Redes - e-Book 8 - Segurança

Rede de Computadores Unidade 8 – Segurança em Redes de Computadores Salvador - 2019

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) INTRODUÇÃO No campo de redes, a área de segurança de rede consiste na provisão e políticas adotadas pelo administrador de rede para prevenir e monitorar o acesso não autorizado, uso incorreto, modificação ou negação da rede de computadores e dos seus recursos associados. Segurança de rede envolve a autorização de acesso aos dados de uma rede, os quais são controlados pelo administrador de rede. A segurança de rede cobre uma variedade de redes de computadores, tanto públicas quanto privadas, que são utilizadas diariamente, conduzindo transações e comunicações entre empresas, agências governamentais e indivíduos. Ao se conectar um computador a uma rede, é necessário que tome as providencias para se certificar que esta nova máquina conectada possa não vir a ser um “portão” que servirá de entrada de invasores, ou seja, de pessoas que estão mal-intencionadas, procurando prejudicar alguém ou até mesmo paralisar a rede inteira. Embora haja sistemas que conseguem fornece um grau de segurança elevado, mesmo sendo bem configurado ainda estará vulnerável. 1. ATAQUES Um ataque, ao ser planejado, segue um plano de estratégia sobre o alvo desejado, e uma pessoa experiente em planejamento de ataque sempre traça um roteiro a ser seguido a fim de alcançar o objetivo. Um exemplo de roteiro organizado para atacar é exemplificado a seguir: • Localizar o alvo desejado; • Concentrar o máximo de informações possíveis sobre o alvo, geralmente utilizando alguns serviços da própria rede, ou até mesmo, ferramentas utilizadas na administração e gerenciamento da rede alvo; • Disparar o ataque sobre o alvo, a fim de invadir o sistema, explorando a vulnerabilidade do sistema operacional, servidores e serviços oferecidos pela rede. O invasor pode até mesmo abusar um pouco da sorte tentando adivinhar uma senha na máquina alvo, fazendo combinações possíveis; • Não deixar pistas da invasão, pois geralmente as ações realizadas pelos invasores são registradas no sistema alvo em arquivos de log, possibilitando que o administrador do sistema invadido possa vir a descobrir a invasão, a não ser que o invasor se preocupe em eliminar todos e quaisquer vestígios que o incriminem; • O invasor deve conseguir não somente senhas de usuários comuns, pois os privilégios destes usuários são limitados, não dando acesso a recursos mais abrangentes no sistema. Com isso, é de grande importância que o invasor consiga uma senha de administrador, pois terá todos os recursos de gerenciamento do sistema disponíveis, para alterações e até mesmo gerar bug no sistema. Instalar ferramentas que façam a captura de senhas de forma clandestina aos olhos do administrador, para isso existem programas que conseguem rodar em segundo plano sem que a vítima perceba, podendo ser colocados na pasta usada pela vítima; 2

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) • Criar caminhos alternativos de invasão, logo que a administradora do sistema encontrar uma “porta aberta” que permita a invasão esta será fechada, mas se o invasor gerar outras maneiras de invadir o sistema, certamente terá outra chance de invasão, já que teve a preocupação de criar novas rotas alternativas; • Utilizar a máquina invadida como “portão de entrada” para invasão de outras máquinas da rede e até mesmo do computador central 2. PROTEÇÃO Um Firewall e um conjunto de políticas de segurança que tem como objetivo tentar fazer uma segurança eficiente, mas sabendo que esta segurança nunca será cem porcento. E alem disso existe um Firewall software. Uma das grandes preocupações na área de segurança de redes é a vulnerabilidade de um computador, que pode comprometer as transmissões pelo meio físico da rede na qual o mesmo está ligado. Muito se tem feito para que o equipamento computacional (host) esteja seguro, impedindo o acesso indevido a seus dados e monitorando qualquer tentativa de invasão. Entretanto, um outro método tem se mostrado bastante eficiente: impedir que informações indesejadas entrem na rede como um todo. Não é um método substituto à segurança do host, mas complementar, e consiste no seguinte: na ligação da rede interna com Internet, instala-se um equipamento que permitirá, ou não, a entrada e saída de informação, baseada em uma lista de permissões e restrições, devidamente configuradas para suprir as necessidades básicas de comunicação da rede interna com a Internet e vice-versa. Nem mais nem menos. Esta configuração é a chave do sucesso ou fracasso de um firewall. É importante lembrar que o firewall deve estar presente em todas as conexões da rede com a Internet. Não adianta nada colocar um firewall super sofisticado na ligação do backbone se dentro da rede interna, existe um micro conectado com outra rede. A utilização de um firewall implica na necessidade de conectar uma Intranet ao mundo externo, a Internet. Para tanto, podemos formular um projeto de firewall específico, implicando em algumas perguntas que se fazem necessárias quando da aquisição destas políticas: • Gostaríamos que usuários baseados na Internet fizessem upload ou download de arquivos de ou para o servidor da empresa? • Há usuários específicos (como concorrentes) aos quais desejamos negar acesso? • A empresa publicará uma página Web? • O site proverá suporte Telnet a usuários da Internet? • Os usuários da Intranet da empresa deverão ter acesso a Web sem restrições? • Serão necessárias estatísticas sobre quem está tentando acessar o sistema através do firewall? • Há pessoal empenhado na monitoração da segurança do firewall? • Qual o pior cenário possível, caso uma ameaça atinja a Intranet? 3

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) • Os usuários precisam se conectar a Intranets geograficamente dispersas? Construir um firewall é decidir quais políticas de segurança serão utilizadas, ou seja, que tipo de tráfego irá ou não ser permitido na Intranet. Podemos escolher entre um roteador que irá filtrar pacotes selecionados, ou usar algum tipo de software proxy que será executado no computador, além de outras políticas. No geral, uma arquitetura firewall pode englobar as duas configurações, podendo assim maximizar a segurança da Intranet, combinando um roteador e um servidor proxy no firewall. As três arquiteturas de firewall mais populares são: Dual-Homed Host Firewall, Screened Host Firewall e Screened Subnet Firewall, sendo que os dois últimos usam uma combinação de roteadores e servidores proxy. DUAL-HOMED HOST FIREWALL É uma configuração simples, porém muito segura, na qual dedicamos um computador host como fronteira entre a Intranet e a Internet. O computador host usa duas placas de rede, separadas, para se conectar a cada rede, conforme mostra a figura abaixo. Usando um firewall deste tipo, é necessário desativar as capacidades de roteamento do computador, para que ele não “conecte” as duas redes. Uma das desvantagens desta configuração é a facilidade de ativar inadvertidamente o roteamento interno. O Dual-Homed Host Firewall funciona rodando um proxy a nível de circuito ou a nível de aplicativo. Conforme visto anteriormente, o software proxy controla o fluxo de pacotes de uma rede para outra. Como o computador host é dual-homed (conectado às duas redes), o firewall host vê os pacotes de ambas, o que permite rodar o software proxy para controlar o tráfego entre elas. SCREENED-HOST FIREWALL Muitos projetistas de rede consideram os screened-host firewalls mais seguros do que os Dual- Homed Host Firewalls, isto porque, acrescentando um roteador e colocando um computador host fora da Internet, é possível ter um firewall bastante eficaz e fácil de manter. A figura abaixo mostra um Screened-Host Firewall. 4

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) Como podemos ver, um roteador conecta a Internet à Intranet e, ao mesmo tempo, filtra os tipos de pacotes permitidos. Podemos configurar o roteador para que ele veja somente um computador host na rede Intranet. Os usuários da rede que desejarem ter acesso à Internet deverão fazer isso por meio deste computador host, enquanto que o acesso de usuários externos é restringido por este computador host. SCREENED-SUBNET FIREWALL Uma arquitetura Screened-Subnet isola ainda mais a Intranet da Internet, incorporando uma rede de perímetro intermediário. Em um Screened-Subnet Firewall, o computador host é colocado na rede de perímetro, onde os usuários poderão acessá-lo por dois roteadores separados. Um roteador controla o tráfego da Intranet e o outro, o tráfego na Internet. Um Screened-Subnet Firewall proporciona formidável defesa contra ameaças. Como o firewall isola o computador host em uma rede separada, ele reduz o impacto de uma ameaça para este computador, minimizando ainda mais a chance da rede interna ser afetada. A filtragem de pacotes é a maneira mais simples de se construir um firewall. Geralmente utilizadas em roteadores, as listas de acesso têm uma ótima relação custo X benefício: os roteadores já possuem estas facilidades, basta sentar e aprender a configurá-los; a filtragem é bem eficiente, invisível e rápida (se o roteador for de boa qualidade). 5

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) Mas então o que vamos configurar? Os roteadores (que toda rede em conexão com Internet possui) tem um papel muito simples: interligar duas ou mais redes e fazer o transporte de pacotes de informações de uma rede para outra, conforme sua necessidade. Mas muitos destes roteadores, além de identificar o destino do pacote e encaminhá-lo na direção certa, elas checam ainda: a direção dos pacotes; de onde veio e para onde vai (rede interna e Internet); endereço de origem e destino; tipo de pacote; portas de conexão; flags do pacote e etc. Estes pontos de conexão da Internet com a rede interna podem receber uma série de regras para avaliar a informação corrente. São as listas de acesso que definem o que deve e o que não deve passar por este ponto de conexão. Baseado nisto podemos definir uma política para segurança da rede. A primeira opção seria liberar tudo e negar serviços perigosos; a segunda seria negar tudo e liberar os serviços necessários. Sem dúvidas a segunda é mais segura, entretanto, os funcionários da rede interna podem precisar acessar livremente a Internet como forma de trabalho, e a manutenção desta lista seria tão trabalhosa, visto que a proliferação de programas na Internet é muito grande que, em pouco tempo estaríamos em um emaranhado de regras sem sentido. Pensando nas dificuldades de configuração e falta de recursos dos roteadores para a implementação dos filtros de pacotes, muitos fabricantes criaram ferramentas para fazer este tipo de filtragem, desta vez baseada em um host (computador) específico para esta tarefa, localizada nos pontos de conexão da rede interna com a Internet. Os chamados filtros inteligentes são aplicações executadas em, por exemplo, computadores ligados ao roteador e à rede interna. O tráfego de um lado para outro se dá (ou não) conforme as regras estabelecidas nas aplicações. Apesar de esta solução requerer um equipamento extra, ela nos dá uma série de vantagens sobre os filtros baseados em roteador, principalmente no que diz respeito à monitoração de acesso. Roteadores que possuem algum tipo de log, não guardam informações muito precisas sobre as tentativas de conexão na (ou da) rede interna, enquanto os filtros inteligentes possuem vários níveis de logs, nos quais é possível (e bastante recomendável) perceber os tipos de tentativa de acesso, e até definir certas ações caso um evento em especial relacionado à segurança aconteça. Uma outra característica interessante dos filtros inteligentes é a tentativa de implementar um controle de pacotes UDP, guardando informações sobre eles e tentando “improvisar” o flag ACK. Montando-se uma tabela de pacotes UDP que passam, pode-se comparar os pacotes UDP que retornam e verificar se eles são uma resposta ou se são uma tentativa de novo contato. Mais uma vez vale a pena lembrar que: nem mesmo os filtros inteligentes são substitutos para a segurança dos computadores internos. Fica fácil visualizar a quantidade de problemas se seus computadores da rede interna não apresentarem nenhum nível de segurança e o firewall for comprometido. Lembre-se: “Nenhum colete à prova de bala lhe protegerá se alguém enfiar o dedo no seu olho…”. 6

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) O servidor proxy tem duas funções, a primeira e fazer com que a internet enxergue a intranet apenas como um maquina, com isso tornando a rede segura e a outra função é armazenar paginas web para sua rede interna caso precise de atualizações o servidor proxy vai buscar na internet. Neste sistema, temos um gateway (computador que faz uma ligação) entre o nosso computador e o servidor que desejamos acessar. Esse gateway possui uma ligação com a rede externa e outra com a rede interna. Tudo que passa de uma rede para outra deve, obrigatoriamente, passar pelo gateway. O fato de terem duas ligações lhe confere o nome de “Gateway de Base Dupla”. O seu funcionamento é simples, mas de funcionalidade trabalhosa: Vamos supor que nós queremos acessar um servidor de FTP em uma rede que possua este gateway de base dupla. Primeiro, nós precisamos nos conectar ao Proxy (gateway), e dele nos conectar ao servidor FTP. Ao baixar o arquivo, este não chegará direto até nós, e sim até o Proxy. Depois de encerrada a transferência do arquivo até o Proxy, nós o transferimos, do Proxy até o nosso computador. O conceito é relativamente simples, mas isto implica em alguns problemas. Há um outro tipo de Proxy que facilita um pouco as coisas: os proxies de aplicação. Este, ao invés de fazerem com que o usuário se conecte com o destino através do Proxy, permite ao usuário a conexão através do seu próprio computador para que transfira as informações diretamente, desde que passe nas regras estabelecidas no Proxy de aplicação. Ao se conectar no Proxy de aplicação, este oferece as opções que o usuário tem disponível na rede, nada mais, e isto diminui a chance de “livre arbítrio” do usuário, como acontece nos gateways simples ou de base dupla, em que o usuário tem acesso ao sistema para se conectar a máquinas internas da rede. Entretanto, uma das principais vantagens destes proxies é a capacidade de “esconder” a verdadeira estrutura interna da rede. Vejamos como: ao tentar conectar a uma rede que possui este tipo de Proxy, eu não preciso saber nada além do número IP deste servidor. De acordo com o tipo de serviço pedido pela minha conexão, o servidor de Proxy a encaminha para o servidor que trata deste serviço, que retorna para o Proxy, que me responde o serviço. 3. CRIPTOGRAFIA Podemos então garantir uma comunicação segura na rede através da implantação de criptografia. Podemos, por exemplo, implantar a criptografia na geração dos pacotes, ou seja, apenas as mensagens enviadas de máquina para máquina serão criptografadas. O único problema disso continua sendo a escolha das chaves. Se implementarmos criptografia com chave simples (uma única para criptografar e descriptografar) temos o problema de fazer com que todas as máquinas conheçam esta chave, e mesmo que isso possa parecer fácil em uma rede pequena, redes maiores que não raramente atravessam ruas e avenidas ou mesmo bairros isto pode ser inviável. Além no mais, talvez queiramos estabelecer conexões confiáveis com máquinas fora de nossa rede e não será possível estabelecer uma chave neste caso e garantir que somente as máquinas envolvidas na comunicação a conhecem. 7

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) Se, contudo, criptografarmos as mensagens com chave pública e privada, temos o problema de conhecer todas as chaves públicas de todas as máquinas com quem queremos estabelecer comunicação. Isto pode ser difícil de controlar quando são muitas maquinas. 4. TIPOS DE ATAQUES Acompanhe agora o glossário preparado pelo Baixaki para explicar cada termo designado para os ataques e técnicas realizados por usuários deste gênero. Também não podemos nos esquecer de muitos outros termos relacionados aos aplicativos e arquivos que são apenas um peso para os computadores, aqueles que nem deveriam ter sido lançados, mas incomodam a vida de todos. Adware: este tipo de arquivo malicioso nem sempre é baixado por acidente para o seu computador. Alguns programas carregados de propagandas que só as eliminam após a aquisição de uma licença também são considerados adwares. Em suma, um adware é um aplicativo que baixa ou exibe, sem exigir autorização, anúncios na tela do computador. Application-Layer Attack: os “ataques na camada de aplicação” podem ser feitos tanto em servidores remotos quanto em servidores de rede interna. São ataques nas comunicações dos aplicativos, o que pode gerar permissões de acesso aos crackers em computadores infectados. Aplicativos que utilizam base de dados online (como Adobe Reader) também podem ser atingidos. Backdoor: traduzindo literalmente, “porta dos fundos”. São falhas de segurança no sistema operacional ou em aplicativos, que permitem que usuários acessem as informações dos computadores sem que sejam detectados por firewalls ou antivírus. Muitos crackers aproveitam-se destas falhas para instalar vírus ou aplicativos de controle sobre máquinas remotas. Black Hat: o mesmo que “Cracker”. São os usuários que utilizam os conhecimentos de programação para causar danos em computadores alheios. Bloatware: os “softwares bolha” não são considerados aplicativos de invasão. Na verdade, são programas que causam perda de espaço livre nos computadores por serem muito maiores do que deveriam ser. Ou possuem muitas funções, mas poucas que são realmente funcionais. Alguns dos softwares considerados Bloatwares são iTunes, Windows Vista e Nero. Bluebugging: é o tipo de invasão que ocorre por meio de falhas de segurança em dispositivos Bluetooth. Com equipamentos de captura de sinal Bluetooth e aplicativos de modificação sem autorização, crackers podem roubar dados e senhas de aparelhos celulares ou notebooks que possuam a tecnologia habilitada. Botnet: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente. Crapware: sabe quando você compra um computador pré-montado e ele chega à sua casa com algumas dúzias de aplicativos que você não faz ideia da funcionalidade? Eles são chamados de 8

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) crapware (em português: software porcaria) e são considerados um “bônus” pelas fabricantes, mas para os usuários são poucos os aplicativos interessantes. Compromised-Key Attack: são ataques realizados para determinadas chaves de registro do sistema operacional. Quando o cracker consegue ter acesso às chaves escolhidas, pode gerar logs com a decodificação de senhas criptografadas e invadir contas e serviços cadastrados. Data Modification: alteração de dados. O invasor pode decodificar os pacotes capturados e modificar as informações contidas neles antes de permitir que cheguem até o destinatário pré-definido. Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis. As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário. Distributed Denial of Service (DDoS): o mesmo que DoS, mas realizado a partir de vários computadores. É um DoS distribuído. DNS poisoning: “envenenamento do DSN” pode gerar alguns problemas graves para os usuários infectados. Quando ataques deste tipo ocorrem, os usuários atingidos conseguem navegar normalmente pela internet, mas seus dados são todos enviados para um computador invasor que fica como intermediário. “Drive by Java”: aplicativos maliciosos “Drive-by-download” são arquivos danosos que invadem os computadores quando os usuários clicam sobre alguns anúncios ou acessam sites que direcionam downloads sem autorização. O “Drive-by-Java” funciona da mesma maneira, mas em vez de ser por downloads, ocorre devido à contaminação de aplicativos Java. Hacker: são usuários mais curiosos do que a maioria. Eles utilizam essa curiosidade para buscar brechas e falhas de segurança em sistemas já criados. Com esse processo, conseguem muito aprendizado e desenvolvem capacidades de programação bastante empíricas. Quando utilizam estes conhecimentos para causar danos passam a ser chamados de crackers. ICMP Attack: ataques gerados nos protocolos de controle de mensagens de erro na internet. Um computador com o IP alterado para o endereço de outro usuário pode enviar centenas ou milhares de mensagens de erro para servidores remotos, que irão enviar respostas para o endereço com a mesma intensidade. Isso pode causar travamentos e quedas de conexão no computador vitimado. ICMP Tunneling: podem ser criados túneis de verificação em computadores invadidos, por meio da emissão de mensagens de erro e sobrecarga da conexão. Com isso, arquivos maliciosos podem passar sem interceptações de firewalls do computador invadido, passando por esses “túneis” de maneira invisível. IP Spoofing: é uma técnica utilizada por crackers para mascarar o IP do computador. Utilizando endereços falsos, os crackers podem atacar servidores ou computadores domésticos sem medo de serem rastreados, pois o endereço que é enviado para os destinatários é falso. 9

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) Keylogging: é uma prática muito utilizada por ladrões de contas bancárias. Aplicativos ocultos instalados no computador invadido geram relatórios completos de tudo o que é digitado na máquina. Assim, podem ser capturados senhas e nomes de acesso de contas de email, serviços online e até mesmo Internet Banking. Lammer: é o termo utilizado por hackers mais experientes para depreciar crackers inexperientes que utilizam o trabalho de outros para realizar suas invasões. Não se limitam a invadir sites, quando o fazem modificam toda a estrutura e até assinam as “obras” em busca de fama na comunidade. Logic Bomb: este termo pode ser empregado em dois casos. O primeiro refere-se a programas que expiram após alguma data e então deixam de apresentar algumas de suas funcionalidades. O segundo, mais grave, é utilizado em casos de empresas que utilizam aplicativos de terceiros e quando os contratos são rompidos, estes softwares ativam funções danosas nos computadores em que estavam instalados. Malware: qualquer aplicativo que acessa informações do sistema ou de documentos alocados no disco rígido, sem a autorização do administrador ou usuário, é considerado um malware. Isso inclui vírus, trojans, worms, rootkits e vários outros arquivos maliciosos. Man-in-the-Middle-Atack: este tipo de ataque ocorre quando um computador intercepta conexões de dois outros. Cliente e servidor trocam informações com o invasor, que se esconde com as máscaras de ambos. Em termos mais simples: pode ser um interceptador de uma conversa de MSN, que passa a falar com os dois usuários como se fosse o outro. Password-based Attacks: é o tipo de ataque gerado por programas criados no intuito de tentar senhas repetidas vezes em curtos intervalos de tempo. Criando instabilidades na verificação do logon referido, podem ser geradas duplicatas de senhas ou logons válidos. Ping of Death: um invasor realiza constantes Pings na máquina invadida para causar travamentos na banda e até mesmo para travar o computador. É um tipo de ataque Denial of Service. Phishing: mensagens de email enviadas por spammers são criadas com interfaces e nomes que fazem referência a empresas famosas e conhecidas, como bancos. Nestas mensagens são colocados links disfarçados, que dizem ser prêmios ou informações sobre a empresa em questão, mas na verdade são arquivos maliciosos. Phreaker: os hackers de telefonia. São responsáveis pelo roubo de sinal de outros aparelhos e também por desbloquear aparelhos famosos, como é o caso dos especializados em desbloqueio do iPhone. Pod Slurping: é o nome atribuído às práticas de roubo de informações por meio de dispositivos portáteis pré-configurados para a atividade. Podem ser utilizados pendrives, iPods e muitos outros aparelhos de armazenamento portátil. Há ataques diretos desta maneira e também ataques que apenas abrem portas dos computadores para invasões. Port Scanning: atividade realizada por Port scanners. É a varredura de servidores em busca de portas vulneráveis para a invasão posterior. 10

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) Repudiation Attacks: quando aplicativos ou sistemas não são criados com os comandos corretos de rastreamento de logs, crackers podem utilizar isso para remodelar os envios de comandos. Assim, podem ser modificados os dados de endereçamento das informações, que são enviadas diretamente para servidores maliciosos. Rootkit: tipo de malware que se esconde nas bases do sistema operacional, em localidades que não podem ser encontradas por antivírus comuns. São utilizados para interceptar solicitações do sistema operacional e alterar os resultados. Scareware: malwares que são acessados pelos usuários mais desavisados, pois ficam escondidos sobre banners maliciosos. Podem ser percebidos em páginas da web que mostram informações do tipo: “Você está infectado, clique aqui para limpar sua máquina”. Session hijacking: roubo de sessão. Ocorre quando um usuário malicioso intercepta cookies com dados do início da sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se fosse a vítima e realizar todos os roubos de informações e modificações que desejar. Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades. Script Kiddy: o mesmo que Lammer. Server Spoofing: o mesmo que IP Spoofing, mas direcionado a servidores VPN. Sidejacking: prática relacionada ao Session hijacking, mas geralmente com o invasor e a vítima em uma mesma rede. Muito frequentes os ataques deste tipo em hotspots Wi-Fi sem segurança habilitada. Shovelware: é o tipo de aplicativo que se destaca mais pela quantidade de funcionalidades do que pela qualidade das mesmas. Muitos conversores multimídia fazem parte deste conceito de shovelware. SMiShing: similar a phishing, mas destinado a celulares (SMS). Smurf: o mesmo que ICMP Attack. Sniffer Attack: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado. Snooping: invasões sem fins lucrativos, apenas para “bisbilhotar” as informações alheias. Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança ou mesmo sobre senhas de acesso a dados importantes. Spam: mensagens enviadas em massa para listas conseguidas de maneira ilegal. Geralmente carregam propagandas sobre pirataria de medicamentos. Também podem conter atalhos para páginas maliciosas que roubam listas de contatos e aumentam o poder de ataque dos spammers. Spoof: mascarar informações para evitar rastreamento. 11

FUNDAÇÃO ESTATAL SAÚDE DA FAMÍLIA PROGRAMA DE APERFEIÇOAMENTO PROFISSIONAL - PRIMEIRO EMPREGO, 2017/2018 EDUCAÇÃO A DISTÂNCIA - (EAD) Spyware: são aplicativos (malwares) instalados sem o consentimento dos usuários. Eles são utilizados para capturar informações de utilização e navegação, enviando os logs para os invasores. Keyloggers fazem parte desta denominação. TCP Syn / TCP ACk Attack: ataques realizados nas comunicações entre servidor e cliente. Sendo enviadas mais requisições do que as máquinas podem aguentar, a vítima é derrubada dos servidores e perde a conexão estabelecida. Podem ocorrer travamentos dos computadores atingidos. TCP Sequence Number Attack: tentativas de previsão da sequência numérica utilizada para identificar os pacotes de dados enviados e recebidos em uma conexão. Quando é terminada com sucesso, pode emular um servidor falso para receber todas as informações do computador invadido. TCP Hijacking: roubo de sessão TCP entre duas máquinas para interferir e capturar as informações trocadas entre elas. Teardrop: uma forma de ataque Denial of Service. Usuários ofensores utilizam IPs inválidos para criar fragmentos e sobrecarregar os computadores vitimados. Computadores mais antigos podiam travar facilmente com estes ataques. Trojan: tipo de malware que é baixado pelo usuário sem que ele saiba. São geralmente aplicativos simples que escondem funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores. Vírus: assim como os vírus da biologia, os vírus de computador não podem agir sozinhos. Anexam-se a outros arquivos para que possam ser disseminados e infectar mais computadores. São códigos que forçam a duplicação automática para aumentar o poder de ataque e, assim, criar mais estrago. White Hat: hackers éticos. Worm: funcionam de maneira similar aos vírus, mas não precisam de outros arquivos hospedeiros para serem duplicados. São arquivos maliciosos que podem replicar-se automaticamente e criar brechas nos computadores invadidos. Disseminam-se por meio de redes sem segurança. 12

13 comunicações dos aplicativos, o que pode gerar permissões de acesso aos crackers em computadores infectados. Aplicativos que utilizam base de dados online (como Adobe Reader) também podem ser atingidos. Backdoor: traduzindo literalmente, “porta dos fundos”. São falhas de segurança no sistema operacional ou em aplicativos, que permitem que usuários acessem as informações dos computadores sem que sejam detectados por firewalls ou antivírus. Muitos crackers aproveitam-se destas falhas para instalar vírus ou aplicativos de controle sobre máquinas remotas. Black Hat: o mesmo que “Cracker”. São os usuários que utilizam os conhecimentos de programação para causar danos em computadores alheios. Bloatware: os “softwares bolha” não são considerados aplicativos de invasão. Na verdade, são programas que causam perda de espaço livre nos computadores por serem muito maiores do que deveriam ser. Ou possuem muitas funções, mas poucas que são realmente funcionais. Alguns dos softwares considerados Bloatwares são iTunes, Windows Vista e Nero. Bluebugging: é o tipo de invasão que ocorre por meio de falhas de segurança em dispositivos Bluetooth. Com equipamentos de captura de sinal Bluetooth e aplicativos de modificação sem autorização, crackers podem roubar dados e senhas de aparelhos celulares ou notebooks que possuam a tecnologia habilitada. Botnet: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente. Crapware: sabe quando você compra um computador pré-montado e ele chega à sua casa com algumas dúzias de aplicativos que você não faz ideia da funcionalidade? Eles são chamados de crapware (em português: software porcaria) e são considerados um “bônus” pelas fabricantes, mas para os usuários são poucos os aplicativos interessantes. Compromised-Key Attack: são ataques realizados para determinadas chaves de registro do sistema operacional. Quando o cracker consegue ter acesso às chaves

14 escolhidas, pode gerar logs com a decodificação de senhas criptografadas e invadir contas e serviços cadastrados. Data Modification: alteração de dados. O invasor pode decodificar os pacotes capturados e modificar as informações contidas neles antes de permitir que cheguem até o destinatário pré-definido. Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis. As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário. Distributed Denial of Service (DDoS): o mesmo que DoS, mas realizado a partir de vários computadores. É um DoS distribuído. DNS poisoning: “envenenamento do DSN” pode gerar alguns problemas graves para os usuários infectados. Quando ataques deste tipo ocorrem, os usuários atingidos conseguem navegar normalmente pela internet, mas seus dados são todos enviados para um computador invasor que fica como intermediário. “Drive by Java”: aplicativos maliciosos “Drive-by-download” são arquivos danosos que invadem os computadores quando os usuários clicam sobre alguns anúncios ou acessam sites que direcionam downloads sem autorização. O “Drive-by-Java” funciona da mesma maneira, mas em vez de ser por downloads, ocorre devido à contaminação de aplicativos Java. Hacker: são usuários mais curiosos do que a maioria. Eles utilizam essa curiosidade para buscar brechas e falhas de segurança em sistemas já criados. Com esse processo, conseguem muito aprendizado e desenvolvem capacidades de programação bastante empíricas. Quando utilizam estes conhecimentos para causar danos passam a ser chamados de crackers. ICMP Attack: ataques gerados nos protocolos de controle de mensagens de erro na internet. Um computador com o IP alterado para o endereço de outro usuário pode enviar centenas ou milhares de mensagens de erro para servidores remotos, que irão

15 enviar respostas para o endereço com a mesma intensidade. Isso pode causar travamentos e quedas de conexão no computador vitimado. ICMP Tunneling: podem ser criados túneis de verificação em computadores invadidos, por meio da emissão de mensagens de erro e sobrecarga da conexão. Com isso, arquivos maliciosos podem passar sem interceptações de firewalls do computador invadido, passando por esses “túneis” de maneira invisível. IP Spoofing: é uma técnica utilizada por crackers para mascarar o IP do computador. Utilizando endereços falsos, os crackers podem atacar servidores ou computadores domésticos sem medo de serem rastreados, pois o endereço que é enviado para os destinatários é falso. Keylogging: é uma prática muito utilizada por ladrões de contas bancárias. Aplicativos ocultos instalados no computador invadido geram relatórios completos de tudo o que é digitado na máquina. Assim, podem ser capturados senhas e nomes de acesso de contas de email, serviços online e até mesmo Internet Banking. Lammer: é o termo utilizado por hackers mais experientes para depreciar crackers inexperientes que utilizam o trabalho de outros para realizar suas invasões. Não se limitam a invadir sites, quando o fazem modificam toda a estrutura e até assinam as “obras” em busca de fama na comunidade. Logic Bomb: este termo pode ser empregado em dois casos. O primeiro refere-se a programas que expiram após alguma data e então deixam de apresentar algumas de suas funcionalidades. O segundo, mais grave, é utilizado em casos de empresas que utilizam aplicativos de terceiros e quando os contratos são rompidos, estes softwares ativam funções danosas nos computadores em que estavam instalados. Malware: qualquer aplicativo que acessa informações do sistema ou de documentos alocados no disco rígido, sem a autorização do administrador ou usuário, é considerado um malware. Isso inclui vírus, trojans, worms, rootkits e vários outros arquivos maliciosos. Man-in-the-Middle-Atack: este tipo de ataque ocorre quando um computador intercepta conexões de dois outros. Cliente e servidor trocam informações com o invasor, que se esconde com as máscaras de ambos. Em termos mais simples: pode

16 ser um interceptador de uma conversa de MSN, que passa a falar com os dois usuários como se fosse o outro. Password-based Attacks: é o tipo de ataque gerado por programas criados no intuito de tentar senhas repetidas vezes em curtos intervalos de tempo. Criando instabilidades na verificação do logon referido, podem ser geradas duplicatas de senhas ou logons válidos. Ping of Death: um invasor realiza constantes Pings na máquina invadida para causar travamentos na banda e até mesmo para travar o computador. É um tipo de ataque Denial of Service. Phishing: mensagens de email enviadas por spammers são criadas com interfaces e nomes que fazem referência a empresas famosas e conhecidas, como bancos. Nestas mensagens são colocados links disfarçados, que dizem ser prêmios ou informações sobre a empresa em questão, mas na verdade são arquivos maliciosos. Phreaker: os hackers de telefonia. São responsáveis pelo roubo de sinal de outros aparelhos e também por desbloquear aparelhos famosos, como é o caso dos especializados em desbloqueio do iPhone. Pod Slurping: é o nome atribuído às práticas de roubo de informações por meio de dispositivos portáteis pré-configurados para a atividade. Podem ser utilizados pendrives, iPods e muitos outros aparelhos de armazenamento portátil. Há ataques diretos desta maneira e também ataques que apenas abrem portas dos computadores para invasões. Port Scanning: atividade realizada por Port scanners. É a varredura de servidores em busca de portas vulneráveis para a invasão posterior. Repudiation Attacks: quando aplicativos ou sistemas não são criados com os comandos corretos de rastreamento de logs, crackers podem utilizar isso para remodelar os envios de comandos. Assim, podem ser modificados os dados de endereçamento das informações, que são enviadas diretamente para servidores maliciosos.

17 Rootkit: tipo de malware que se esconde nas bases do sistema operacional, em localidades que não podem ser encontradas por antivírus comuns. São utilizados para interceptar solicitações do sistema operacional e alterar os resultados. Scareware: malwares que são acessados pelos usuários mais desavisados, pois ficam escondidos sobre banners maliciosos. Podem ser percebidos em páginas da web que mostram informações do tipo: “Você está infectado, clique aqui para limpar sua máquina”. Session hijacking: roubo de sessão. Ocorre quando um usuário malicioso intercepta cookies com dados do início da sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se fosse a vítima e realizar todos os roubos de informações e modificações que desejar. Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades. Script Kiddy: o mesmo que Lammer. Server Spoofing: o mesmo que IP Spoofing, mas direcionado a servidores VPN. Sidejacking: prática relacionada ao Session hijacking, mas geralmente com o invasor e a vítima em uma mesma rede. Muito frequentes os ataques deste tipo em hotspots Wi-Fi sem segurança habilitada. Shovelware: é o tipo de aplicativo que se destaca mais pela quantidade de funcionalidades do que pela qualidade das mesmas. Muitos conversores multimídia fazem parte deste conceito de shovelware. SMiShing: similar a phishing, mas destinado a celulares (SMS). Smurf: o mesmo que ICMP Attack. Sniffer Attack: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado.

18 Snooping: invasões sem fins lucrativos, apenas para “bisbilhotar” as informações alheias. Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança ou mesmo sobre senhas de acesso a dados importantes. Spam: mensagens enviadas em massa para listas conseguidas de maneira ilegal. Geralmente carregam propagandas sobre pirataria de medicamentos. Também podem conter atalhos para páginas maliciosas que roubam listas de contatos e aumentam o poder de ataque dos spammers. Spoof: mascarar informações para evitar rastreamento. Spyware: são aplicativos (malwares) instalados sem o consentimento dos usuários. Eles são utilizados para capturar informações de utilização e navegação, enviando os logs para os invasores. Keyloggers fazem parte desta denominação. TCP Syn / TCP ACk Attack: ataques realizados nas comunicações entre servidor e cliente. Sendo enviadas mais requisições do que as máquinas podem aguentar, a vítima é derrubada dos servidores e perde a conexão estabelecida. Podem ocorrer travamentos dos computadores atingidos. TCP Sequence Number Attack: tentativas de previsão da sequência numérica utilizada para identificar os pacotes de dados enviados e recebidos em uma conexão. Quando é terminada com sucesso, pode emular um servidor falso para receber todas as informações do computador invadido. TCP Hijacking: roubo de sessão TCP entre duas máquinas para interferir e capturar as informações trocadas entre elas. Teardrop: uma forma de ataque Denial of Service. Usuários ofensores utilizam IPs inválidos para criar fragmentos e sobrecarregar os computadores vitimados. Computadores mais antigos podiam travar facilmente com estes ataques. Trojan: tipo de malware que é baixado pelo usuário sem que ele saiba. São geralmente aplicativos simples que escondem funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores.

19 Vírus: assim como os vírus da biologia, os vírus de computador não podem agir sozinhos. Anexam-se a outros arquivos para que possam ser disseminados e infectar mais computadores. São códigos que forçam a duplicação automática para aumentar o poder de ataque e, assim, criar mais estrago. White Hat: hackers éticos. Worm: funcionam de maneira similar aos vírus, mas não precisam de outros arquivos hospedeiros para serem duplicados. São arquivos maliciosos que podem replicar-se automaticamente e criar brechas nos computadores invadidos. Disseminam-se por meio de redes sem segurança.

20 REFERÊNCIAS: MACÊDO, Diego. Segurança de redes de computadores. Diego Macêdo. Alagoas, 2012. Disponível em: https://www.diegomacedo.com.br/seguranca-de- redes-de-computadores/. Acesso em: 16 mar. 2021. Open System. Segurança em Redes. Open System. Ceará. Disponível em: https://opensystem- ce.com.br/pags/seguranca.php#:~:text=No%20campo%20de%20redes%2C%20a ,e%20dos%20seus%20recursos%20associados.. Acesso em: 16 mar. 2021.