Embed Size (px)
Citation preview
Vulnerabilidade dos sistemas e uso indevido
Um conceito bastante comum para o termo vulnerabilidade: trata-se de falha no projeto, implementação ou configuração de software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.
Em outras palavras, a vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque.
Todos os ambientes são vulneráveis, partindo do principio de que não existem ambientes totalmente seguros.
Cada vulnerabilidade existente pode permitir a ocorrência de determinados incidentes de segurança. Desta forma, podemos concluir que são as vulnerabilidades as principais causas das ocorrências de incidentes de segurança, conforme apresenta à próxima figura.
Por que sistemas são vulneráveis
Quando grandes quantidades de dados são armazenadas sob formato eletrônico, ficam vulneráveis a muito mais tipos de ameaças do que quando estão em formato manual.
Os avanços nas telecomunicações e nos sistemas de informação ampliaram essas vulnerabilidades. Sistemas de informação em diferentes localidades podem ser interconectados por meio de redes de telecomunicações. Logo, o potencial para acesso não autorizado, abuso ou fraude não fica limitado a um único lugar, mas pode ocorrer em qualquer ponto de acesso à rede.
Além disso, arranjos mais complexos e diversos de hardware, software, pessoais e organizacionais são exigidos para redes de telecomunicação, criando novas áreas e oportunidades para invasão e manipulação. Redes sem fio que utilizam tecnologias baseadas em rádio são ainda mais vulneráveis à invasão, porque é fácil fazer a varredura das faixas de radiofreqüência. As vulnerabilidades das redes de telecomunicação estão ilustradas na próxima
figura.
Redes de telecomunicação são altamente vulneráveis a falhas naturais de hardware e software e ao uso indevido por programadores, operadores de computador, pessoal de manutenção e usuário finais. É possível, por exemplo, grampear linhas de telecomunicação e interceptar dados ilegalmente. A transmissão de alta velocidade por canais de comunicação de par trançado, por sua vez, causa à interferência denominada linha cruzada. E, finalmente, a radiação também pode causar falha da rede em vários pontos.
Além do mais, o uso crescente de dispositivos portáteis para a computação empresarial ajuda a piorar esse cenário. A portabilidade faz com que seja fácil roubar ou perder telefones celulares e smartphones, e suas redes estão vulneráveis a acesso por intrusos. Estes dispositivos utilizados por executivos podem conter dados importantes dos negócios e invasores podem acessar redes coorporativas internas através destes equipamentos.
Por sua vez, a Internet apresenta problemas especiais porque foi projetada para ser acessada facilmente por pessoas com sistemas de informações diferentes. Computadores permanentemente conectados à Internet estão sujeitos à invasão por estranhos, já que usam um endereço de Internet fixo, tornando-se mais fácil de identificar.
Vulnerabilidades existentes em uma organização
Vulnerabilidades Físicas: São aquelas presentes em ambientes onde se armazenam as informações, como: instalações prediais fora do padrão; ausência de recursos para combate a incêndios; CPDs mal planejados; disposição desorganizada de fios de energia e cabos de rede; ausência de controle de acesso físico etc.
Vulnerabilidades de Hardware: Compreendem possíveis defeitos de fabricação, erros de configuração ou falhas nos equipamentos. Como exemplos citam-se erros decorrentes da instalação, desgaste, obsolescência ou má utilização do equipamento etc. É importante observar detalhes como o dimensionamento adequado do equipamento, ou
seja, se sua capacidade de armazenamento, processamento e velocidade estão compatíveis com as necessidades, de modo a não sub ou super dimensioná-lo.
Vulnerabilidades de Software: São possíveis falhas de programação, erros de instalação e configuração, que podem, por exemplo, causar acesso indevido, vazamento de informações, perda de dados etc. Sistemas operacionais são altamente visados para ataque, pois através deles é possível ter acesso ao hardware do computador. Ataques como estes são de alta gravidade, e podem comprometer todo o sistema. Um grande número de empresas, ao identificarem alguma vulnerabilidade em seus softwares, lançam boletins informativos a fim,de alertar os usuários, e normalmente disponibilizam pacotes de atualização, denominados Service Packs, para correção desta vulnerabilidade.
Vulnerabilidades de Armazenamento: Relacionadas com a forma de utilização das mídias (disquetes, CD-ROMs, fitas magnéticas, discos rígidos dos servidores etc) em que estão armazenadas as informações, como armazenamento de disquetes em local inadequado etc.
Vulnerabilidades de Comunicação: Relacionadas com o tráfego de informações, independente do meio de transmissão, podendo envolver ondas de rádio, satélite, fibra ótica etc. Podem, por exemplo, permitir acesso não autorizado ou perda de dados durante a transmissão de uma informação. A escolha do meio de transmissão e das medidas de segurança é de suma importância, pois a informação poderá ser interceptada antes de chegar ao destino.
Vulnerabilidades Humanas: Relacionadas aos danos que as pessoas podem causar às informações e ao ambiente tecnológico que as suporta, podendo ser intencionais ou não. Podem ocorrer devido a desconhecimentos das medidas de segurança, falta de capacitação para execução da tarefa dentro dos princípios de segurança, erros e omissões.
Software mal-intencionado
Ameaça é algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.
Em outras palavras, uma ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação, desastres naturais, erros do usuário, bugs de software, uma ameaça secreta enviada a um endereço incorreto etc) ou deliberada (roubo, espionagem, fraude, sabotagem, invasão de hackers, entre outros).
Ameaça pode ser uma pessoa, uma coisa, um evento ou uma idéia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade etc.
Basicamente existem dois tipos de ameaças:Ameaças externas: são aqui representadas por todas as tentativasde ataque e desvio de informações vindas de fora da empresa. Normalmente essas tentativas são realizadas por pessoas com a intenção de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas.
Ameaças internas: estão presentes, independentemente das empresas estarem ou não conectadas à Internet. Podem causar desde incidentes leves até os mais graves, como a inatividade das operações da empresa.
Malware (combinação de malicious software – programa malicioso) é uma expressão usada para todo e quaisquer softwares maliciosos, ou seja, programados com o intuito de prejudicar os sistemas de informação, alterar o funcionamento de programas, roubar informações, causar lentidões de redes computacionais, dentre outros. Resumindo, malwares são programas que executam deliberadamente ações mal-intencionadas em um computador.
Os tipos mais comuns de malware: vírus, worms, bots, cavalos de tróia, spyware, keylogger, screenlogger, estão descritos a seguir.
Vírus: são pequenos códigos de programação maliciosos que se “agregam” a arquivos e são transmitidos com eles. Quando o arquivo é aberto na memória RAM, o vírus
também é, e, a partir daí se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Alguns vírus são inofensivos, outros, porém, podem danificar um sistema operacional e os programas de um computador. Dentre os tipos de vírus conhecidos, podemos citar:
Vírus de boot: infectam o setor de boot dos discos rígidos.Vírus de macro: infectam documentos gerados por aplicativos que possuam recursos de macro, como o pacote Microsoft Office.Vírus de programa: infectam arquivos de programa (de inúmeras extensões, como .exe, .com,.vbs, .pif.Vírus stealth: programado para se esconder e enganar o antivírus durante uma varredura deste programa. Tem a capacidade de se remover da memória temporariamente para evitar que antivírus o detecte.Vírus polimórficos: alteram seu formato (“mudam de forma”) constantemente. A cada nova infecção, esses vírus geram uma nova seqüência de bytes em seu código, para que o antivírus se confunda na hora de executar a varredura e não reconheça o invasor.Vírus de script: propagam-se por meio de scripts, nome que designa uma seqüência de comandos previamente estabelecidos e que são executados automaticamente em um sistema, sem necessidade de intervenção do usuário. Dois tipos de scripts muito usados são os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). Segundo Oliveira (2008) tanto um quanto o outro podem ser inseridos em páginas Web e interpretados por navegadores como Internet Explorer e outros. Os arquivos Javascript tornaram-se tão comuns na Internet que é difícil encontrar algum site atual que não os utilize. Assim como as macros, os scripts não são necessariamente maléficos. Na maioria das vezes executam tarefas úteis, que facilitam a vida dos usuários – prova disso é que se a execução dos scripts for desativada nos navegadores, a maioria dos sites passará a ser apresentada de forma incompleta ou incorreta.Vírus de celular: propaga de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). O serviço MMS é usado para enviar mensagens multimídia, isto é, que contêm não só texto, mas também sons e imagens, como vídeos, fotos e animações.
Worms (vermes): são programas parecidos com vírus, mas que na verdade são capazes de se propagarem automaticamente através de redes, enviando cópias de si mesmo de computador para computador (observe que os worms apenas se copiam, não infectam outros arquivos, eles mesmos são os arquivos!!). Além disso, geralmente utilizam as redes de comunicação para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Diferentemente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Bots: de modo similar ao worm, é um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de software instalado em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente. Os bots esperam por comandos de um hacker, podendo manipular os sistemas infectados, sem o
conhecimento do usuário. O termo botnet é a junção da contração das palavras robot (bot) e network (net). Uma rede infectada por bots é denominada de botnet (também conhecida como rede zumbi), sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas máquinas, aguardando o comando de um invasor. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negação de serviço etc.
Trojan horse (Cavalo de tróia): é um programa aparentemente inofensivo que entra em seu computador na forma de cartão virtual, álbum de fotos, protetor de tela, jogo, etc., e que, quando executado(com a sua autorização!), parece lhe divertir, mas, por trás abre portas de comunicação do seu computador para que ele possa ser invadido. Por definição, o cavalo de tróia distingue-se de um vírus ou de um worm por não infectar outros arquivos, nem propagar cópias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais são divididos em duas partes, que são: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo é executado, o servidor se instala e se oculta no computador da vítima. Nesse momento, o computador já pode ser acessado pelo cliente, que enviará informações para o servidor executar certas operações no computador da vítima.
Adware (advertising software): este tipo de programa geralmente não prejudica o computador. O adware apresenta anúncios, cria ícones ou modifica itens do sistema operacional com o intuito de exibir alguma propaganda. Nem sempre são maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para páginas de cassinos, vendas de remédios, páginas pornográficas, etc.
Spyware: trata-se de um programa espião (spy em inglês = espião). É um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informações coletadas para terceiros.
Keylogger: um tipo de malware que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito. Em muitos casos, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site específico de comércio eletrônico ou Internet Banking. Normalmente, o keylogger contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).
Screenlogger: forma avançada de keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou armazenar a região que circunda a posição onde o mouse é clicado.
Sniffers (farejadores): são programas que agem na rede farejando pacotes na tentativa de encontrar certas informações, como senhas de acesso, nomes de usuários, informações confidenciais etc. Foram desenvolvidos como ferramentas auxiliares de diagnóstico em redes e posteriormente alterados para fins ilícitos.
Spams são mensagens de correio eletrônico não autorizadas ou não solicitadas. O spam não é propriamente uma ameaça à segurança, mas é um portador comum delas. São spams, por exemplo, os e-mails falsos que recebemos como sendo de órgãos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso, os spams costumam induzir o usuário a instalar um dos malwares que vimos anteriormente. Ferramentas de combate ao spam são geralmente disponibilizadas do lado do servidores de e-mail, filtrando as mensagens que são direcionadas à nossa caixa postal.
Ataque é uma alteração no fluxo normal de uma informação que afeta um dos serviços oferecidos pela segurança da informação. Ele é decorrente de uma vulnerabilidade que é explorada por um atacante em potencial.
A figura seguinte representa um fluxo de informações e quatro ameaças possíveis para a segurança de um sistema de informação:
Interrupção: ataque na transmissão da mensagem, em que o fluxo de dados é interrompido. Um exemplo pode ser a danificação de componentes de hardware ou a queda do sistema de comunicação por sabotagem.
Interceptação: este é um ataque sobre a confidencialidade. Ocorre quando uma pessoa não autorizada tem acesso às informações confidenciais de outra. Um exemplo seria a captura dedados na rede ou a cópia ilegal de um arquivo.
Modificação: este é um ataque à integridade da mensagem. Ocorre quando uma pessoa não autorizada, além de interceptar as mensagens, altera o conteúdo da mensagem e envia o conteúdo alterado para o destinatário.
Fabricação: este é um ataque sobre a autenticidade. Uma pessoa não autorizada insere mensagens no sistema assumindo o perfil de um usuário autorizado.
Exemplos de ataques contra um sistema de informação
Os principais tipos de ataque são:
Engenharia Social: É o método de se obter dados importantes de pessoas através da velha “lábia”. No popular é o tipo de vigarice mesmo pois é assim que muitos habitantes do underground da internet operam para conseguir senhas de acesso, números de telefones, nomes e outros dados que deveriam ser sigilosos. A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia.
Phishing (ou Phishing scam): Foi um termo criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, órgão do governo (Receita Federal, INSS e Ministério do Trabalho são os mais comuns) ou site popular. Nesse caso, a mensagem procura induzir o usuário a acessar páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários desavisados.
A figura seguinte apresenta “isca” (e-mails) utilizada em golpe de phishing envolvendo o Banco de Brasil.
Isca de Phishing Relacionada ao Banco do Brasil
A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que “iscas” (e-mails) são usadas para “pescar” informações sensíveis (senhas e dados financeiros, por exemplo) de usuários da Internet.
Denial of Service (DoS): Os ataques de negação de serviço (denial of service - DoS) consistem em impedir o funcionamento de uma máquina ou de um serviço específico. No caso de ataques a redes, geralmente ocorre que os usuários legítimos de uma rede não consigam mais acessar seus recursos. O DoS acontece quando um atacante envia vários pacotes ou requisições de serviço de uma vez, com objetivo de sobrecarregar um servidor e, como conseqüência, impedir o fornecimento de um serviço para os demais usuários, causando prejuízos. No DoS o atacante utiliza um computador para tirar de operação um serviço ou computador(es) conectado(s) à Internet.
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma sobrecarga no processamento de um computador, de modo que o usuário não consiga utilizá-lo; gerar um grande tráfego de dados para uma rede, ocasionando a indisponibilidade dela; indisponibilizar serviços importantes de um provedor, impossibilitando o acesso de seus usuários. Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto não significa que houve uma invasão, pois o objetivo de tais ataques é indisponibilizar o uso de um ou mais computadores, e não invadi-los.
Distributed Denial of Service (DDoS): São os ataques coordenados. Em dispositivos com grande capacidade de processamento, normalmente, é necessária uma enorme quantidade de requisições para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisições, fazendo com que o ataque seja feito de forma distribuída (Distributed Denial of Service – DDoS). No DDoS – ataque de negação de serviço distribuído - , um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.
Ataques baseados em senhas: Uma estratégia básica para todo início de ataque é a quebra de senha de um usuário válido, seja por tentativa e erro, ataque do dicionário ou inclusive engenharia social.O ataque ao arquivo de senha mais conhecido é chamado de ataque de dicionário. O ataque consiste na cifragem das palavras de um dicionário, e posterior comparação com os arquivos de senhas de usuários. Desta forma quando uma palavra do dicionário cifrada coincidisse com a senha cifrada de um usuário, o atacante teria obtido uma senha. Depois de obter acesso a rede alvo, o hacker já pode ter acesso a arquivos do usuário o qual quebrou a senha, ler e-mails, manter o usuário válido sem poder acessar a rede.
Sniffing: É o processo de captura das informações da rede por meio de um software de escuta de rede (sniffer), que é capaz de interpretar as informações transmitidas no meio físico. Para isso, a pilha TCP/IP é configurada para atuar em modo promíscuo, ou seja, desta forma irá repassar todos os pacotes para as camadas de aplicação, mesmo que não sejam endereçados para a máquina. Esse é um ataque à confidencialidade dos dados, e costuma ser bastante nocivo, uma vez que boa parte dos protocolos mais utilizados em uma rede (FTP, POP3, SMTP, IMAP, Telnet) transmitem o login e a senha em aberto pela rede.
Spoofing: Spoofing é a modificação de campos de identificação de pacotes de forma que o atacante possa atuar se passando por outro host.
IP Spoofing (Falsificação de endereço IP): A falsificação de endereço IP não é exatamente um ataque, ela na verdade é utilizada juntamente com outros ataques para esconder a identidade do atacante. Consiste na manipulação direta dos campos do cabeçalho de um pacote para falsificar o número IP da máquina que dispara a conexão. Quando um host A quer se conectar ao B, a identificação é feita através do número IP que vai no cabeçalho, por isto, se o IP do cabeçalho enviado pelo host A for falso (IP de um host C), o host B, por falta de outra forma de identificação, acredita estar se comunicando com o host A. Através desta técnica, o hacker consegue atingir os seguintes objetivos: obter acesso a máquinas que confiam no IP que foi falsificado, capturar conexões já existentes e burlar os filtros de pacotes dos firewalls que bloqueiam o tráfego baseado nos endereços de origem e destino.
SYN Flood: O SYN Flood é um dos mais populares ataques de negação de serviço. O ataque consiste basicamente em se enviar um grande número de pacotes de abertura de conexão, com um endereço de origem forjado (IP Spoofing), para um determinado servidor. O servidor ao receber estes pacotes, coloca uma entrada na fila de conexões em andamento, envia um pacote de resposta e fica aguardando uma confirmação da máquina cliente. Como o endereço de origem dos pacotes é falso, esta confirmação nunca chega ao servidor. O que acontece é que em um determinado momento, a fila de conexões em andamento do servidor fica lotada, a partir daí, todos os pedidos de abertura de conexão são descartados e o serviço inutilizado. Esta inutilização persiste durante alguns segundos, pois o servidor ao descobrir que a confirmação está demorando demais, remove a conexão em andamento da lista. Entretanto se o atacante persistir em mandar pacotes seguidamente, o serviço ficará inutilizado enquanto ele assim o fizer.
Ataques de Loop: Dentro desta categoria de ataque o mais conhecido é o Land. Ele consiste em mandar para um host um pacote IP com endereço de origem e destino iguais, o que ocasiona um loop na tabela de conexões de uma máquina atacada. Para executar um ataque como este, basta que o hacker tenha um software que permita a manipulação dos campos dos pacotes IP.
Ataques via ICMP: O protocolo ICMP (Internet Control Message Protocol) é utilizado no transporte de mensagens de erro e de controle. Essencialmente é um protocolo de transferência de mensagens entre gateways e estações. Como todos os protocolos do conjunto TCP/IP, o ICMP não tem como ter garantia se a informação recebida é verdadeira, e por este motivo, um atacante pode utilizar o ICMP para interromper conexões já estabelecidas, como por exemplo enviando uma mensagem ICMP de host inacessível para uma das máquinas.
Ping of Death: Ele consiste em enviar um pacote IP com tamanho maior que o máximo permitido (65.535 bytes) para a máquina atacada. O pacote é enviado na forma de fragmentos (porque nenhuma rede permite o tráfego de pacotes deste tamanho), e quando a máquina destino tenta montar estes fragmentos, inúmeras situações podem ocorrer: a maioria trava, algumas reinicializam, outras exibem mensagens no console, etc.
Dumpster diving ou trashing: É a atividade na qual o lixo é verificado em busca de informações sobre a organização ou a rede da vítima, como nomes de contas e senhas, informações pessoais e confidenciais. Muitos dados sigilosos podem ser obtidos dessa maneira.
O termo hacker ganhou, junto à opinião pública influenciada pelos meios de comunicação, uma conotação negativa, que nem sempre corresponde à realidade!!
Os hackers, por sua definição geral, são aqueles que utilizam seus conhecimentos para invadir sistemas, não com o intuito de causar danos às vítimas, mas sim como um desafio às suas habilidades. Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. Não têm a intenção de prejudicar, mas sim de apenas demonstrar que conhecimento é poder.
Exímios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente não gostam de ser confundidos com crackers.
Os crackers são elementos que invadem sistemas para roubar informações e causar danos às vítimas. O termo crackers também é uma denominação utilizada para aqueles que decifram códigos e destroem proteções de software.
Atualmente, a imprensa mundial atribui qualquer incidente de segurança a hackers, em seu sentido genérico. A palavra cracker não é vista nas reportagens, a não ser como cracker de senhas, que é um software utilizado para descobrir senhas ou decifrar mensagens cifradas.
