividade lucrativa para oscoders. Kevin Mitnick, mais uma vez, é um exemplo.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 23

4.1.11. White hat: “hackers do bem”, “hackers éticos”, samurais ou sneakers, são os queutilizam seus conhecimentos para descobrir vulnerabilidades nos sites, aplicando ascorreções necessárias. Trabalham de forma legal dentro da organização, exercendo a funçãode assegurar a segurança organizacional.Em suas atividades estão os testes de invasões, para que se possa mensurar o nível desegurança da rede, porém deve-se limitar este processo, para que dados sigilosos aempresa não sejam expostos.O serviço de um white hat é importante, mas deve-se tomar cuidado para que o mesmo nãoqueira cobrar a mais do que o combinado a fim de aplicar a correção à vulnerabilidade.Infelizmente, é preciso constantemente realizar esta atividade, pois a cada nova implantaçãopodemos estar disponibilizando novas brechas de segurança.4.1.12. Gray hat: são os black hats que fazem papel de white hats, exercendo função naárea de segurança, tendo conhecimento em hacking.Empregar um gray hat é perigoso para a organização, pois muitas vezes provocamincidentes para ajudar na resolução – e receber por isto. Existem casos de gray hats queforam contratados para encontrar e corrigir vulnerabilidades, porém o serviço não foi feito.4.1.13. Cyberterrorista: são aqueles que realizam ataques a um alvo direcionado, escolhidocuidadosamente por questões religiosas, políticas ou comerciais, derrubando a comunicaçãoentre a Internet e a empresa, principalmente com ataques DoS (Denial of Service). Podemoscitar o ataque no site da SCO e Microsoft no ano de 2003, que devido a ataque coordenadoficou indisponível e obteve na mídia grande destaque.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 24

U 3NIDADESEGURANÇA CONTINUADAObjetivo: Conhecer os tipos de Segurança Continuada.4.2. Segurança ContinuadaO mundo da segurança, seja pensando em violência urbana ou em hackers, é peculiar. Ele émarcado pela evolução contínua, no qual novos ataques têm como resposta novas formas deproteção, que levam ao desenvolvimento de novas técnicas de ataques, de maneira que umciclo é formado. Não é por acaso que é no elo mais fraco da corrente que os ataquesacontecem. De tempos em tempos os noticiários são compostos por alguns crimes “damoda”, que vêm e vão. Como resposta, o policiamento é incrementado, o que resulta nainibição daquele tipo de delito. Os criminosos passam então a praticar um novo tipo de crime,que acaba virando notícia. E o ciclo assim continua. Já foi comprovada uma forte ligaçãoentre seqüestradores e ladrões de banco, por exemplo, na qual existe uma constantemigração entre as modalidades de crimes, onde o policiamento é geralmente mais falho.Esse mesmo comportamento pode ser observado no mundo da informação, de modo quetambém se deve ter em mente que a segurança deve ser contínua e evolutiva. Isso ocorreporque o arsenal de defesa usado pela organização pode funcionar contra determinadostipos de ataques; porém, pode ser falho contra novas técnicas desenvolvidas para driblaresse arsenal de defesa.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 25

Veja alguns fatores que devem ser considerados para a preocupação com a segurançacontínua:a. Entender a natureza dos ataques é fundamental: é preciso entender que muitosataques são resultados da exploração de vulnerabilidades, as quais passam a existir devidoa uma falha no projeto ou na implementação de um protocolo, aplicação, serviço ou sistema,ou ainda devido a erros de configuração e administração de recursos computacionais. Issosignifica que uma falha pode ser corrigida, porém novos bugs sempre existirão;b. Novas tecnologias trazem consigo novas vulnerabilidades: é preciso ter em menteque novas vulnerabilidades surgem diariamente. Como novas tecnologias e novos sistemassão sempre criados, é razoável considerar que novas vulnerabilidades sempre existirão e,portanto, novos ataques também serão sempre criados. As redes sem fio (wireless), porexemplo, trazem grandes benefícios para as organizações e os usuários, porém trazemtambém novas vulnerabilidades que podem colocar em risco os negócios da organização;c. Novas formas de ataques são criadas: a própria história mostra uma evolução constantedas técnicas usadas para ataques, que estão cada vez mais sofisticadas. A mistura dediferentes técnicas, o uso de tecnologia para cobrir vestígios a cooperação entre atacantes ea criatividade são fatores que tornam a defesa mais difícil do que o habitual;d. Aumento da conectividade resulta em novas possibilidades de ataques: a facilidadede acesso traz como conseqüência o aumento de novos curiosos e também da possibilidadede disfarce que podem ser usados nos ataques. Além disso, novas tecnologias,principalmente os novos protocolos de comunicação móvel, alteram o paradigma desegurança. Um cenário onde os usuários de telefones celulares são alvos de ataques eusados como porta de entrada para ataques a uma rede corporativa, por exemplo, écompletamente plausível;Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 26

e. Existência tanto de ataques direcionados quanto de ataques oportunísticos: apesarde a maioria dos ataques registrados ser oportunística, os ataques direcionados tambémexistem em grande número. Esses ataques direcionados podem ser considerados maisperigosos, pois, existindo a intenção de atacar, a estratégia pode ser cuidadosamentepensada e estudada, e executada de modo a explorar o elo mais fraco da organização.Esses são, geralmente, os ataques que resultam em maiores prejuízos, pois não são feitosde maneira aleatória, como ocorre com os ataques oportunísticos. Isso pode ser observadotambém pelo nível de agressividade dos ataques. Quanto mais agressivo é o ataque, maior éo nível de esforço dispensado em um ataque a um alvo específico. É interessante notartambém que a agressividade de um ataque está relacionada com a severidade, ou seja,maiores perdas;f. A defesa é mais complexa do que o ataque: para o hacker, basta que ele consigaexplorar apenas um ponto de falha da organização. Caso uma determinada técnica nãofuncione, ele pode tentar explorar outras, até que seus objetivos sejam atingidos. Já para asorganizações, a defesa é muito mais complexa, pois exige que todos os pontos sejamdefendidos. O esquecimento de um único ponto faz com que os esforços dispensados nasegurança dos outros pontos sejam em vão. Isso acaba se relacionando com uma dasprincipais falácias do mundo corporativo: a falsa sensação de segurança. É interessantenotar que, quando o profissional não conhece os riscos, ele tende a achar que tudo estáseguro com o ambiente. Com isso, a organização passa, na realidade, a correr riscos aindamaiores, que é o resultado da negligência. Isso acontece com os firewalls ou com osantivírus, por exemplo, que não podem proteger a organização contra determinados tipos deataques.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 27

g. Aumento dos crimes digitais: o que não pode ser subestimado são os indícios de queos crimes digitais estão se tornando cada vez mais organizados. As comunidades criminosascontam, atualmente, com o respaldo da própria Internet, que permite que limites geográficossejam transpostos, oferecendo possibilidades de novos tipos de ataques. Além disso, alegislação para crimes digitais ainda está na fase da infância em muitos países, o que acabadificultando uma ação mais severa para a inibição dos crimes.FÓRUM I 28As Ameaças Organizacionais Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

O que é assinatura digital.http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-assinatura-digitalCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 29

U 4NIDADETIPOS DE ATAQUES E CLASSIFICAÇÃOObjetivo: Conhecer alguns tipos de ataques mais comuns e suas consequências.5. CONHECENDO OS TIPOS DE ATAQUE Como os hackers agem para conseguirem invadir sistemas em ambientes cooperativos? Existe algum tipo de planejamento antes de um ataque? Se sim, quais os pontos que são monitorados? Qual é o pior tipo de ataque e o que mais compromete a disponibilidade da organização? Estas e outras perguntas serão respondidas neste capítulo.5.1. Como os hackers agem para conseguirem invadir sistemas em ambientescooperativos?Há duas formas de um hacker conseguir informações de uma empresa: através daengenharia social e utilização de invasões técnicas. Ambas exploram as deficiências noprojeto do sistema ou de seu gerenciamento. Inclusive, o gerenciamento de sistemas vemCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 30

sendo algo muito pesquisado e está aumentando oportunidades de se trabalhar nasorganizações nesta atividade.O maior problema para as organizações é que os softwares adquiridos não estão sendodesenvolvidos para atender o quesito segurança, mas por estratégia de marketing, que dizque o produto realiza determinada tarefa e irá estar disponível no mercado em determinadadata, minimizando o tempo de desenvolvimento e teste. Construir sistemas seguros exigemaior disponibilidade de tempo e uma metodologia que propicie este comportamento.Diversos testes devem ser realizados, mas a maior parte das organizações sequer testa suasaplicações devidamente, sistemas operacionais e ferramentas para gerenciamento. É fácilafirmar pela quantidade de atualizações que são necessárias no decorrer da vida útil dossoftwares que utilizamos.Os hackers tentam explorar algumas condições:  As vulnerabilidades na implementação e no designer do sistema operacional, serviços aplicativos e protocolos.  Utilização de senhas de fácil dedução que podem ser obtidas através de capturas (packet sniffing).  Uso impróprio de ferramentas para gerenciamento, como sniffing – que serve para diagnosticar problemas na rede – e por scanning – identifica portas ativas do sistema, e serviços por porta.  Configuração, administração ou manutenção imprópria de sistemas coordenados por componentes de segurança, o que salienta a necessidade de se realizar as configurações dos componentes de forma apropriada. Ter um Firewall na rede não significa que a rede está protegida, e se aplica aos Sistemas de Detecção de Intrusão (IDS) mal configurados.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 31

A maior parte dos hackers na Internet são os newbies ou script kiddies e seus ataques sãoos mais simples (atacam vulnerabilidades do sistema operacional ou parecido, através deprogramas disponíveis da Web). Ao menos, este tipo de ataque deve não comprometer acontinuidade dos negócios da empresa.As ferramentas de defesa, monitoração de rede, planos de contingência e política derespostas a incidentes vem a combater os hackers constantemente, porém é complicadodisponibilizar defesas a novos tipos de ataques, por isso é importante que existam políticas eadministradores de redes voltados à segurança.5.2. Existe algum tipo de planejamento antes de um ataque?Os motivos que levam um hacker a invadir um site são diversos. Os script kiddies nemsabem o que estão fazendo, mas querem realizar ataques. Os insiders ou black hats têm umperfil diferente, realmente querem roubar informações sigilosas e invadir sistemas causandoprejuízos às vitimas, causando os maiores transtornos aos sites. Os cyberterroristas tambémsão perigosos para seus alvos, pois podem comprometer a infra-estrutura até mesmo deuma nação. Se um hacker com a experiência deles decidem invadir algum sistema obtendoprimeiramente a maior quantidade de informações de seu alvo.Após conseguir o levantamento dos dados, eles utilizam os seguintes recursos:  Monitoração de rede.  Penetração no ambiente corporativo.  Inserção de códigos prejudiciais e/ou informações falsas no sistema.  Envio de muitos pacotes com a finalidade de derrubar o sistema.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 32

As conseqüências são diversas, pois depende da segurança implementada na rede atacada.Exemplos:  Monitoração por parte dos hackers na rede corporativa.  Roubo de informações confidenciais a empresa.  Alteração em sistemas corporativos, especialmente em base de dados e servidores.  Negação de serviços a usuários com permissão de acesso.  Fraudes e perdas financeiras.  Perda da credibilidade perante o mercado.  Trabalho extra e indisponibilidade para clientes devido à recuperação dos recursos.Salienta-se o fato de que os hackers tentam esconder suas evidências de ataque, alterandologs do sistema operacional, trocando arquivos de configuração, entre outros procedimentos.Entretanto, existem formas de não permitir estes processos, através dos Sistemas deDetecção de Intrusão.Etapas básicas para a metodologia de ataque Extraído do site www.microsoft.com 33 Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

5.3. Tipos de Ataques O sucesso do ataque de um hacker está em obter informações de um sistema sem ser percebido. Relacionaremos os principais tipos de ataques e as técnicas utilizadas para obtenção de informações confidenciais, dividindo-os nos seguintes tipos:  Ataques para obtenção de informações.  Ataques físicos.  Ataques de negação de serviços ou Denial Of Service (DoS).  Ataques ativos contra o protocolo TCP.  Ataque no nível de aplicação.  War Dialing.5.3.1. Ataques para obtenção de informações:a) Dumpster diving ou trashing: várias empresas desconhecem o valor do lixo de sua empresa, ao contrário de um hacker que examina os lixos em busca de informações importantes para o ataque, e conseguem na maioria das vezes. No livro “A Arte de Enganar”, Kevin Mitnick mostra muitas situações semelhantes. No Brasil, esta técnica é muito utilizada pelos hackers, pois nossa cultura é menosprezar o valor do lixo. Para amenizar este risco, é importante distribuir fragmentadoras de papéis, pra evitar que o cruzamento das informações, que constam em papéis descartados no lixo, sejam cruzadas e transformadas em acesso a informações de clientes ou usuários. Esta prática deve ser incorporada à política da empresa.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 34

b) Engenharia social: é a técnica que explora as fraquezas humanas e sociais, ao invés da tecnologia, com objetivo de persuadir as pessoas, enganando e empregando falsas identidades, a fim de obter informações como senhas, ou dados que sejam importantes para invadir o sistema. Muitas vezes, é utilizado termos da própria organização para obter êxito neste processo. De forma clássica, o hacker se passa por alguém da alta hierarquia da empresa e consegue as informações que precisam, ou usa novos funcionários contratados para conseguirem dados que de outra forma não conseguiriam.Exemplos:1: Um desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor, e quesua conexão com a Internet está apresentando algum problema e, então, pede sua senhapara corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar umainfinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto,relacionando tais atividades ao seu nome.2: Você recebe uma mensagem via e-mail, dizendo que seu computador está infectado porum vírus. A mensagem sugere que você instale uma ferramenta disponível em um site daInternet, para eliminar o vírus de seu computador. A real função desta ferramenta não éeliminar um vírus, mas permitir que alguém tenha acesso ao seu computador e a todos osdados nele armazenados.3: Você recebe uma mensagem via e-mail, onde o remetente é o gerente ou o departamentode suporte do seu banco. Na mensagem é mencionado que o serviço de Internet Bankingestá apresentando algum problema e que tal problema pode ser corrigido se você executar oaplicativo que está anexado a mensagem. A execução deste aplicativo apresenta uma telaanáloga àquela que você utiliza para ter acesso à conta bancária, aguardando que vocêdigite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acessoà conta bancária e enviá-la para o atacante.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 35

Os discursos apresentados nos exemplos mostram ataques típicos de engenharia social queprocuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única eexclusivamente da decisão do usuário em fornecer informações sensíveis ou executarprogramas. Citamos o exemplo ocorrido à AOL em outubro de 1998, que através daengenharia social, um hacker conseguiu alterar o DNS e direcionar todo o tráfego para umoutro servidor, que não era do provedor.5.3.2. Ataques físicosÉ caracterizado por roubo de equipamentos, softwares ou fitas magnéticas e é dos métodosde ataques mais comuns. Citamos o exemplo do famoso Kevin Poulser, que roubou diversosequipamentos do provedor de acesso de diversas organizações, quebrando o sigilo econfidencialidade de diversas empresas.Informações livres e disponíveis na Internet: distribuídas livremente na Internet econsideradas não intrusivas são valiosas para ataques direcionados.Citamos o exemplo das consultas ao DNS, análise de cabeçalhos de e-mail e busca deinformações em lista de discussões. Baseado nestes tipos de dados é possível descobrirdetalhes sobre sistemas, topologia e dados de usuários que podem servir num ataque,mesmo de forma inconsciente para quem o fornece. Citamos também as listas de discussõesque muitas vezes constam informações da pessoa, como cargo e setor, e dos superiores emcaso de mensagens mal formadas de ausência. Outros exemplos são os protocolos SimpleNetwork Management Protocol (SNMP) e o Netbious, e serviços como finger, ruses, systat,netstat, todos os casos disponibilizam informações do tipo de sistema operacional e suaversão.Packet Scanning ou eavesdropping: consiste na captura de pacotes que trafegam pela rede.Diversos softwares realizam esta tarefa, como snoop do Solaris, tcpdump do Linux, utilizadospara resolução de problemas de rede.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 36

As informações obtidas pelos sniffers são referentes a pacotes que trafegam pelo segmentoque o software esta funcionando. Disponibilizam diversas ferramentas de filtros, que auxiliamna detecção de problemas e identificação de transações. Fazer sniffer na rede é muitoimportante para os administradores, porém em mãos de hackers é um grave problema para aorganização. Para minimizar este problema, é recomendável segmentar a rede, através deswitch ou roteadores, pois este procedimento dificulta o entendimento do tráfego.Outros tipos de informação capturada através de sniffers são as senhas sem criptografia, ouseja, que trafegam com FTP, Telnet ou Pop. Os e-mails também perdem suaconfidencialidade através dos sniffers. Como medida de segurança, é recomendável o usode criptografia, como SSH ou IPSec, ao invés do Telnet. É importante também, o uso decriptografia nos e-mails.Há técnicas diversas para descobrir se um sniffer está sendo executado. Um deles e maissimples é verificar se existe, em cada equipamento da rede, seu processo em execução,porém é comum que os hackers o inibam da lista, dificultando a percepção dosadministradores. O mesmo ocorre com a verificação de equipamentos em execução de modopromíscuo.Uma forma de amenizar o problema de execução de sniffer por hackers é a utilização detráfego com senha. A identificação do hacker é feita quando o mesmo tentar acessarrecursos com uma senha não válida, porém ele consegue efetuar algumas transações deforma legítima, inclusive com os dados do usuário que ele roubou.. O Mac Detecction é uma forma de o hacker aproveitar a vulnerabilidade do endereço IP emequipamentos que não estão implementados o TCP/IP corretamente, utilizando um MACAddress falso, onde o IP não confere com o MAC Address de equipamentos em modopromíscuo.. O DNS Detecction utiliza a característica de alguns sniffers de realizar o DNS Reverso ondeum tráfego com endereço falso é colocado na rede e, o sniffer captura o tráfego e tentaresolver o nome através do DNS. O DNS consegue saber quantos sniffers estão na rede,porém não consegue localizar os segmentos.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 37

. O Load Detecction é a detecção a partir do comportamento de um equipamento quanto atempo de resposta, levando em consideração que o equipamento onde está sendoexecutado sniffer possui um tempo de resposta maior do que o normal. Em geral, é enviadoum pacote teste para realizar a análise estatística. Entretanto, esta técnica não funciona comeficiência em redes de muito tráfego e banda considerável, pois torna-se semelhante otempo de resposta com e sem sniffer.Um caso prático: Como proteger sua senha contra Sniffers: se o usuário possui uma senhaadequada, a troca é realizada com certa regularidade e um dia é surpreendido por umainvasão em sua conta, por exemplo. As evidências indicam que invasões a contas deterceiros partiram de sua conta e você não tem a menor idéia do que está acontecendo. Istoé, alguém pode ter feito uso de sua conta e realizou estes atos como sendo você. Como issopode ter acontecido? Uma forte possibilidade é que você tenha sido vítima de um ataque desniffer. Mas, o que é isso?Sniffers são programas que permitem a um atacante roubar sua senha e assim utilizar a suaconta como se fosse você. Estes tipos de ataques são comuns. É muito importante que você,como usuário Internet, tenha consciência de como suas senhas são vulneráveis e comotomar medidas apropriadas para tornar sua conta mais segura. Selecionar uma boa senha eregularmente trocar de senha ajuda bastante, mas também é muito importante que seconheça quando se está vulnerável a sniffers e como lidar com eles.Os sniffers são programas que permitem monitorar a atividade da rede registrando nomes(username e senhas) sempre que estes acessam outros computadores da rede. Atuammonitorando o fluxo de comunicação entre os computadores. Estes programas ficammonitorando o tráfego da rede para capturar acessos a serviços de redes, como serviço dee-mail remoto (IMAP e POP), acesso remoto (telnet, rlogin, etc), transferência de arquivos(FTP), etc., com objetivo de obter a identificação de acesso à conta do usuário, caso estejanas mãos de um hacker. Cada um destes serviços utiliza um protocolo que define como umasessão é estabelecida, como sua conta é identificada e autenticada e como o serviço éutilizado, e ao ser disponibilizado solicita uma autenticação, usuário e senha, neste momentoCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 38

o hacker obtém sucesso na sua tentativa de saber dados alheios, ou seja, os dados que maisinteressam no snifffer, neste caso, são os do inicio da sessão.A figura seguinte mostra o processo de \"conversação\" entre duas máquinas remotas, onde aidentificação do usuário passa \"abertamente\" pela rede de uma máquina para outra. Transferência de arquivos via FTPA máquina A inicia a conexão com a máquina B, que solicita identificação do usuário. Este aose autenticar na máquina remota B tem sua senha capturada pelo sniffer. Para entendercomo um \"sniffer\" funciona é preciso saber que cada computador em uma LANcompartilhada pode visualizar todos os pacotes de dados que transitam de um computador aoutro desta LAN. Assim, cada computador desta rede pode executar um programa snifferque verificará os pacotes, podendo os salvar em um arquivo.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 39

Basicamente, os seguintes passos são executados por atacantes:Passo 1: O atacante, ao penetrar em sua rede, quebrando uma determinada máquina.Passo 2: Instala um programa sniffer.Passo 3: Este programa monitora a rede em busca de acesso a serviços de rede, ascapturas são realizadas e registradas em um log file.Passo 4: Em seguida, o arquivo de log é recuperado pelo atacante.Existem diversas razões que levam pessoas a roubar senhas, desde para simplesmente paraperturbar alguém, desafiar conhecimentos ou praticar atividades ilegais (invasão em outrosCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 40

computadores, roubo de informações, etc). Um atrativo para os hackers é a capacidade deutilizar a identidade de terceiros nestas atividades.Uma das principais razões que atacantes tentam quebrar sistemas e instalar sniffers é podercapturar rapidamente o máximo de contas possível, a fim de ocultar seus ataques. Parecedesesperador dizer tudo o que um sniffer pode fazer para uma rede, em mãos erradas. Mas,o importante é saber onde estão os riscos e tentar se proteger de forma adequada.Quando você tem seu cartão de crédito roubado ou desconfia que alguém pode estarutilizando-o indevidamente, você cancela o cartão e solicita outro. Da mesma forma, comosenhas podem ser roubadas, é fundamental que você a troque regularmente. Esta precauçãolimita a quantidade de tempo que uma senha roubada possa ser utilizada por um atacante.Nunca compartilhe sua senha com outros. Este compartilhamento torna difícil saber onde suasenha está sendo utilizada (e exposta) e é mais difícil detectar uso não autorizado.Nunca forneça sua senha para alguém alegando que precisa acessar sua conta para corrigiralgum problema ou quer investigar uma quebra do sistema. Este truque é um dos métodosmais eficazes de hacking, conhecido como \"engenharia social\".Outro aspecto que você deverá levar em consideração é o nível de segurança da rede quevocê utiliza ou administra. Se você estiver viajando e necessita acessar computadores desua organização remotamente. Por exemplo, pegar algum arquivo em seu home directory evocê tem disponível um cybercafé ou uma rede de outra organização. Você tem certeza quepode confiar naquela rede? Você tanto pode estar sendo monitorado com sniffers quantopode ter algum trojan fornecendo suas informações a algum hacker.Se você não tiver nenhuma alternativa para acesso remoto seguro e só tem disponíveisrecursos como Telnet, por exemplo, você pode minimizar o efeito negativo trocando a senhaao final de cada sessão. Lembre-se que somente os primeiros pacotes (200 a 300 bytes) decada sessão carregam informações de seu login. Portanto, ao trocar sempre sua senhaantes de encerrar a sessão, esta não será capturada e a senha anterior que esteve expostaà rede não será mais válida. É claro que é possível se capturar tudo que passar pela rede,Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 41

mas atacantes não tem interesse de lotar o sistema de arquivo rapidamente e com isso serfacilmente descobertos.As redes continuam vulneráveis a sniffers devido a diversos fatores. Podemos dizer que amaior parte do problema é que as empresas tendem a investir mais em novos recursos doque em adicionar segurança. Novas funcionalidades de segurança podem deixar os sistemasmais difíceis de configurar e menos convenientes para utilizar.Outra parte do problema está relacionada a custos adicionados por switchesEthernet, hubs,interfaces de rede que não suportam o modo especial promiscuous que sniffers podemutilizar.Os sniffers são aplicações passivas, não geram nada que possa ser sentido facilmente pelosusuários e/ou administradores. Em geral, não deixam rastros. Uma forma de detectar umsniffer é verificar todos os processos em execução. Isto não é totalmente confiável, mas é umbom ponto de partida. Comandos para listar processos em execução variam de plataformapara plataforma. Se você estiver em uma máquina Unix, o sniffer aparecerá em uma lista docomando ps, a menos que este ps seja um trojan (programa implementado pelo atacante queaparentemente funciona como o esperado, mas efetuar funções desconhecidas pelousuário). No Windows, basta verificar na lista de processos em execução e para isto, bastateclar <CTRL><ALT><DEL>.Outra alternativa é procurar por um sniffer conhecido. Existe uma grande chance de oatacante estar utilizando uma versão freeware. Obviamente, existe a possibilidade de oatacante ter escrito o seu próprio sniffer e neste caso a busca fica mais difícil. É precisogastar mais tempo em analisar o que pode ter sido alterado pelo atacante. Por exemplo,comparar backup de dias diferentes ou utilizar alguns programas que possam ajudá-lo nestaatividade, como TripWire, ATP e Hobgoblin que são programas interessantes para checagemda integridade do sistema e arquivos.Os sniffers podem ser disfarçados na listagem do ps (o próprio ps como a maioria dosprogramas também pode). Basta trocar o argumento do seu argv[0] (o primeiro argumento)para um nome qualquer e não parecerá ser um programa suspeito que esteja em execução.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 42

Alguns utilitários permitem identificar se o seu sistema encontra-se em modo promíscuo elevá-lo a encontrar uma máquina suspeita.Muitas organizações que estão atentas a este problema utilizam:  Placas de redes que não podem ser colocadas em modo promíscuo. Assim, os computadores não podem ser transformados em sniffer.  Normalmente, a interface Ethernet passa somente pacotes até o protocolo de nível mais alto que são destinados a máquina local. De modo promíscuo esta interface permite que todos os pacotes sejam aceitos e passados para a camada mais alta da pilha de protocolos, permitindo que a seleção do que se deseja.  Nos pacotes em trânsito pela rede, os dados são criptografados, evitando assim que senhas trafeguem às claras.Considerando o último item, a prática de utilizar criptografia em sessões remotas, ajuda amanter a segurança das informações e senhas. Porém, para uma segurança mais efetivasomente quando implementado em todos os computadores que você utiliza em sua empresaou casa e nas organizações fora de sua empresa que eventualmente tenha conta.Uma das tecnologias de criptografia bastante comum atualmente na comunicação seguraentre máquina remota é SSH (Secure Shell). O SSH encontra-se disponível para diferentesplataformas. O seu uso não impede que a senha seja capturada, mas como esta se encontracriptografada não servirá para o atacante. O SSH negocia conexões utilizando algoritmoRSA. Depois que o serviço é autenticado, todo o tráfego subseqüente é criptografadoutilizando tecnologia IDEA. Este tipo de criptografia é bastante forte.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 43

U 5NIDADECONTINUAÇÃOObjetivo: Conhecer o universo de estudo, Conceituação de Segurança e Ameças.PortScanning: é um conjunto de ferramentas utilizadas para obter informações dos serviçosexecutados por um equipamento, através do mapeamento de portas, pelo qual portas ativaspara um endereço IP são identificadas. Cada porta é designada para uma aplicaçãoespecífica (SMTP 25, SSH 22, etc).Para um hacker, o port scanning favorece a redução de esforço quanto a ataques através deportas que não estão disponíveis nenhum serviço, podendo atacar de forma maisdirecionada, conforme o serviço disponível e porta.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 44

Pesquisar e instalar um port scanner (não blues ou nmap) - MétodoO nmap é o port scanning mais utilizado, sendo empregado em auditorias de Firewall ou IDS,além de determinar falhas na pilha TCP/IP, que podem ser exploradas em ataques do tipoDoS. Através do método fingerpriting, ele consegue identificar o sistema operacional dosequipamentos scanneados. Existe ainda, a possibilidade de informar a seqüência de pacotesTCP, o que esta sendo feito em cada porta, por usuário, o nome DNS e se o endereço podese tornar uma vítima do smurf.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 45

“Uma característica muito utilizada do nmap é o scanning paralelo que auxilia na detecção deestado de hosts pelos pings paralelos, filtragem de portas, decoy scanning, fragmentação depacotes e flexibilidade na especificação de portas e alvo. Outra informação útil, é que o nmapinforma o status de cada porta aberta, se aberta (aceita conexões), filtrada (o Firewall impedeque seja especificado o estado da porta) e não filtrada. Muitos Firewalls podem protegê-locontra o port scanning. O Firewall é um programa que monitora conexões de entrada e saídapara o seu computador. Um Firewall pode abrir todas as portas do seu sistema de forma ainterromper efetivamente o scan (varredura) de mostrar qualquer porta. Embora essaabordagem funcione em muitos casos, port scan avançou com novas técnicas como “ICMPport scan inacessível” e “Null scan”. Assim como é melhor tentar filtrar todas port scans parao seu computador, também é importante estar ciente de que qualquer porta que está abertae na escuta precisa ser investigada.”  Scanning de vulnerabilidades: realiza diversos testes na rede, tanto em protocolos, serviços, aplicativos ou sistemas operacionais.Se o hacker conseguir realizar o port scanning, conseguirá direcionar melhor seu ataque, naporta e serviço disponibilizado correto, além de ter identificado o sistema operacional do alvo,diminuindo o tempo gasto para causar o incidente de segurança.Através do scanner, que examina roteadores, Firewalls, sistemas operacionais e outrasentidades IP, são detectados alguns riscos existentes na rede:  Compartilhamento de arquivos não protegidos por senha.  Configuração incorreta de roteadores, Firewall, navegadores ou serviços.  Software com atualizações faltantes.  Número de pacote TCP com facilidade de hackers descobrir.  Buffer overflow em serviços, softwares e sistemas operacionais.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 46

 Falhas de protocolos utilizados na rede. Roteadores mal configurados que expõe a rede. Checagem de trojans. Verificação de senhas fáceis de deduzir. Possibilidade de ataque de negação de serviço, ou Denial of Service (DoS).O scanner consegue diagnosticar diversas vulnerabilidades de sistema, e é uma ferramentapoderosa para a análise de riscos, segurança e auditoria. Ele vem alertar a organização desuas fragilidades para que medidas de segurança sejam tomadas. Todo scanning resultanum relatório, que deve ser avaliado pelos administradores de rede ou segurança, paradiagnosticar a existência de “falsos-positivos” (dedução do scanner de ataque quando naCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 47

verdade não é). Outro fator é a necessidade de se atualizar constantemente com assinaturasde novos ataques, para que o scanning seja o mais preciso possível.Vê-se que através do scanning podemos obter dados importantes da rede. Isto é válido paraadministradores e para hackers. Por isso, é vital que exista na rede Sistema de Detecção deIntrusão (IDS) para não permitir que hacker exerça esta atividade.  Firewalking: O firewalking é um analisador de pacotes similar ao traceroute, que obtém informações de redes remotas protegidas por Firewall, através do protocolo ICMP.Obtém informações sobre uma rede remota protegida por um firewall, e tem o funcionamentosimilar ao traceroute.Os pacotes analisados são registrados mesmo que passem via gateways, permitindo omapeamento dos roteadores antes dos Firewalls. Através destas informações, é possívelgerar a topologia da rede e obter informações sobre filtragens de pacotes no Firewall.Uma das formas de se proteger contra o firewalking é proibindo o tráfego de pacotes ICMPna rede, utilização de proxy ou Network Address Translation – NAT no Firewall (o NAT fazcom que um certo IP externo tenha receba uma tradução dentro da rede interna, outro IP evice-versa).Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 48

 IP Spoofing: é uma técnica onde o endereço real do atacante é mascarado, evitando do mesmo ser encontrado. É bem utilizado em sistemas autenticadores e em ataque de negação de serviço ou Denial of Service (DoS), nos quais os pacotes de respostas não são esperados.O IP Spoofing não consegue entregar a resposta das requisições, pois o IP na realidade nãoexiste.Ilustração de ataque IP Spoofing(http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf)Um administrador pode proteger a rede corporativa restringindo as interfaces de rede,através de filtros de acordo com o endereço utilizado na rede externa. Citamos o exemplo deCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 49

que se a empresa tem endereços 200.246.200.0 disponíveis externamente, o Firewall devenegar conexão onde a origem é 200.246.200.0.O Land pode auxiliar na pesquisa da vulnerabilidade TCP/IP, fazendo com que a origem edestino tenham a mesma porta, caso estejam dentro da rede corporativa, evitando o IPSpoofing de endereços internos a rede.Ilustração de ataque IP Spoofing(http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf)5.3.3. Ataques de negação de serviços ou DoS 50 Copyright © 2007, ESAB – Escola Superior Aberta do Brasil