View
55
Download
11
Category
Preview:
DESCRIPTION
Segurança da Informação
Citation preview
Curso: SEGURANÇA EM REDES DE COMPUTADORES
Conteudista: Luis Claudio dos Santos
AULA 01
Introdução e conceitos básicos essenciais
Esperamos que você, ao final desta aula, seja capaz de:
1) Explicar princípios básicos da segurança da informação.
2) Reconhecer os principais ataques e vulnerabilidades em redes.
3) Identificar as principais ameaças baseadas em códigos maliciosos.
Pré-requisitos
Como pré-requisitos para esta aula você deverá ter conhecimentos no mínimo acadêmicos
sobre redes de computadores (topologias, arquiteturas, funcionamento da internet,
protocolos da pilha TCP/IP, equipamentos de interconexão, endereçamento IP, serviços com e
sem conexão, entendimento dos campos dos cabeçalhos TCP, IP e UDP, conceito de software e
firmware etc.).
1. Um panorama de Segurança da Informação
Você já se perguntou como anda a segurança do computador que você utiliza
diariamente? Talvez você esteja lendo este conteúdo em um computador. Ele está livre de
vírus, worms, spywares e outras pragas virtuais? Na atualidade, a segurança da informação é,
sem dúvida, um dos assuntos mais atraentes dentro da área de Tecnologia da Informação.
Porém, é uma área de difícil limitação, pois há vários aspectos a serem abordados. Neste curso
buscamos tratar principalmente da segurança em redes de computadores; começaremos
estudando as principais ameaças e vulnerabilidades conhecidas.
Antes, é necessário ressaltar que a diferença que fazemos aqui entre a segurança de
redes de computadores e a segurança relacionada ao desenvolvimento de software não
reflete, na prática, uma fronteira perfeita entre as duas áreas. Isso porque, na quase totalidade
dos casos, as pessoas dependem de sistemas que, por definição, são compostos por hardware,
software, pessoas e procedimentos interligados; todos suscetíveis a vulnerabilidades que
possam ser exploradas.
Como se não bastasse, o nível de complexidade dos sistemas e a interdependência
entre sistemas distintos são cada vez maiores. Bruce Schneier, criador de diversos protocolos
de criptografia (alguns que estudaremos nas aulas sobre esse assunto), cita uma frase
interessante em um de seus livros: “A vida era simples antes da Segunda Guerra. Depois dela,
nós passamos a ter os sistemas”. Essa é sem dúvida uma frase cada vez mais verdadeira em
todos os aspectos. Mas até onde devemos ir para nos proteger contra as ameaças virtuais?
Com o avanço da importância da TI para as organizações, os dados que trafegam nas
redes de computadores têm se tornando cada vez mais importantes. Essa tendência tem
aumentado também a importância que a segurança da informação exerce no contexto das
redes de computadores. Nesta aula vamos estudar as principais ameaças e vulnerabilidades
existentes nesse cenário moderno que envolve a segurança da informação.
2. Risco em Segurança da Informação
Toda a questão do estudo da segurança de informação diz respeito ao entendimento
do conceito de risco (ou, melhor, do grau de criticidade do risco) e da proteção dos ativos. No
final, as decisões serão baseadas na relação custo-benefício (como quase tudo na vida).
Estudaremos bem melhor a aplicação desses conceitos nas aulas sobre as normas das famílias
ISO 27000 e ISO 15999. Por ora, vamos apenas definir alguns conceitos básicos essenciais.
• Ativo
Para a norma ISO 27001, ativo “é qualquer coisa que tenha valor para a
organização”. Vamos adotar essa definição, pois é a empresa quem determinará as
necessidades com relação aos critérios de segurança da informação.
• Ameaça
Uma ameaça é qualquer pessoa, entidade, código malicioso etc. que possa ter
motivação para explorar uma vulnerabilidade. A motivação é relativa, pois depende da
percepção de valor da informação do ponto de vista do atacante. Para a ISO 27002,
ameaça é a “causa potencial de um incidente indesejado que possa resultar em dano
para um sistema ou organização”.
• Vulnerabilidade
São erros em sistemas que podem ser devidos a softwares, a hardwares, a
processos organizacionais que o utilizam ou mesmo devidos a operadores humanos.
Na ISO 27002, encontramos a seguinte definição: “vulnerabilidade é uma fragilidade
de um ativo (ou grupo de ativos) que pode ser explorada por uma ou mais ameaças”.
• Probabilidade do risco
Caracteriza-se pela possibilidade de uma ameaça explorar uma vulnerabilidade a
fim de comprometer um ou mais princípios da segurança.
• Impacto
É o grau de dano que pode ser causado a um ativo quando uma ameaça potencial
explora uma vulnerabilidade existente em um sistema. O dano é relativo, pois depende
da percepção de valor da informação do ponto de vista de seus proprietários.
• Criticidade do risco
A criticidade é diretamente proporcional à probabilidade de o risco se confirmar e
do impacto caso ele se confirme. Perceba que nem todo risco altamente provável é
crítico, pois ele pode ter impacto muito pequeno; por outro lado, nem todo risco de
alto impacto é crítico, pois ele pode ser muito pouco provável. Note ainda que a
criticidade depende de três fatores: das ameaças e vulnerabilidades – que determinam
a probabilidade do risco – e do seu impacto.
Figura 1.1: A criticidade do risco ajuda a definir até onde se deve ir para proteger um ativo.
Ilustração, por favor, redesenhar essa imagem. Diagramação, por favor, colocar a imagem do
lado direito do parágrafo anterior.
• Risco
O risco é definido pela própria definição de seu grau de criticidade do risco. Um
risco alto é um risco que tem grau de criticidade alto (probabilidade versus impacto). A
própria norma ISO 27001 define risco como “combinação da probabilidade de um
evento e de suas consequências”.
• Incidente
A ISO 27001 define incidente como “um simples ou uma série de eventos de
segurança da informação indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e ameaçar a segurança da
informação”.
• Evento
Também de acordo com a ISO 27001, trata-se de “uma ocorrência identificada de
um estado de sistema, serviço ou rede, indicando possível violação da política de
segurança da informação, falha de controles ou uma situação previamente
desconhecida que possa ser relevante para a segurança da informação”.
Note que um evento de segurança da informação é tudo o que mereça investigação
por parte dos responsáveis pela segurança da informação. Porém, pela própria definição da
norma, nem todo evento é um incidente de segurança da informação (mas todo incidente é
um evento...). Além disso, o diagnóstico de um incidente de segurança depende grandemente
da existência de uma política de segurança da informação na empresa.
3. Princípios da Segurança da Informação
Você viu que as ameaças podem explorar vulnerabilidades para comprometer um ou
mais princípios da segurança da informação. Quais seriam esses princípios? Existem três
princípios básicos e outros dois princípios relacionados à certificação digital que serão citados
recorrentemente em todas as nossas aulas.
Figura 1.2: Fluxo normal da informação.
Diagramação, por favor, refazer este esquema. Deixá-lo, central ao texto.
Box de atenção
Qualquer solução que vise a implementar a segurança em uma rede deve garantir a não
violação destes princípios.
Fim do box de atenção
Os três princípios essenciais são: a confidencialidade, a integridade e a disponibilidade
da informação.
• Confidencialidade
Por este princípio, a informação deverá ser acessada apenas pelas pessoas que
têm permissão de acesso legítimo. Cuidado, pois a confidencialidade não significa,
obviamente, que a informação “não pode ser visualizada”. Ora, é claro que pode!
Porém, apenas pelas pessoas autorizadas a fazê-lo.
Figura 1.3: A perda da confidencialidade pode acontecer por interceptação.
Diagramação, por favor, refazer este esquema e mantê-lo ao lado direito do texto.
Todo ataque de leitura ou análise da informação é um ataque que visa a
corromper a sua confidencialidade. Podemos dar com exemplos os ataques do tipo
phishing, sniffing e engenharia social, que normalmente têm como objetivo
comprometer a confidencialidade da informação. Estes ataques serão discutidos
mais adiante, ainda nesta aula.
• Integridade
Uma informação íntegra é aquela que preserva todas as suas características desde
a sua origem legítima até o seu destino legítimo. Ou seja, entre duas partes que se
comunicam não existe nenhuma possibilidade de que a informação seja alterada
dentro do canal de comunicação, quer pelo acréscimo, quer pela supressão de dados.
O canal de comunicação é o meio por onde a informação trafega.
Figura 1.4: A perda da integridade pode acontecer por modificação.
Diagramação, por favor, refazer este esquema e mantê-lo ao lado direito do texto.
Vale ressaltar que os ataques à integridade da informação podem ser baseados na
sua modificação ou na sua repetição. Ataques do tipo “homem-no-meio”
normalmente procuram corromper a integridade da informação, às vezes pela
repetição, às vezes pela modificação. O ataque do tipo “homem-no-meio” será visto
em nossas aulas sobre criptografia.
• Disponibilidade
A disponibilidade da informação é a característica que determina que a informação
tem de permanecer disponível aos seus usuários legítimos sempre que ela for
necessária. É interessante observar que a disponibilidade da informação pode ser
afetada por vários motivos (critérios de capacidade, disponibilidade e continuidade dos
sistemas etc.).
Figura 1.5: A perda da disponibilidade pode acontecer por interrupção.
Diagramação, por favor, refazer este esquema e mantê-lo ao lado direito do texto.
No que diz respeito à segurança, qualquer ataque que vise à interrupção da
informação é um ataque à sua disponibilidade. Esses ataques são conhecidos como
ataques de negação de serviço (DoS). Um atacante pode tornar a informação
indisponível sem necessariamente ter acesso ilegítimo a ela (confidencialidade) ou
modificá-la indevidamente (integridade).
Início da Caixa de Verbete
DoS (denial-of-service) - A norma ISO 27002 define DoS como “impedimento do acesso
autorizado aos recursos ou retardamento de operações críticas por um certo período de
tempo”. Explicaremos melhor este ataque ainda nesta aula.
Fim da Caixa de Verbete
Além desses três princípios mais tradicionais, há outros dois princípios que normalmente
também são citados, principalmente com o advento das soluções de certificação digital
baseadas de criptografia. Trata-se da autenticidade e do não repúdio.
• Autenticidade
O princípio da autenticidade visa a garantir para o receptor de uma mensagem que
ela realmente pertence ao emissor legítimo da comunicação. De certa forma, a
autenticidade implica integridade, pois, se uma mensagem é alterada no canal de
comunicação, o autor da nova mensagem é o atacante e não mais o emissor legítimo.
Entretanto, a bibliografia (e o próprio mercado) trata esses princípios isoladamente
porque ambos dependem de técnicas e ferramentas distintas para a sua garantia.
Ataque de fabricação e ataques de repetição são formas de corromper a
autenticidade da informação. Você verá esses ataques em nossas aulas sobre
criptografia.
Figura 1.6: A perda da autenticidade pode acontecer por fabricação.
Diagramação, por favor, refazer este esquema e mantê-lo ao lado direito do texto.
• Não repúdio
Também conhecido como princípio da “irretratabilidade”. Com relação à
autenticidade, o princípio da irretratabilidade é o que de certa forma podemos chamar
de “o outro lado da moeda”. A informação irretratável é aquela cujo autor não pode
negar a sua autoria sem negar a própria efetividade de todo o sistema de segurança.
Em outras palavras: partindo do princípio de que o sistema não foi completamente
violado e corrompido, autenticidade implica não repúdio e vice-versa. Você irá estudar
bem essas duas ideias nas aulas que tratam de criptografia.
Ok. Então, podemos dizer que a autenticidade garante ao receptor que o texto de
uma mensagem pertence a quem, de fato, está assinando-a. Ao mesmo tempo, a
irretratabilidade garante que o emissor, cuja assinatura consta da mensagem, não
pode negar que ele próprio a emitiu.
Além dos princípios vistos anteriormente, algumas bibliografias citam o controle
de acesso como um novo princípio da segurança da informação. Vamos descrever esse
conceito aqui, mas não como um novo princípio.
• Controle de Acesso
Trata-se, na verdade, de uma descrição de meios para garantir que os princípios da
segurança da informação sejam atendidos. Os meios estariam baseados em algo que
você sabe, algo que você possui e em algo que você é. Ou seja:
o São exemplos de algo que “você sabe”: uma senha, uma frase, uma chave
simétrica, uma chave assimétrica etc.;
o São exemplos de algo que “você possui”: um cartão inteligente (smart
card), um token (pen drive, cartões de memória etc.), um certificado digital
etc.;
o Finalmente, algo que “você é” está ligado às modernas soluções de
biometria (leitor de impressão digital, leitura da íris, reconhecimento de
voz etc.).
Ilustrador, favor desenhar um personagem acessando um sistema e tendo que
fornecer pen drive, smart card etc.; tendo sua íris e sua palma da mão sendo lida; e
tendo que digitar uma senha (com outra mão) etc.
É fácil perceber que tudo isso, na verdade, visa a garantir os princípios que citamos até
o momento e não se trata de mais um princípio da segurança da informação. Desse modo, em
nossas aulas vamos nos referir aos princípios da segurança da informação como sendo cinco:
confidencialidade, integridade e disponibilidade, além da autenticidade e do não repúdio. De
qualquer modo, agora você já sabe também o que vem a ser o controle de acesso!
Início da Atividade
Atividade 01 - Objetivo 01
Uma informação criptografada é interceptada em uma rede privada por um atacante
que conseguiu se conectar fisicamente aos seus equipamentos. O atacante não consegue ler a
informação, mas ele sabe que ali está o usuário e a senha utilizados pelo administrador ao se
conectar a um banco de dados. Mais tarde, ele próprio tenta se conectar ao banco enviando o
mesmo pacote capturado com os dados do administrador do banco. Quais princípios da
segurança foram violados nessa situação hipotética?
Quantidade de Linhas: Deixar 06 linhas.
Resposta comentada
A situação descrita se trata de um ataque de repetição. Com relação aos princípios,
não houve perda de confidencialidade, pois o atacante não conseguiu ler os dados do
administrador. Também não houve perda de integridade ou de disponibilidade. O problema
aqui foi a perda da autenticidade da informação. Estudaremos melhor esse caso nas aulas
sobre criptografia.
Fim da Atividade
4. O Cenário Atual
Na prática, o mundo está mudando muito e as novas tecnologias têm impulsionado
essas mudanças. A nossa sensação de insegurança aumenta cada vez mais. Devemos antes nos
lembrar de que a forma pela qual obtemos acesso às informações do cotidiano tende a ser
muito tendenciosa. A manchete “Acidente grave com duas vítimas” chama muito mais a
atenção (e por isso tende a ser repetida milhares de vezes) do que a manchete “A maioria das
pessoas teve hoje um dia completamente normal”.
Aonde estamos querendo chegar? Ora, qual das duas notícias você se lembra de ter
lido ou ouvido em algum lugar: “Gênio de 14 anos de idade invade sistema super protegido da
empresa X” ou “Administrador da empresa X não instala atualizações básicas, deixando
sistema completamente vulnerável”?
Boa parte da “genialidade” atribuída aos ataques feitos no mundo digital se deve
muito mais ao fato de que há um monte de administradores que não fazem o mínimo pela
segurança de suas redes e de seus sistemas. Não vamos aqui discutir as razões que levam a tal
comportamento, pois elas variam muito de organização para organização e dependem de uma
série de motivos (algumas podem até mesmo ser consideradas legítimas – dependendo do
contexto –, tais como excesso de trabalho, falta de investimentos etc.).
Nosso foco é estudar as várias formas de manter afastada a maioria das ameaças
utilizando as técnicas e ferramentas disponíveis, rápidas e simples de serem aplicadas. Por
outro lado, existem, sim, grandes ameaças, como pessoas com extrema capacidade intelectual
e motivação suficiente para dedicar seu tempo e suas habilidades à invasão de uma rede (mas
são exceções à regra). Para esse tipo de ameaça também há técnicas e ferramentas
disponíveis, embora elas não sejam, neste caso, necessariamente rápidas e simples.
Ok. Você pode estar pensando que, embora não existam tantos gênios com tempo e
motivação para atacar a sua empresa, a sua rede vive sendo alvo de ataques e alguns deles
dão, sim, um certo “trabalho”. Nesse ponto é imprescindível que você entenda o cenário atual,
dentro do qual estudaremos a segurança de redes.
Esse cenário fica bem claro quando estudamos apenas quatro características inerentes
às redes de computadores. Vamos a elas.
• Automação
Um ataque que seria iniciado a partir de uma única máquina hoje pode acontecer
de forma distribuída utilizando dezenas, centenas ou mesmo milhares de máquinas
para fazer em alguns minutos o que uma única máquina poderia levar anos. A
automação tornou o DES obsoleto um pouco antes do previsto. A partir de 1996, esse
padrão começou a ser quebrado através de força bruta em tempo cada vez menor e
com cada vez menos investimentos, por meio de esforços conjuntos envolvendo
milhares de máquinas espalhadas pela internet.
Figura 1.7: O grau de automação multiplica o poder do atacante.
Diagramação, por favor, deixar essa imagem ao lado esquerdo do parágrafo anterior.
Ilustração, por favor, refazer essa imagem de forma que as setas tenham o sentido do
computador para a torre.
Início da Caixa de Verbete
DES (Data Encryption Standard) - foi o primeiro padrão de criptografia simétrica
utilizado largamente e adotado pelo governo norte-americano como padrão de seus sistemas
criptográficos. Foi inventado por um pesquisador da IBM, Horst Feistel, em 1976. O DES utiliza
chaves de 56 bits e cifra blocos de texto em claro com 64 bits de tamanho. O processo de
cifragem envolve 16 etapas (rounds), em que os bits são substituídos, permutados ou
combinados com subchaves de 48 bits.
Fim da Caixa de Verbete
Início da caixa de curiosidade
Os DES Challenges foram uma série de ataques combinados de força bruta promovidos
pela empresa RSA Security com o propósito de ressaltar a insegurança crescente do DES.
Consistia basicamente em oferecer um texto simples cifrado com o DES. O primeiro desafio
começou em janeiro de 1997 e foi solucionado em 96 dias.
O segundo desafio (DES Challenge II-1) aconteceu no início de 1998 e foi solucionado
em 41 dias. A frase era: “The secret message is: Many hands make light work”.
O terceiro desafio (DES Challenge II-2) foi solucionado em apenas 56 horas, em julho
de 1998, pela empresa Electronic Frontier Foundation (EFF) com uma máquina desenvolvida
especialmente para esse fim (o Deep Crack). A propósito, o prêmio pago pelo desafio era de
US$ 10.000; o Deep Crack havia custado US$ 250.000 para a EFF. O texto revelado foi: “It's
time for those 128-, 192-, and 256-bit keys”.
O quarto desafio (DES Challenge III) foi resolvido em apenas 22 horas, em janeiro de
1999. O texto era: “See you in Rome (second AES Conference, March 22-23, 1999)”. Essa frase
já fazia referência à conferência que iria tratar de um substituto para o DES.
Fim da caixa de curiosidade
• Ação a distância
Um produto do avanço da internet é o fato de que ela não conhece limitações ou
barreiras físicas. Distâncias intercontinentais são vencidas quase à velocidade da luz
(literalmente). Dependendo dos meios de que dispõe um atacante, isso lhe torna
perfeitamente possível explorar vulnerabilidades de redes que estejam em outros
países (ou continentes) como se elas fizessem parte da sua rede local. Por outro lado, o
poder público responsável por reprimir e punir tais práticas no “mundo real” não
encontra tantas facilidades. Claro, é perfeitamente possível identificar a origem e até
mesmo a identidade do malfeitor em muitos casos. Mas o que fazer quando o
indivíduo mora do outro lado do mundo?
• Anonimato
Você já ouviu aquele ditado que diz que “a ocasião faz o ladrão”? No mundo
digital, muitos desavisados possuem a impressão de anonimato, e isso acaba os
atraindo para a marginalidade e a prática de crimes pela internet. Basta verificar
quanta gente não estaria disposta a entrar em uma locadora e sair com um filme em
DVD debaixo do braço, mas, por outro lado, quantos já praticaram o mesmo ato
“baixando” o vídeo pela internet. O crime é o mesmo, embora a tipificação (agravantes
e atenuantes) seja específica.
Diga-se de passagem, para todos os crimes de internet, que não só existe a
possibilidade de identificação da origem como a jurisprudência tem aplicado as
mesmas punições já adotadas nos casos tradicionais.
Figura 1.8: A sensação de anonimato aumenta a motivação do atacante.
Diagramação, por favor, redesenhar a imagem seguindo o projeto gráfico do curso. Deixar ao
lado direito do texto anterior.
• Colaboração
Com o advento das redes de computadores e, principalmente, da
intercomunicação dessas redes pela internet, ficou muito mais fácil compartilhar
informações. Esse é um dos maiores problemas para os administradores atualmente.
Hoje, uma pessoa pode descobrir vulnerabilidade em um sistema operacional; horas
(ou minutos) depois, outra pessoa pode já ter desenvolvido um programa que
automatiza a exploração dessa vulnerabilidade (exploit). E, quase instantaneamente,
centenas de outras pessoas começarão a utilizar e compartilhar o novo exploit para
atacar servidores em todo o mundo. A propagação é muito rápida e é um desafio à
velocidade dos administradores para adotar contramedidas.
Um ataque pode ser descrito em duas etapas de ações do atacante:
o Tentar obter informações sobre vulnerabilidades na rede a ser atacada;
o Tentar explorar as vulnerabilidades encontradas.
Vamos partir desta ideia básica para dividir nosso estudo sobre as vulnerabilidades em
duas partes, nas próximas duas seções.
5. Técnicas de coleta de informações
Nesta seção vamos listar e explicar resumidamente as principais formas de coleta de
informações; na próxima seção trataremos dos programas que normalmente são usados para
explorar as vulnerabilidades encontradas (chamados na literatura de “códigos maliciosos”).
Como já dissemos, esse tema é complexo e nem sempre é possível realizar uma classificação
simples e definitiva. Assim, é claro que existem códigos maliciosos que permitem, além de
explorar vulnerabilidades, coletar informações sobre uma rede ou sistema invadido. Por outro
lado, há técnicas usadas para coletar informações que já pressupõem um grau de
comprometimento mínimo da rede e dos sistemas.
Você pode perceber tudo isso durante as explicações. Portanto, fique atento!
• Engenharia social
Esse método é o que envolve menos conhecimento técnico sobre rede e sistemas.
E, por incrível que possa parecer, é o que tem maior potencial para transpor qualquer
sistema de segurança, por mais recursos que tenham sido gastos nele.
Este ataque faz uso da persuasão, explorando a ingenuidade ou a confiança do
usuário para obter informações que podem ser utilizadas posteriormente para violar a
segurança de redes ou sistemas. Kevin Mitnick dizia que as pessoas tendem a dar
todas as respostas se você fizer as perguntas corretamente. Assim, de que vale todo o
investimento em firewalls, criptografia etc., se as senhas dos usuários são
compartilhadas abertamente entre si?
Início da Caixa de Curiosidade
Kevin David Mitnick nasceu em 1973 na Califórnia, EUA. Desde a sua adolescência
já praticava delitos e durante tosa a sua vida invadiu sistemas de operadoras de celular
e de empresas de tecnologia. Foi preso algumas vezes. Na última vez, em 1995, já
mundialmente conhecido, ficou preso por cinco anos, sendo libertado sob condicional
após pagar fiança milionária. Hoje Kevin se diz “regenerado” e trabalha na sua própria
empresa, a Mitnick Security Consulting (www.mitnicksecurity.com/), além de atuar
como palestrante e conferencista em todo o mundo. Sua vida foi registrada em
documentários, filmes e em dois dos livros mais vendidos no mundo sobre engenharia
social: The Art of Intrusion e The Art of Deception.
Fim da Caixa de Curiosidade
• Phishing
Neste tipo de fraude o atacante envia mensagem não solicitada para a vítima,
tentando fazer com que a comunicação se passe por uma informação legítima de uma
instituição financeira conhecida, um órgão do governo, uma empresa multinacional,
um site popular etc. Normalmente a mensagem possui links que levam a páginas
falsificadas muito parecidas com a página original da instituição mencionada. É
importante, para efeito de classificação dos ataques, ressaltar que esse tipo de ataque
sempre solicita algum tipo de ação da vítima no sentido de que ela insira informações
sensíveis em um formulário ou que as retorne por e-mail.
Figura 1.9: Phishing é uma técnica que apela para a engenharia social.
Ilustração, por favor, refazer a imagem com os traços do projeto gráfico do curso. Manter ao
lado direito do texto.
• Packet sniffing
Sniffer de pacotes (também chamados de analisadores de protocolos) são
ferramentas que permitem capturar quadros que circulam nas redes e analisá-los em
busca de informações. É possível capturar dados que trafegam em claro (até mesmo
usuários e senhas), obter informações sobre uma sessão através da análise de
cabeçalhos e deduzir outras características a partir do tipo de tráfego (horários de
pico, tipos de pacotes, quantidade de endereços e de conexões etc.).
A máquina onde o sniffer está sendo executado precisa estar conectada em um
equipamento de interconexão que opere em modo promíscuo. No caso de switches, o
administrador precisará configurar uma de suas portas para espelhar todos os quadros
que passarem pelas outras portas do switch. No caso de um atacante, há ataques
documentados chamados MAC flooding que visam a limitar a capacidade de um switch
de manter íntegra e operacional a sua tabela de comutação. Isso faz com que o
equipamento opere como se fosse um hub, ou seja, envie todos os quadros que
entram por uma porta para todas as outras portas.
Início da Caixa de multimídia
O TCPDump (www.tcpdump.org), o Ethereal (www.ethereal.com/) e o Wireshak
(www.wireshark.org/) são três dos mais conhecidos exemplos de analisadores de protocolo.
Essas ferramentas são utilizadas não só por potenciais atacantes, mas também pelos
administradores de sistemas que desejam obter informações sobre a rede. Embora a operação
de um sniffers ideal seja passiva e silenciosa, na prática todos eles acabam enviando para a
rede alguns pacotes em situações bem específicas, e essas características peculiares permitem
a sua identificação através de técnicas conhecidas como anti-sniffing. A maioria dos bons IDSs
(Intrusion Detection Systems) implementa técnicas de detecção de sniffers em funcionamento
em uma rede. Estudaremos os IDSs na Aula 4.
Fim da Caixa de multimídia
• Port Scanning
Esta técnica, também chamada de varredura de portas ou mesmo scanning de
portas, é utilizada por atacantes que queiram identificar serviços que estejam
liberados na rede ou no sistema. Existem várias ferramentas disponíveis na internet
para essa finalidade, desde as mais simples e gratuitas até as mais avançadas e
proprietárias. Não há como impedir a identificação de uma porta aberta, pois o
scanning de portas emite ao serviço solicitações de conexão que são semelhantes às
solicitações enviadas por clientes legítimos.
Ferramentas simples fazem varredura sequencial de portas em intervalos iguais e
mantendo o mesmo endereço IP de origem, o que permite fácil detecção do ataque.
Todavia, ataques mais bem elaborados utilizam mais de um IP de origem (máquinas
comprometidas pelo atacante), fazem varredura de portas aleatoriamente e em
intervalos diferentes, o que dificulta bastante a sua detecção.
• Scanning de vulnerabilidades
Um bom scanner de vulnerabilidades consegue identificar características de muitas
ferramentas de mercado através de suas respostas. É possível, com o uso dessas
ferramentas, identificar várias informações sobre os sistemas alvo, tais como:
o Tipo e versão do sistema operacional;
o Fabricante da interface de rede;
o Endereços de enlace (MAC) e de rede (IP);
o Portas de serviço abertas (pois todos têm função de scanning de portas
embutida);
o Versões dos softwares aplicativos que estão vinculados às portas de
serviço abertas (exemplo: porta 80, servidor apache versão x.y);
o Vulnerabilidades existentes nos sistemas operacionais e nos softwares
de aplicação em execução;
o Detectar senhas padrão de fabricantes em uso nos equipamentos.
Alguns exemplos de scanners de vulnerabilidades são o Nessus (originalmente para
sistemas Unix), o Acunetix, o GFI Languard etc.
Início da Caixa de Curiosidade
Há diversos scanners de vulnerabilidades disponíveis. Alguns muito bons, que podem
inclusive ser um grande apoio para que o próprio administrador detecte vulnerabilidades em
sua rede. É necessário utilizar essas ferramentas sempre com bastante cuidado,
principalmente em ambientes de produção onde são executados aplicativos de missão crítica.
Alguns desses scanners literalmente simulam ataques aos sistemas (interrompendo-o no
“momento adequado”), o que pode, no mínimo, sobrecarregar um servidor de produção ou
aumentar o uso de largura de banda de sua rede.
Fim da Caixa de Curiosidade
Início da Atividade
Atividade 02 - Objetivo 02
Para todas as técnicas de coleta de dados, existe uma técnica ou ferramenta que o
administrador pode utilizar como defesa. Com relação à engenharia social, que técnicas
podem ser utilizadas?
Quantidade de Linhas: Deixar 06 linhas
Resposta comentada
Neste caso, o fator humano é o principal ponto a ser observado. Assim, é essencial a
adoção de processos bem definidos para tratar a informação, a realização de treinamentos
constantes dos usuários e a capacitação do pessoal de TI no nível adequado para proteger os
ativos da organização. Enfim, tudo isso se resume ao fato de a empresa ter ou não ter uma
filosofia voltada para a Governança em TI.
Fim da Atividade
6. Códigos maliciosos
Códigos maliciosos são também conhecidos com malwares (da expressão em inglês
malicious software). Vamos estudar esses códigos nesta seção. Lembre-se de que, em muitos
casos, são esses códigos que iniciam a sequência de eventos que permitirá o
comprometimento de uma rede ou sistema. Muitos dos ataques vistos na seção anterior
dependem de certo grau de comprometimento da rede (como no caso do packet sniffing) ou
de boa dose de ajuda dos usuários legítimos da rede (como no caso do phishing).
• Vírus
Um vírus de computador é um programa ou parte de um programa que infecta
uma máquina (software ou firmware que controla o hardware onde ele está inserido)
pela execução de um software legítimo infectado. Portanto, faz parte da definição de
vírus o fato de que ele depende de outro software para infectar uma máquina e se
propagar. Um vírus pode criar cópias de si mesmo e infectar outros arquivos do
sistema comprometido. Atualmente, há vírus que infectam desktops, laptops,
celulares, PDAs e outros dispositivos do mundo moderno.
Figura 1.10: Um vírus se propaga por diversos meios além das redes.
Ilustração, por favor, refazer com design do CECIERJ. Diagramação, por favor, manter a
imagem ao lado direito do texto.
o Ciclo de vida
A literatura divide o ciclo de vida de um vírus em quatro fases:
latência, disparo, propagação e ação maliciosa.
o Técnicas de detecção
A maior parte dos antivírus dependem das assinaturas, que são
nada mais que sequências de códigos características dos vírus. Essa
técnica, porém, é reativa, ou seja, só é possível depois que o vírus
passou a ser conhecido dos fabricantes por ter infectado algumas
máquinas.
Alguns fabricantes de antivírus implementam ações proativas,
como a detecção baseada em tamanho de software. Um vírus de
computador é, na verdade, formado por linhas de código
acrescentadas ao programa original. Isso permitiria detectar a possível
infecção através da variação de tamanho que a infecção causa.
Porém, há comportamentos típicos dos vírus que dificultam o
trabalho do antivírus. Alguns vírus são polimórficos (termo explicado
logo a seguir); outros compactam ou criptografam a parte maliciosa do
seu código etc.
o Mutação
Há vírus de computador que são polimórficos, isto é,
conseguem mudar a sua assinatura durante a cópia de si mesmo.
Também existem vírus que são metamórficos, ou seja, além de mudar
a sua assinatura, mudam também a forma de agir maliciosamente no
sistema. Vírus metamórficos são de difícil detecção.
o Propagação
A rigor, um vírus não é capaz de se propagar sozinho. Você
pode estar pensando: “Ah, mas eu ouvi falar que o vírus tal faz isso”.
Provavelmente se tratava de um worm. Um vírus, quando se propaga,
depende de alguma ação executada no sistema infectado (às vezes
pelo próprio usuário). A característica de se propagar sozinho, através
de e-compartilhamentos de pastas etc., sem depender de outro
software ou de ações de usuários incautos, é inerente aos worms.
o Vírus de macro
Espécie de vírus que se baseia no fato de que certas aplicações
permitem a execução de um conjunto pequeno de instruções (scripts)
ao carregar arquivos. Antes dos vírus de macro, a construção de vírus
se baseava em infectar programas. Como arquivos possuem
mobilidade muito maior que os programas, infectar arquivos se
mostrou um bom negócio para os vírus. Na prática, a maioria dos vírus
que causam problemas hoje em dia é composta por vírus de macro.
Esse tipo de vírus possui o inconveniente de poder ser construído de
forma independente de plataforma computacional ou sistema
operacional: o vírus será executado onde quer que o arquivo infectado
possa ser carregado (PCs, palmtops, celulares etc.).
• Worms
É um programa que se propaga automaticamente através das redes (usando a
lista de e-mails, compartilhamentos de pastas, portas de serviço etc.) e que não
precisa ser executado explicitamente pelo usuário ou indiretamente a partir de um
programa legítimo. Ou seja, por definição, um worm não depende de outro software
para infectar uma máquina e se propagar. Worms são responsáveis pelo consumo de
muitos recursos da rede e dos sistemas.
Figura 1.11: A infestação por worms é sempre muito rápida.
Ilustração, por favor, refazer com design do CECIERJ. Diagramação, manter ao lado direto do
texto.
Como permanecem em execução praticamente o tempo todo sem qualquer
ação voluntária do usuário, é possível notar indícios de infecção por worms através do
uso intenso placa de rede, dos acessos ao HD etc. sem que nenhum software legítimo
esteja em execução. Obviamente isso não descarta a necessidade do uso de boas
ferramentas para identificar worms e, principalmente, eliminá-los.
Início da Caixa de Curiosidade
Atribui-se a um estudante da USC (University of Southern California) o mérito pela
criação do primeiro vírus, em 1983. Quanto ao primeiro vírus de macro, muitas bibliografias
citam o Concept (1995); na verdade, ele era apenas uma variante de outro vírus que infectava
o editor de texto Emacs desde 1992 (caso você use Linux e, por isso, pense que está a salvo...).
O primeiro worm foi criado por um cidadão chamado Robert T. Morris em 1988. Esse worm
infectou mais de 6.000 máquinas na internet (10% do total, naquela época) em poucos
minutos. O estrago não foi maior porque o worm tinha um bug: ele corrompia (sem querer...)
o sistema operacional das máquinas infectadas (o que não era seu objetivo inicial), causando
travamento dos aplicativos. As últimas infecções mundialmente catastróficas se deram nos
anos de 1999 e 2000, com uma onda de pragas de primeira linha: Melissa (vírus de macro,
1999), Worm.Explore.Zip (worm, 1999), ILOVEYOU (worm, 2000), Code Red (worm, 2001) e
Nimda (worm, 2001).
Fim da Caixa de Curiosidade
Início da Caixa de Multimídia
Você desconfia de algum arquivo que baixou da internet? O site
http://www.virustotal.com/ permite que você faça upload de arquivos de seu computador
para que sejam analisados com relação à infecção por vírus, trojans etc. O sistema do site faz
uma varredura utilizando mais de 40 antivírus de ponta empregados ao redor do mundo
(provavelmente o antivírus que você usa está lá). Faça o teste; você poderá se surpreender
com a quantidade de discrepâncias existentes entre o que o seu antivírus diz e o que de fato
pode estar acontecendo no seu sistema.
Fim da Caixa de Multimídia
• Spyware
Spywares são softwares que permanecem residentes em uma máquina
infectada com o objetivo de coletar informações digitadas em formulários da internet,
sites acessados, horários de uso do computador etc. Ou seja, são também técnicas de
coleta de informações (como as vistas na seção anterior), mas dependem de infecção
prévia do sistema através de algum código malicioso. O próprio spyware é um código
malicioso que pode vir em um trojan.
Figura 1.12: Spywares estão sempre à espreita sem você perceber.
Ilustração, por favor, refazer com design do CECIERJ. Diagramação, manter ao lado direto do
texto.
Não confunda spyware com adware. Adware são apenas propagandas
indesejadas apresentadas durante o uso da internet (pop-ups, páginas abertas
automaticamente etc.).
• Loggers
Basicamente dois tipos de loggers nos interessam: os keyloggers e os
screenloggers. Keyloggers são softwares que capturam as teclas digitadas no
computador. Na medida em que o uso de keyloggers cresceu, a adoção de teclados
virtuais em sites seguros aumentou. A consequência disso foi o surgimento dos
screenloggers, programas capazes de capturar pequenas imagens da área da tela
próxima à região onde o mouse foi clicado.
• Cavalos-de-troia
Estes malwares também são conhecidos como trojans horses. De forma
semelhante à história original, esses programas se apresentam inicialmente como algo
bom ou de interesse do usuário (cartão de aniversário, notícia sobre um artista,
depósito em conta etc.), mas que escondem códigos maliciosos.
Uma característica interessante é que o cavalo-de-troia é visto pela maior parte da
literatura não como um novo malware, mas apenas como uma forma de propagar
vírus, worms, spywares, keyloggers, backdoors etc. Porém, pela própria definição do
método, o trojan não fará nada (qualquer que seja o malware que o acompanha) sem
a ajuda e interesse do usuário desavisado.
• Exploits
São programas (ou kits de programas) que facilitam a exploração de
vulnerabilidades conhecidas de sistemas operacionais ou softwares aplicativos sem a
necessidade de grandes conhecimentos sobre redes de computadores ou sistemas.
7. Outros ataques
Há sem dúvida uma série de outros ataques que poderiam ser vistos nesta aula. Como
dissemos, o tema é amplo e, mesmo tendo como foco a segurança em redes de
computadores, ainda haveria outros itens a serem citados. Vamos discutir melhor outros
assuntos no fórum. Porém, é importante explicar aqui mais um tipo de ataque muito comum
em redes de computadores: o ataque de negação de serviço e seus desdobramentos.
• IP spoofing
Um ataque de spoofing é baseado em uma situação na qual uma entidade
consegue se passar com sucesso por outra. Essa entidade pode ser uma pessoa,
máquina, sistema etc. No caso do IP spoofing, o atacante consegue forjar o seu
endereço IP de origem enviando pacotes com IP de origem diferente do seu próprio
endereço IP, fazendo-se passar por outra máquina. O IP spoofing é usado
principalmente em ataques de DoS, quando o atacante precisa que várias respostas
sejam enviadas não para ele, mas para a máquina alvo do ataque.
Vale ressaltar, por outro lado, que o uso efetivo dessa técnica para ataques do tipo
homem-no-meio (man-in-the-middle) não é tão simples, pois há vários outros
parâmetros que definem uma conexão e que precisariam ser também forjados pelo
atacante (campos de sequência do cabeçalho TCP, por exemplo).
Alguns exemplos de ferramentas de spoofing utilizadas são o Spoofit, Mendax,
IPSpoof, entre outros.
• DNS spoofing
Neste ataque o servidor de DNS utilizado pela máquina alvo do ataque é invadido
e tem suas informações alteradas para fazer mapeamentos incorretos entre endereços
e nomes. Deste modo, toda vez que uma aplicação do usuário utiliza um determinado
nome que tenha sido alterado, ela estará se comunicando com uma entidade falsa. Por
exemplo, se o endereço IP de uma página foi alterado no DNS, o browser redirecionará
o usuário para a página falsa sem informar que endereço está sendo usado (afinal, é
para isso que servem DNS, browsers etc.). O servidor onde a página falsa está
hospedada estará preparado pelo atacante para roubar informações do usuário sem
que ele perceba.
Início da Caixa de Curiosidade
Um ataque relativamente simples conhecido como ICMP smurf utiliza a técnica IP
spoofing. Ele consiste em enviar mensagens ICMP request (pings) para endereços de broadcast
de uma rede tendo como endereço de origem o IP da máquina vítima. Computadores da
internet, ao receberem mensagens ICMP request, respondem automaticamente com uma
mensagem ICMP reply. Como o IP de origem das mensagens é o da vítima, as centenas (ou
milhares) de respostas seguem para ela, o que pode interromper a sua capacidade de realizar
outras tarefas legítimas por ter que receber e processar mensagens ICPM reply não legítimas.
Fim da Caixa de Curiosidade
• ARP spoofing
O ARP spoofing é uma técnica de spoofing em que um atacante tenta se passar
por um destinatário legítimo da comunicação respondendo a consultas ARP enviadas
pela origem do tráfego. A resposta do atacante é enviada dentro do domínio de
broadcast antes que o destinatário legítimo tenha chance de fazê-lo. Com isso, tanto a
máquina de origem quanto o swicth aprendem um mapeamento falso entre o
endereço MAC (do atacante) e o endereço IP (do destino legítimo). A partir disso,
todos os quadros são encapsulados pela origem com o endereço MAC do atacante e
são comutados pelo switch para a porta onde o atacante está com base nesse MAC.
O switch não pode bloquear tal ataque, pois a consulta inicial da vítima (em busca
do MAC do destinatário legítimo) é enviada via broadcast. Porém, um administrador
(usando, por exemplo, um IDS) pode detectar um comportamento estranho na rede ao
detectar duas máquinas respondendo à mesma consulta ARP. Esta é, inclusive, a
técnica de detecção utilizada quando sistemas operacionais detectam duas máquinas
utilizando o mesmo endereço IP dentro da rede.
Início do verbete
ARP (Address Resolution Protocol) - é um protocolo da pilha TCP/IP (pré-requisito para
este curso) utilizado para mapear endereços conhecidos da camada de rede (normalmente o
IP) em endereços conhecidos da camada de enlace (normalmente um MAC).
Fim do verbete
• DoS
No ataque DoS (denial-of-service) o atacante não necessariamente terá acesso à
informação (confidencialidade) ou conseguirá modificá-la (integridade). O foco é
apenas interromper a disponibilidade de um serviço, sistema ou de uma rede inteira.
Há várias formas de ataque de DoS. Muitas delas são conhecidas como flooding
(inundação). Os alvos típicos deste tipo de ataque são servidores compartilhados por
vários usuários, como servidores de DNS, servidores web etc.
• DDoS
O DDoS (distributed denial-of-service) é uma espécie de ataque de negação em que
o atacante potencializa os efeitos do ataque com o uso de várias outras máquinas,
normalmente de usuários da internet cujas máquinas foram previamente
comprometidas. Essa técnica torna o ataque mais efetivo pela multiplicação do poder
computacional envolvido e, ao mesmo tempo, dificulta a execução de contramedidas
pelo administrador do sistema atacado.
• Flooding
A tradução mais apropriada de flooding seria inundação. Por exemplo, no SYN
flooding o atacante envia vários segmentos TCP para a máquina de destino com o bit
de sincronização (SYN) do cabeçalho TCP setado; isso caracteriza uma solicitação de
conexão (ressalte-se que o atacante precisa descobrir, antes, as portas de serviço que
estão aceitando conexão, o que pode ser feito com um scanner). Servidores
respondem a essas requisições com segmentos TCP com bits de sincronização (SYN) e
de confirmação (ACK) setados e reservam recursos para aguardar o fechamento da
conexão (memória, principalmente). A partir disso, a estratégia do atacante é enviar
diversos segmentos solicitando abertura de conexão... Mas não os fechando nunca.
Dependendo da quantidade de conexões, isso acabará impossibilitando o atendimento
de clientes legítimos.
Figura 1.13: SYN flooding é uma inundação de segmentos TCP com bit SYNs igual a “1”.
Ilustração, por favor, refazer esta imagem. Diagramação, por favor, deixar essa
imagem ao lado direito do texto.
Há outros exemplos de ataques do tipo flooding: o ping flooding, o ARP flooding
etc. Os detalhes de cada ataque variam, mas o objetivo final é o mesmo: causar a
indisponibilidade de um serviço pelo excesso de requisições.
Início da Atividade
Atividade 3 - Objetivos 2 e 3
Como um firewall poderia detectar e interromper um ataque do tipo SYN flooding
conforme explicado nesta seção? Por que o ataque de negação distribuído é muito mais difícil
de ser barrado?
Quantidade de Linhas: Deixar 8 linhas.
Resposta e comentário
Praticamente todo firewall moderno (com funções básicas de detecção de intrusão)
bloqueia pedidos de abertura de conexão para o mesmo serviço quando eles são feitos pelo
mesmo cliente em um curto intervalo de tempo. Claro que em raros casos isso pode acontecer
em clientes compartilhados, mas o ataque se baseia no envio de centenas de requisições por
minuto, e isso de fato só acontece em casos de ataque ou algum tipo de mau funcionamento nos
sistemas. Porém, essa tática só serve para ataques DoS em que o IP de origem permanece o
mesmo. No caso dos ataques DDoS, como são utilizadas várias máquinas de origem, o
equipamento de defesa de perímetro precisará se basear em outra técnica de detecção de
intrusão.
Fim da Atividade
8. Conclusão
Nesta aula, além de termos estabelecido algumas definições básicas, pudemos
também discutir uma série de ameaças às redes de computadores. É fato que muito do que
nós vimos está relacionado a códigos que podem ser gerados e utilizados com as mais diversas
finalidades. De todas elas, as que nos interessam são aquelas que possam servir como primeira
etapa do comprometimento das barreiras de perímetro de uma rede. Ou seja, de nada adianta
um bom firewall se o sistema operacional em que ele foi instalado e configurado possui
vulnerabilidades. E, como vimos, há vários caminhos possíveis para comprometer um sistema
utilizando tais códigos.
Além disso, como citamos logo no início desta aula, quase nunca um “bom” atacante
(se é que podemos usar tal expressão...) irá utilizar apenas um tipo de técnica ou ferramenta
para obter informações sobre vulnerabilidades. Na prática, sempre haverá “inimigos” que você
precisará “temer” mesmo após ter implementado as principais barreiras de segurança; esses
inimigos são justamente aqueles que conhecem muito bem não só o funcionamento dos
principais protocolos de redes de computadores, mas também as melhores técnicas de
programação e desenvolvimento de sistemas.
Início da Atividade On Line
Objetivos 01 a 03
Acesse o fórum desta semana e tire suas dúvidas sobre o conteúdo desta aula. Lá
vamos discutir com mais abrangência e ênfase na prática as ameaças e vulnerabilidades
explicadas aqui, além de tratar de outros pontos importantes relacionados ao tema. Por
exemplo, os conceitos de rootkits, backdoors, HOAX, outros ataques do tipo flooding,
fragmentação etc.
Fim da Atividade
9. Resumo
� Ativo é definido pela ISO 27001 como qualquer coisa que tenha valor para a
organização.
� O grau de criticidade de um risco de TI depende do valor do ativo que se quer
proteger, da quantidade de ameaças existentes e da quantidade de vulnerabilidades
que possam ser exploradas. Quanto maiores forem esses fatores, maior será o grau
de criticidade do risco.
� Há cinco princípios básicos da segurança da informação; três são mais tradicionais: a
confidencialidade, a integridade e a disponibilidade; dois estão relacionados à
evolução das tecnologias de certificação digital: a autenticidade e o não repúdio.
� O controle de acesso, às vezes mencionado como um princípio da segurança da
informação, nada mais é do que uma forma de garantir a observância da
confidencialidade, da integridade, da disponibilidade, da autenticidade ou do não
repúdio.
� O cenário atual dificulta a atuação dos administradores, pois há muito mais
automação, capacidade de atuação a distância, maior sensação de anonimato e
compartilhamento instantâneo de técnicas de invasão.
� As técnicas de coleta de informações estudadas nesta aula foram: a engenharia social,
o phishing, o packet sniffing, o port scanning, o scanning de vulnerabilidades, o IP
spoofing, o ARP spoofing.
� Algumas técnicas de coleta necessitam de algum comprometimento inicial da rede ou
de um sistema (como no caso dos sniffers).
� Os códigos maliciosos vistos nesta aula foram os vírus, os worms, os trojans, os
spywares, os loggers e os exploits.
� Códigos maliciosos também podem ser utilizados como forma de coleta de
informações (por exemplo, no caso dos spywares e loggers) ou como forma de
comprometimento inicial para um ataque posterior (por exemplo, no caso dos
trojans).
Próxima aula
Na próxima aula estudaremos uma das mais populares e antigas formas de defesa de
perímetro: os firewalls. Sobre este assunto vamos abordar os principais conceitos, ver as
diversas topologias possíveis, as diferenças entre firewalls stateless e firewall statefull etc.
Além disso, os conceitos de proxy e de DMZs também serão assuntos da aula.
Pratique o que você aprendeu e contribua com os fóruns desta aula fazendo os seus
questionamentos ou ajudando a esclarecer as dúvidas dos outros participantes. Até a próxima!
Questões Finais
1) Julgue os itens a seguir assinalando “V” para Verdadeiro e “F” para Falso.
I. ( ) Ativos com alto grau de vulnerabilidades são ativos altamente críticos.
II. ( ) Por definição, se a ameaça for nula, a criticidade também será nula.
III. ( ) Por definição, se a ameaça for nula, a vulnerabilidade também será nula.
IV. ( ) Confiabilidade, integridade e disponibilidade são os três maiores princípios de segurança da informação segundo a norma ISO 27001.
V. ( ) Worms se replicam sozinhos; já os vírus sempre dependem de alguma ação executada pelo usuário ou pelo administrador da máquina infectada.
2) O que são técnicas de spoofing? Explique e dê exemplos.
3) (Perito Criminal - Polícia Civil/PA/2007 - CESPE) Quanto ao monitoramento de tráfego em uma rede, julgue os seguintes itens.
I. O tcpdump é um packet sniffer que possibilita a interceptação e apresentação de pacotes que trafegam por uma rede TCP/IP. Os dados nos pacotes interceptados podem ser armazenados em arquivos para posterior análise.
II. Um packet sniffer possibilita monitorar o tráfego em uma rede. Em uma rede Ethernet, para monitorar o tráfego destinado ao endereço de broadcast, a placa de interface com a rede precisa ser configurada no modo promíscuo.
III. Em uma rede Ethernet, um packet sniffer pode ser usado para monitorar o tráfego destinado ao endereço de broadcast e a endereços de multicast, mas não tráfego unicast destinado à máquina com o packet sniffer.
IV. Há técnicas que podem ser usadas para se tentar identificar a presença de packet sniffers em redes Ethernet. Por exemplo, um pacote ARP pode ser enviado para um endereço que não seja o de broadcast. Se uma máquina responder a esse pacote, possivelmente tem uma placa de rede no modo promíscuo.
Estão certos apenas os itens
A. I e II.
B. I e IV.
C. II e III.
D. III e IV.
4) Enumere a primeira coluna de acordo com a segunda.
( ) Interceptação. ( 1 ) Não repúdio. ( ) Fabricação. ( 2 ) Confidencialidade. ( ) Modificação. ( 3 ) Disponibilidade. ( ) Interrupção. ( 4 ) Integridade. ( ) Negação. ( 5 ) Autenticidade.
5) (Perito Criminal - Polícia Federal/2002 - CESPE) Considere uma rede em que há a suspeita da existência de um sniffer instalado em uma das máquinas, realizando escutas desautorizadas. Com relação a essa situação, julgue os itens abaixo.
[1] Constitui boa estratégia de detecção de sniffer aquela que se fundamenta na identificação do tráfego gerado por ele durante a escuta, tráfego que normalmente acontece em grande quantidade, seja o sniffer em redes comutadas ou não.
[2] Pode-se detectar a existência de um sniffer na rede usando-se outro sniffer e verificando quem faz consultas de DNS quando uma nova máquina é adicionada à rede.
[3] Na identificação de um snnifer, constitui boa estratégia o envio de pings em broadcast e a comparação dos tempos de resposta das várias máquinas no segmento: o tempo de resposta da máquina que contém sniffer provavelmente será maior que o das outras máquinas.
[4] A detecção de um sniffer quase sempre acontece com sucesso, sendo a sua identificação fundamentada no endereço MAC.
6) (Perito Criminal - Polícia Federal/2004 - CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.
[97] Os programas conhecidos como spyware são um tipo de trojan que tem por objetivo coletar informações acerca das atividades de um sistema ou dos seus usuários e representam uma ameaça à confidencialidade das informações acessadas no sistema infectado. Esses programas não são considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.
[98] Um ataque de scanner consiste na monitoração de serviços e versões de software que estão sendo executados em um determinado sistema. Um sistema firewall que implementa um filtro de conexões é capaz de anular os efeitos desse tipo de ataque.
[99] A captura de pacotes que trafegam na rede com uso de um sniffer é um exemplo de ataque para o qual não há nenhuma forma de detecção possível pelo administrador de rede.
7) (Técnico Científico - BASA/2006 - CESPE) No tocante a vulnerabilidades, mecanismos, técnicas e políticas de segurança em redes, julgue os itens a seguir.
[110] Um trojan é um programa não-autorizado, embutido dentro de um programa legítimo, que executa funções desconhecidas e, provavelmente, indesejáveis. O programa alvo realiza a função desejada, mas, devido à existência de código não-autorizado dentro dele, também executa funções desconhecidas.
[112] Um ataque de spoofing se baseia em uma situação na qual uma pessoa ou programa consegue se mascarar com sucesso, por exemplo, se fazendo passar por outra por meio de falsificação de dados. Um exemplo desse tipo de ataque vem da área de criptografia e é conhecido como man in the middle attack.
8) (Analista de Sistemas - IPEA/2008 - CESPE) Acerca de segurança em redes, controle de logs e políticas de backup de ativos de rede, julgue os itens seguintes.
[84] Atualmente, a maioria dos vírus ainda é detectada por meio de assinaturas. A pesquisa por assinatura é variável conforme o antivírus. Dá-se o nome de falso positivo a um alarme falso gerado pelo antivírus, isto é, quando um erro na lista de definição faz que o programa marque arquivos limpos e seguros como infectados.
[117] Um vírus metamórfico faz mutação a cada infecção, podendo tanto mudar de comportamento quanto de aparência.
[118] Em um ataque negação de serviço por refletor — reflector distributed denial of
service (DdoS) — entidades escravas do atacante constroem pacotes que requerem
respostas e contém o endereço IP do alvo como endereço fonte no cabeçalho, de modo que ao serem enviados a computadores não infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do ataque.
Respostas
1) F – V – F – F – V.
2) As técnicas de spoofing implicam forjar ou disfarçar informações do atacante como se fossem informações legítimas. A informação em si pode ser um endereço de rede, um endereço de enlace etc. Em alguns casos o próprio atacante modifica a informação que ele gera (como no IP spoofing); em outros, uma entidade é comprometida para gerar informações falsas (como no DNS spoofing).
3) Alternativa B.
A afirmação I é correta. A afirmativa II é incorreta, pois o tráfego de broadcast é recebido normalmente por todas as máquinas independentemente de elas estarem em modo promíscuo. A alternativa III é incorreta, pois o tráfego unicast destinado à máquina com o packet sniffer sempre é recebido por ela. A afirmação IV é correta, conforme vimos na teoria. Logo, são corretas as afirmações I e IV.
4) 2 – 5 – 4 – 3 – 1.
5) A afirmação [1] é falsa. A detecção do sniffer é baseada principalmente no tráfego recebido por ele (em modo promíscuo), não no tráfego que ele gera; além disso, ele não gera grande quantidade de tráfego na rede. A afirmação [2] é verdadeira. Faz parte do comportamento do sniffer gerar consultas DNS sempre que surgem novas máquinas na rede a fim de aprender seus nomes. A afirmação [3] é verdadeira. O sniffer, por estar recebendo uma carga de “pings” maior (todos chegam a ele), se torna cada vez mais lento em suas respostas. A afirmação [4] é falsa. Não temos garantias para afirmar que um método de detecção do sniffer será “quase sempre” efetivo. Na prática, isso dependerá de vários fatores.
6) A afirmação [97] é falsa. O fato de o trojan poder se replicar não o torna um vírus de computador, pois, como vimos, as características dos vírus de computadores são bem específicas e diferentes das dos trojans. A afirmação [98] é falsa, pois não há como o firewall impedir que o scanner faça uma varredura aleatória e detecte portas abertas. A afirmação [99] é falsa. Há formas de detecção de um sniffer de pacotes.
7) A afirmação [110] é verdadeira. Conforme definição vista. A afirmação [112] é verdadeira. O man in the middle attack é a entidade que se incorpora à comunicação, sem conhecimento das partes envolvidas, para se fazer passar por uma delas. A forma com que isso é feito pode ser baseada em spoofing (IP spoofing, ARP spoofing etc.).
8) A afirmação [84] é verdadeira. Conforme definição vista. A afirmação [117] é verdadeira. Conforme definição. A afirmação [118] é verdadeira. Conforme definição.
Referências
SCHENEIER, Bruce. Secrets & Lies: Digital Security in a Networked World. Indiana: Wiley,
2004.
STALLINGS, William. Criptografia e segurança de redes. 4ª ed. São Paulo: Prentice-Hall, 2007.
FONTES, Edson. Segurança da Informação. São Paulo: Saraiva, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ABNT ISO/IEC 27001 - Tecnologia da
informação - Técnicas de segurança - Sistemas de gestão de segurança da informação -
Requisitos. Rio de Janeiro, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ABNT ISO/IEC 27002 - Tecnologia da
informação - Técnicas de segurança - Sistemas de gestão de segurança da informação -
Requisitos. Rio de Janeiro, 2005.
Recommended