Segurança e Auditoria de Sistemas

Segurança e Auditoria de Segurança e Auditoria de SistemasSistemas

ProfProf.. Fabiano Sabha Fabiano Sabha

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 2

DatasDatas

ProvasProvas• 1º bimestre (P1) – 08/04• 2º bimestre (P2) – 10/06 • Substitutiva – 17/06• Exame – 24/06

TrabalhosTrabalhos• Apresentação (5 grupos - 30 minutos) – 25/03

Ameaças em Seguranças de Ameaças em Seguranças de SistemasSistemas

ProfProf.. Fabiano Sabha Fabiano Sabha

Continuação


Códigos MaliciososCódigos Maliciosos

VírusVírus Cavalo de TróiaCavalo de Tróia Adware e SpywareAdware e Spyware BackdoorsBackdoors KeyloggersKeyloggers WormsWorms Bots e BotnetsBots e Botnets RootkitsRootkits


VírusVírus

Vírus é um programa ou parte de um Vírus é um programa ou parte de um programa de computador, normalmente programa de computador, normalmente malicioso, que se propaga infectando, isto é, malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um parte de outros programas e arquivos de um computador. O vírus depende da execução do computador. O vírus depende da execução do programa ou arquivo hospedeiro para que programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao possa se tornar ativo e dar continuidade ao processo de infecção.processo de infecção.


Cavalo de TróiaCavalo de Tróia

Conta a mitologia grega que o "Cavalo de Conta a mitologia grega que o "Cavalo de Tróia" foi uma grande estátua, utilizada como Tróia" foi uma grande estátua, utilizada como instrumento de guerra pelos gregos para instrumento de guerra pelos gregos para obter acesso a cidade de Tróia.obter acesso a cidade de Tróia.

Na informática, um cavalo de tróia é um programa, normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.



Algumas das funções maliciosas que podem Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são: ser executadas por um cavalo de tróia são:

Instalação de keyloggers ou screenloggers Furto de senhas e outras informações sensíveis, como números de cartões de crédito; Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador; Alteração ou destruição de arquivos.



Por definição, o cavalo de tróia distingue-se Por definição, o cavalo de tróia distingue-se de um vírus ou de um de um vírus ou de um wormworm por não infectar por não infectar outros arquivos, nem propagar cópias de si outros arquivos, nem propagar cópias de si mesmo automaticamente. mesmo automaticamente.

Normalmente um cavalo de tróia consiste em Normalmente um cavalo de tróia consiste em um único arquivo que necessita ser um único arquivo que necessita ser explicitamente executado. explicitamente executado.


Adware e SpywareAdware e Spyware

Adware é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.

Spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.


Adware e SpaywareAdware e Spayware

Adware é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.

Spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.


Atividades do SpywareAtividades do Spyware

Monitoramento de URLs; Alteração da página inicial; Varredura dos arquivos armazenados; Monitoramento e captura de informações; Instalação de outros programas spyware; Monitoramento de teclas digitadas; Captura de senhas bancárias e cartões; Captura de outras senhas;


BackdoorsBackdoors

A forma usual de inclusão de um A forma usual de inclusão de um backdoorbackdoor consiste na consiste na disponibilização de um novo serviço ou substituição de disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso normalmente possuindo recursos que permitam acesso remoto (através da Internet). Pode ser incluído por um remoto (através da Internet). Pode ser incluído por um invasor ou através de um cavalo de tróia. invasor ou através de um cavalo de tróia.

Uma outra forma é a instalação de pacotes de Uma outra forma é a instalação de pacotes de softwaresoftware, , tais como o tais como o BackOrificeBackOrifice e e NetBusNetBus, da plataforma , da plataforma Windows, utilizados para administração remota. Se mal Windows, utilizados para administração remota. Se mal configurados ou utilizados sem o consentimento do configurados ou utilizados sem o consentimento do usuário, podem ser classificados como usuário, podem ser classificados como backdoorsbackdoors. .


BackdoorsBackdoors

A forma usual de inclusão de um A forma usual de inclusão de um backdoorbackdoor consiste na consiste na disponibilização de um novo serviço ou substituição de disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso normalmente possuindo recursos que permitam acesso remoto (através da Internet). Pode ser incluído por um remoto (através da Internet). Pode ser incluído por um invasor ou através de um cavalo de tróia. invasor ou através de um cavalo de tróia.

Uma outra forma é a instalação de pacotes de Uma outra forma é a instalação de pacotes de softwaresoftware, , tais como o tais como o BackOrificeBackOrifice e e NetBusNetBus, da plataforma , da plataforma Windows, utilizados para administração remota. Se mal Windows, utilizados para administração remota. Se mal configurados ou utilizados sem o consentimento do configurados ou utilizados sem o consentimento do usuário, podem ser classificados como usuário, podem ser classificados como backdoorsbackdoors. .


KeyloggersKeyloggers

KeyloggerKeylogger é um programa capaz de capturar e é um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de armazenar as teclas digitadas pelo usuário no teclado de um computador. um computador.

Normalmente, o Normalmente, o keyloggerkeylogger vem como parte de um vem como parte de um programa programa spywarespyware ou cavalo de tróia. ou cavalo de tróia.

Desta forma, é necessário que este programa seja Desta forma, é necessário que este programa seja executado para que o executado para que o keyloggerkeylogger se instale em um se instale em um computador. Geralmente, tais programas vêm anexados a computador. Geralmente, tais programas vêm anexados a e-mailse-mails ou estão disponíveis em ou estão disponíveis em sitessites na Internet. na Internet.


WormsWorms

Worm é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar.

Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.


Bots e BotnetsBots e Botnets

De modo similar ao De modo similar ao wormworm, o , o botbot é um programa é um programa capaz se propagar automaticamente, explorando capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na vulnerabilidades existentes ou falhas na configuração de configuração de softwaressoftwares instalados em um instalados em um computador. Adicionalmente ao computador. Adicionalmente ao wormworm, dispõe de , dispõe de mecanismos de comunicação com o invasor, mecanismos de comunicação com o invasor, permitindo que o permitindo que o botbot seja controlado seja controlado remotamente.remotamente.


Bots e BootnetsBots e Bootnets

De que modo o invasor se comunica com o Bot?De que modo o invasor se comunica com o Bot?

Normalmente, o Normalmente, o botbot se conecta a um servidor de IRC e se conecta a um servidor de IRC e entra em um canal determinado. Então, ele aguarda por entra em um canal determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüências canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo especiais de caracteres, que são interpretadas pelo botbot. . Estas seqüências de caracteres correspondem a Estas seqüências de caracteres correspondem a instruções que devem ser executadas pelo instruções que devem ser executadas pelo botbot..


Bots e BootnetsBots e Bootnets

O que são botnets?

Botnets são redes formadas por computadores infectados com bots. Estas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negação de serviço, etc


Ataques DoSAtaques DoS

DoS: Denial of Service – ataque de DoS: Denial of Service – ataque de negação de serviço!negação de serviço!


DoS - DefiniçãoDoS - Definição

STEIN, L. & STEWART define negação de serviço como STEIN, L. & STEWART define negação de serviço como um ataque que permite que uma pessoa deixe um sistema um ataque que permite que uma pessoa deixe um sistema inutilizável ou consideravelmente lento para os usuários inutilizável ou consideravelmente lento para os usuários legítimos através do consumo de seus recursos, de legítimos através do consumo de seus recursos, de maneira que ninguém consegue utilizá-los.maneira que ninguém consegue utilizá-los.


DoS - HistóriaDoS - História

No ano de 1988 houve a primeira detecção de ataque No ano de 1988 houve a primeira detecção de ataque DoS. No mês de setembro de 1996, o Provedor Public DoS. No mês de setembro de 1996, o Provedor Public Access Network Corporation (PANIX) ficou cerca de uma Access Network Corporation (PANIX) ficou cerca de uma semana sob o efeito de um ataque DoS. semana sob o efeito de um ataque DoS.

Já em maio de 1999 uma série de ataques DoS atingiu as Já em maio de 1999 uma série de ataques DoS atingiu as redes do Federal Bearout of Investigation (FBI) e de vários redes do Federal Bearout of Investigation (FBI) e de vários outros órgãos governamentais norte-americanos.outros órgãos governamentais norte-americanos.


DoS - TiposDoS - Tipos

Basicamente temos três tipos de DoS:Basicamente temos três tipos de DoS:

DoS – LocalDoS – Local DoS – RemotoDoS – Remoto DoS - DistribuídoDoS - Distribuído


DoS - LocalDoS - Local

A negação de serviço Local é um ataque que para A negação de serviço Local é um ataque que para poder ser executado é necessário estar-se logado poder ser executado é necessário estar-se logado ao sistema, Outro método antigo de ataque, é o ao sistema, Outro método antigo de ataque, é o ataque a disco que simplesmente lota o HD do ataque a disco que simplesmente lota o HD do sistema com dados aleatóriossistema com dados aleatórios.


DoS - RemotoDoS - Remoto

Os ataques DoS remoto, que podem ser Os ataques DoS remoto, que podem ser executado sem estar logado ao sistema (DoS executado sem estar logado ao sistema (DoS Remoto Multiprotocolar) que consiste em ataques Remoto Multiprotocolar) que consiste em ataques que funcionam independente do sistema que funcionam independente do sistema operacional, devido à falhas em diversos operacional, devido à falhas em diversos protocolos e o de força bruta que neste caso, o protocolos e o de força bruta que neste caso, o atacante envia para a rede um número de pacotes atacante envia para a rede um número de pacotes superior ao limite que o destino é capaz de superior ao limite que o destino é capaz de absorver.absorver.


DoS - DistribuídoDoS - Distribuído

Os ataques DDoS, acontecem remotamente, Os ataques DDoS, acontecem remotamente, através do ataque simultâneo de vários através do ataque simultâneo de vários equipamentos infectados (bot´s), apontando para equipamentos infectados (bot´s), apontando para o mesmo alvo.o mesmo alvo.

PSI - Política de Segurança da PSI - Política de Segurança da InformaçãoInformação


Política de Segurança da InformaçãoPolítica de Segurança da Informação

A política de segurança atribui direitos e A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com recursos computacionais de uma instituição e com as informações neles armazenados. Ela também as informações neles armazenados. Ela também define as atribuições de cada um em relação à define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.segurança dos recursos com os quais trabalham.

(Cert.br)(Cert.br)


PSIPSI

Uma política de segurança também deve prever o que Uma política de segurança também deve prever o que pode ser feito na rede da instituição e o que será pode ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política considerado inaceitável. Tudo o que descumprir a política de segurança pode ser considerado um incidente de de segurança pode ser considerado um incidente de segurança.segurança.

Na política de segurança também são definidas as Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não penalidades às quais estão sujeitos aqueles que não cumprirem a política.cumprirem a política.


PSI – O que pode ser ameaçado?PSI – O que pode ser ameaçado?

Hardware• objetos e equipamentos• material (por exemplo, o cobre) e insumos (papel, fitas...)

Software• software-produto• software-elemento operacional


PSI – O que pode ser ameaçado?PSI – O que pode ser ameaçado?


PSI – Possíveis atacantesPSI – Possíveis atacantes

Incidentes externos ou eventos da naturezaIncidentes externos ou eventos da natureza Empregados (ações não intencionais)Empregados (ações não intencionais) Empregados (ataques e intrusões acobertadas)Empregados (ataques e intrusões acobertadas) Empregados (sabotagem às claras)Empregados (sabotagem às claras) Ex-empregadosEx-empregados Pessoal externo obtendo acesso não Pessoal externo obtendo acesso não autorizadoautorizado Pessoal de suporte/manutençãoPessoal de suporte/manutenção ConcorrenciaConcorrencia


PSI – Quem envolver?PSI – Quem envolver?

O administrador de segurançaO administrador de segurança

O pessoal técnico de tecnologia da informaçãoO pessoal técnico de tecnologia da informação

Os Administradores de grupos de usuáriosOs Administradores de grupos de usuários

A equipe de reação a incidentes de segurançaA equipe de reação a incidentes de segurança

Os Representantes de grupos de usuários Os Representantes de grupos de usuários afetados pela política de segurançaafetados pela política de segurança

O Conselho LegalO Conselho Legal Alta direçãoAlta direção


PSI – DeterminantesPSI – Determinantes

Serviços oferecidos versus Segurança Serviços oferecidos versus Segurança fornecidafornecida Facilidade de uso versus Segurança mais Facilidade de uso versus Segurança mais seguro.seguro. Custo da segurança versus o Risco da perdaCusto da segurança versus o Risco da perda

Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha

34

PSI – IMPORTANTEPSI – IMPORTANTE

TODA PSI – é um documento vivo!TODA PSI – é um documento vivo!

PlanPlan DODO

CheckCheckACTACT

Documents

Segurança e Auditoria de Sistemas