SEGURANÇA DE REDES E INFORMAÇÕES01V
OL
UM
E
Curso Técnico de Nível Médio a Distância
GOVERNO DO ESTADO DE PERNAMBUCOSECRETARIA DE EDUCAÇÃO
Recife - 2010
INFORMÁTICA
GOVERNADOR Eduardo Campos
VICE-GOVERNADORJoão Soares Lyra Neto
COORDENADOR DO CURSOAlmir Pires
PROFESSOR CONTEUDISTADailson Fernandes
EQUIPE EADAdriana Higino de Oliveira Trovão | Eber Gustavo da Silva Gomes | Flávia Pereira de
Araujo | Heloísa das Dores de Santana Arruda | Jannine Moreno Amaral de Souza Padilha | Laurisson Holanda | Márcia Rosane Tenório Calado | Maria Aparecida de Souza Gomes | Maria Helena Cavalcanti da Silva | Mauro de Pinho Vieira | Mônica Cristina Alcântara de Farias Borba | Naira Maria Alves Pinto | Robson Gomes dos
Santos | Selma Leite de Vasconcelos | Zelma Helena Farias Santana Silva
REVISÃO LINGUÍSTICAÁlvaro Vinícius de Moraes Barbosa Duarte | Edigilson Ferreira de Albuquerque | Pedro
Bernnardo | Zelma Helena Farias Santana Silva
PROJETO GRÁFICO E EDITORAÇÃO DE TEXTOSAna Rios | Laís Mayara Mira Cavalcanti | Robson Cavalcanti
CATALOGAÇÃO NA FONTEFicha Catalográfica elaborada pela Equipe de Bibliotecários da Secretaria de Educação do
Estado de Pernambuco:Ana Cláudia Gouveia CRB-4/1505 | Fabiana Belo CRB-4/1463
SECRETÁRIO DE EDUCAÇÃODanilo Jorge de Barros Cabral
SECRETÁRIO EXECUTIVO DE EDUCAÇÃO PROFISSIONALNilton da Mota Silveira Filho
GERENTE GERAL DE EDUCAÇÃO PROFISSIONALPaulo Fernando de Vasconcelos Dutra
P452s Pernambuco (Estado). Secretaria de . Seguranças de Redes e Informações / Secretaria de Educação do Estado de
Pernambuco, Organizado por Dailson Fernandes. - Recife: SEE, 2010.v. 1; 92 p. : il.
Inclui bibliografia. Conteúdo: v.1. Introdução, classificação da informação e papéis no mundo
virtual; Tipos de ataques, pragas virtuais e políticas de segurança e normas ; Segurança lógica, Ferramentas de proteção v. 2. Ferramentas de proteção de perímetro; Autoridade certificadora e PKI; Políticas de segurança, segurança wireless.
1. Informática. 2. Segurança de redes, 3. Segurança da informação. I. SEE II. Fernades, Dailson. III. Título.
004.056.53 CDU (2. ed.) SEE-PE
Educação
SUMÁRIO
PROGRAMA DA DISCIPLINA
CONTEÚDO PROGRAMÁTICO
APRESENTAÇÃO DA DISCIPLINA
1 O QUE É SEGURANÇA DA INFORMAÇÃO?
1.1 Confidencialidade
1.2 Autenticação
1.3 Integridade e não-repúdio da mensagem
1.4 Disponibilidade e controle de acesso
1.5 Quais os objetivos da segurança da informação?
1.6 Por que a segurança da Informação é necessária
1.7 O Porquê da Invasão
1.8 Por que devo me preocupar com a segurança do
meu computador?
1.9 Por que alguém iria querer invadir meu
computador?
1.9.1 Quem são as pessoas que poderiam tentar invadir
o meu computador ?
1.10 White-Hats
1.11 Gray hat
1.12 Black-Hats
1.13 Defacers
1.14 Crackers
1.15 Phreakers
1.16 Lammer
1.17 Newbie
1.18 Qual o Perfil de um Hacker?
1.19 Conheça um pouco da história do Hacker mais
famoso de todos os tempos - Operação “TakeDown”
06
07
08
10
11
11
12
13
15
16
16
18
18
19
20
20
21
21
22
23
23
24
24
26
1.20 O Profissional da Segurança da Informação - O
Security Officer
1.21 Quais os prejuízos da ausência de uma política de
segurança da informação?
BIBLIOGRAFIA
2 T I P O S D E A T A Q U E S A R E D E S D E
COMPUTADORES
2.1 Vírus
2.2 Worms
2.3 Spywares
2.4 Hijackers
2.5 Vírus de Macro
2.6 Exploits
2.7 Rootkits
2.8 Backdoors
2.9 Password Crackers
2.10 Mail Bomb
2.11 Key Loggers
2.12 Mouse Loggers
2.13 Spam
2.14 Phishing
2.15 Sniffing
2.16 Probing ou Footprinting
2.17 Buffer Overflow
2.18 Denial Of Services (DOS)
2.19 Spoofing
2.20 Phreaking
2.21 Smurf
2.22 Scamming
2.23 Teclado virtual falso
2.24 DNS Poisoning
29
31
35
37
38
38
39
40
40
40
41
41
42
42
43
43
43
44
44
45
45
45
46
46
47
47
47
48
2.25 BHOs - Browser Helper Objects
2.26 Clonagem de URLs
2.27 Scanning de memória/DLL Injection
2.28 SQL Injection
2.29 Bots
2.30 HOAX
2.31 Engenharia Social
3 METODOLOGIAS E MELHORES PRÁTICAS EM
SEGURANÇA DA INFORMAÇÃO
3.1 COBIT
3.2 BS 7799
3.3 Como as empresas se tornam certificadas nas
normas BS 7799 ou isso 17799 ?
4 FERRAMENTAS DE PROTEÇÃO
4.1 Anti-Vírus
4.2 Firewall
4.2.1 Como o firewall pessoal funciona?
4.2.2 Por que devo instalar um firewall pessoal em meu
computador?
4.2.3 Como posso saber se estão tentando invadir meu
computador?
4.2.4 Conheça alguns Firewalls Pessoais
4.3 AntiSpyware
4.3.1 Como o computador fica infectado com um
Spyware?
4.3.2 Como os AntiSpywares funcionam ?
4.3.3 Livrando meu sistema de Spywares
4.4 AntiSpam
4.4.1 Conhecendo alguns AntiSpam do Mercado
4.5 AntiPhishing
4.6 AntiKeylogger
48
48
48
48
50
51
52
54
54
55
56
62
62
65
67
68
68
70
78
78
79
80
83
86
87
88
06
PROGRAMA DA DISCIPLINA
Disciplina Segurança de Redes e Informações
Prof.: Dailson Fernandes
Carga horária:60hs
Ementa
Conceito de informação e dados; valor da informação e do
dado para alguma organização ou pessoa; atributos de segurança –
confidencialidade, integridade e disponibilidade; níveis de segurança;
riscos associados à falta de segurança; benefícios; custos de
implementação dos mecanismos de segurança; tipos de mecanismos
de segurança: mecanismos de criptografia; assinatura e certificação
digital; mecanismos de controle de acesso; mecanismos de
certificação; princípios básicos de segurança, segurança física,
segurança lógica, ameaças a segurança, estatísticas, perfil dos
atacantes, problemas de segurança inerentes ao TCP/IP; ferramentas
de análise; políticas de segurança.
Objetivo Geral
O Curso objetiva desenvolver competências da área de
informática, especificamente, na atividade de desenvolvimento de
software, voltada para o trabalho em diversos setores, principalmente,
para o comércio e processos administrativos, principais atividades do
perfil econômico dos municípios no interior de Pernambuco. Como
também, formar profissionais com visão empresarial e de gestão de
negócios capazes de criarem seu próprio empreendimento.
Objetivos Específicos
1 Formar profissionais capazes de automatizar processos
administrativos através do uso de softwares adequados;
:
07
2 Formar profissionais aptos a desenvolverem programas
comerciais em linguagem de alto nível para microcomputadores
(em versão desktop ou Web);
3 Formar profissionais capazes de empreenderem negócios na
área de Informática e com visão empreendedora para desbravar
nichos de mercado locais.
CONTEÚDO PROGRAMÁTICO
Volume 1
Unidade 1
Introdução, classificação da informação e papéis no mundo virtual.
Unidade 2
Tipos de ataques, pragas virtuais e políticas de segurança e normas.
Unidade 3
Segurança lógica, Ferramentas de proteção
Volume 2
Unidade 4
Ferramentas de proteção de perímetro
Unidade 5
Autoridade certificadora e PKI
Unidade 6
Políticas de segurança, segurança wireless
08
APRESENTAÇÃO DA DISCIPLINA
Caro Aluno(a)
seja bem vindo(a) à disciplina de Segurança de Redes e
Informações. Ela objetiva apresentar a importância do bem mais
valioso da humanidade: a informação. Se o valor de uma informação é
alto, claro que temos pessoas interessadas em usurpar, mudar,
alterar, roubar e tirar proveito em cima desse bem. Então, o que fazer
para proteger informações, equipamentos e pessoas envolvidas em
um sistema computacional? A contribuição imediata dessa disciplina é
trazer a oportunidade de conhecer termos profissionais, normas,
ferramentas, programas e pessoas envolvidas na segurança da
informação. Essa, com certeza, é uma excelente chance conhecer
uma das áreas mais obscuras e menos documentadas da Tecnologia
da Informação.
O foco principal dessa disciplina é apresentar aspectos de
segurança física e lógica dos sistemas computacionais. É nosso foco
aqui conhecer os termos utilizados nessa área, os profissionais
envolvidos, as formas de ataques, as formas de prevenção, as
certificações e algumas normas.
A disciplina será apresentada em dois volumes, sendo que no
primeiro serão desenvolvidos os seguintes temas: conceitos básicos
de segurança, segurança física versus segurança lógica, profissionais
envolvidos com a segurança informacional, normas e certificações da
área, principais ataques, principais pragas do mundo virtual,
confidencialidade, disponibilidade, integridade, equipamentos
utilizados na segurança física e políticas de segurança.
Na segunda parte do curso, você conhecerá as principais
ferramentas utilizadas contra os ataques, a segurança lógica, os
protocolos seguros, os conceitos de criptografia, a autoridade
certificadora e o tráfego seguro de informações, bem como
abordaremos a segurança em redes wireless.
Bons Estudos!
09
UNIDADE 1
Introdução
Em relação a bens materiais, o que você acha que tem de mais
valioso no mundo atual? Bens móveis? Imóveis? Carros?
Empreendimentos? Ações na bolsa? Dinheiro? Claro que todos os
itens citados têm seu devido valor em um mundo capitalista, basta
você analisar como todo tipo de informação hoje é gerenciado, por
exemplo: Como seu dinheiro é guardado no banco? Será que as
cédulas que você depositou ou recebeu de salário estão lá fisicamente
em algum lugar ou será que são dados/informações que são
manipuladas por computadores e sistemas? Sem sombra de dúvida,
muitas das riquezas e poder econômico não são vistos fisicamente,
mas são informações, dados e números. Repetindo a pergunta: “O
que temos de mais valioso hoje?” Com certeza, o valor de uma
informação, dependendo do contexto, é incalculável.
Mas nós, como usuários, onde entramos nessa cadeia de
informações? Eu, como um usuário comum na internet, usando MSN,
bate-papo, orkut ou qualquer outro serviço, estou correndo algum
risco? Por que alguém teria interesse no seu computador? Você acha
que alguém invadiria sua máquina? Roubaria algum dado seu? Com
certeza, isso é possível e pode estar acontecendo agora enquanto
você está lendo este fascículo.
Figura1.jpg
fonte: http://cgi.br
10
1 O QUE É SEGURANÇA DA INFORMAÇÃO?
A informação é um ativo que, como qualquer outro, tem um
valor para a organização e, consequentemente, necessita de ser
adequadamente protegido. A segurança protege a informação de
diversos tipos de ameaças, garantindo a continuidade dos negócios,
minimizando os danos e maximizando o retorno dos investimentos e
das oportunidades.
A segurança está relacionada à necessidade de proteção
contra o acesso ou manipulação, intencional ou não, de informações
confidenciais por elementos não autorizados e à utilização não
autorizada do computador ou de seus dispositivos periféricos. A
necessidade de proteção deve ser definida em termos das possíveis
ameaças e riscos e dos objetivos de uma organização, formalizados
nos termos de uma política de segurança.
Para entendermos bem o conceito de Segurança da
Informação, precisamos conhecer os pilares dessa área da
Tecnologia. São eles: Confidencialidade, autenticação, integridade,
não-repúdio, disponibilidade e controle de acesso. Como identificados
na figura 2.
Figura 2
Fonte: http://www.solutioninf.com/info.htm
11
1.1 Confidencialidade
Somente o remetente e o destinatário pretendido devem
entender o conteúdo da mensagem transmitida. O fato de intrusos
poderem interceptar a mensagem exige, necessariamente, que esta
seja cifrada (maneira de disfarçar os dados, também conhecida como
criptografia) para impedir que uma mensagem interceptada seja
decifrada (entendida, ou ainda descriptografada) por um
interceptador. Esse aspecto de confidencialidade é, provavelmente, o
significado mais comumente percebido na expressão comunicação
segura. Note, contudo, que essa não é apenas uma definição limitada
de comunicação segura. Existem muitas outras vertentes que devem
ser consideradas. Essa apenas trata da confidencialidade da
mensagem, ou seja, a mensagem só deve ser lida pelo destinatário
especificado, nenhuma outra pessoa será capaz de ler a mensagem.
1.2 Autenticação
O remetente e o destinatário precisam confirmar a identidade
de outra parte envolvida na comunicação – confirmar que a outra parte
realmente é quem alega ser. No caso do nosso dia-a-dia é fácil fazer
isso, pois basta olharmos e reconhecermos alguém ou escutarmos
alguma voz e nós permitimos (autenticamos) que entrem na nossa
casa ou ainda use algum bem nosso. Mas como autenticar alguém via
computador? Como o computador reconhece que João é João
mesmo, e não é outra pessoa que está tentando se passar por ele?
Por exemplo, como ter certeza de que o e-mail que você acabou de
receber de seu pai ou sua mãe foi realmente escrito por eles?
Claro, você pode argumentar que o assunto abordado, as
palavras e o jeito de escrever são do seu pai ou da sua mãe, mas se
esse email foi interceptado e propositadamente alterado? Ou, ainda,
podemos citar um exemplo mais profissional, como saber que o
extrato enviado do banco para sua conta corrente não foi alterado?
12
Para ter certeza de alguma dessas operações, precisamos da
autenticação, ou seja, que o remetente seja autêntico, que confirme
ser quem ele é.
Existem diversos tipos de procedimentos para fazer a
autenticação de uma pessoa, por exemplo, toda vez que você entra no
Ambiente Virtual de Aprendizagem para ler suas aulas, passa por um
processo de autenticação, precisando informar usuário e senha.
Diante disso, o sistema reconhece que o usuário é autêntico, que pode
ler as aulas on-line e acessar dados pessoais. Mas então eu lhe
pergunto: E se alguém viu a sua senha e depois entrou com seu
usuário e senha? Como o Ambiente Virtual de Aprendizagem irá saber
que aquele não é um acesso legítimo? Bom, mais adiante no nosso
curso, iremos aprender que existem outros tipos de autenticação que
evitaria esse tipo tão comum de invasão.
1.3 Integridade e não-repúdio da mensagem
Mesmo que o remetente e o destinatário de uma mensagem
consigam se autenticar mutuamente, eles precisam saber que a
mensagem não foi alterada durante o caminho. O valor da informação
deve ser imutável durante todo o percurso. Imagine um email enviado
de Taquaritinga para Tókio no Japão, ele passará por diversos meios
de transmissão, roteadores, links, backbones e ativos de rede. Como
garantir que nesse enorme percurso não há um dispositivo malicioso
ou ainda uma pessoa mal intencionada que altere o conteúdo da
mensagem? Para nossa felicidade, existem meios de manter a
mensagem íntegra (com seu conteúdo imutável ao longo de todo o
caminho) para que ela seja recebida pelo destinatário e haja o não-
repúdio. O não-repúdio é uma técnica usada para garantir que alguém
que esteja executando uma ação em um computador não possa negar
falsamente que realizou tal ação. O não-repúdio oferece uma prova
suficientemente inegável de que o usuário ou dispositivo efetuou uma
13
determinada ação, como transferência de dinheiro, autorização de
compra ou envio de uma mensagem.
1.4 Disponibilidade e controle de acesso
A paranóia dos administradores de redes e profissionais de
segurança em proteger os dados esbarra em um dos pilares mais
importantes da Segurança da Informação: a disponibilidade. Manter
os dados seguros e disponíveis é o grande desafio, pois, se houver
exagero na segurança, posso negar aos usuários legítimos o acesso
aos dados que eles desejam manipular. Também preciso garantir que
usuários legítimos acessem seus dados. É nessa parte que entra o
controle de acesso.
O controle de acesso garante que usuários legítimos
(verdadeiros) acessem apenas os dados que eles podem acessar.
Funciona como em um circo ou em um show. Você pode comprar um
ingresso para ver na melhor área, bem perto do palco (conhecida
como Área Vip) ou comprar um ingresso mais barato e ver um pouco
(ou muito) longe do palco. Note que há um controle de acesso, ou seja,
o usuário que pagou mais caro vai ter o direito de entrar em uma área
reservada e melhor, quem pagou mais barato, terá que se contentar
em estar em uma área um pouco pior.
Resumindo...
- Confidencialidade: garante que a informação só será
acessada por pessoas autorizadas, ou seja, o destinatário sabe
exatamente que quem escreveu a mensagem foi o remetente
especificado;
- Integridade: assegura que a informação deve ser verdadeira e
imutável ao longo de qualquer processamento ou transmissão;
- Disponibilidade: garante que os usuários autorizados sempre
consigam ter acesso à informação e aos ativos correspondentes
sempre que necessário.
14
- Controle de acesso: Mecanismo que reconhece o usuário e
permite que ele acesse apenas os dados que ele tem direito;
- Não-repúdio: técnica usada para garantir que alguém que
esteja executando uma ação em um computador não possa negar
falsamente que realizou tal ação. O não-repúdio oferece uma prova
suficientemente inegável de que o usuário ou dispositivo efetuou uma
determinada ação, como transferência de dinheiro, autorização de
compra ou envio de mensagem.
Os pilares acima visam prover os sistemas de informações
contra os mais variados tipos de ameaças como, por exemplo:
- Revelação de informações: em casos de espionagem;
- Fraude: não reconhecimento da origem, modificação de
informações, ou mesmo caso de espionagem;
- Interrupção: modificação de informações;
- Usurpação: modificação de informações, negação de
serviços ou espionagem.
Para lidar com essas ameaças, torna-se necessária a
definição de políticas e mecanismos de segurança, visando dar
suporte a:
- Prevenção: evitar que invasores violem os mecanismos de
segurança;
- Detecção: detectar invasão aos mecanismos de segurança;
- Recuperação: interromper a ameaça, avaliar e reparar danos,
além de manter a operacionalidade do sistema caso ocorra invasão ao
sistema.
Algumas questões de natureza operacional surgem em decorrência
da necessidade de prover suporte à segurança de sistemas de
informações, tais como:
- É menos dispendioso prevenir ou corrigir danos?
- Qual o grau de segurança a ser imposto aos sistemas de
15
informações?
- Qual o nível de legalidade das medidas de segurança
desejadas? [Silva Filho, 2006]
Outro pilar que devemos usar para embasar a segurança da
informação é a segurança física e ambiental, de forma a garantir que
o ambiente de processamento de dados possua acesso restrito
apenas às pessoas autorizadas, ou seja, protegidos contra acidentes,
sejam eles de origem natural ou não. Essa diretriz reza que, mesmo
em caso de acidentes e seja ele de que proporção for (como incêndios,
ataque terrorista ou roubo), as informações sejam recuperadas de
forma íntegra e segura.
1.5 Quais os objetivos da segurança da informação?
Antes de pensar em qualquer tipo de segurança da
informação, devemos responder aos seguintes questionamentos:
- O que devemos proteger?
- Contra quem ou contra o que?
- Quais as ameaças prováveis?
- Qual a importância de cada recurso?
- Qual o grau de proteção desejado?
- Quanto tempo e quantos recursos humanos e financeiros
pretendemos gastar para atingirmos os objetivos de segurança
desejados?
- Quais as consequências para a organização se os sistemas e
as informações forem corrompidos ou roubados?
Com base nessas informações, é possível definir os objetivos
e a abrangência da segurança da informação que uma organização
deverá implementar.
16
1.6 Por que a segurança da Informação é necessária
O grande e imensurável valor da informação faz com que
sejam criados e mantidos artefatos para que a informação continue
disponível, íntegra e confidencial. Proteger as informações de uma
empresa é essencial para preservar a competitividade, o faturamento
a lucratividade o atendimento aos requisitos legais e a imagem da
organização perante o mercado e os clientes.
Cada vez mais, os sistemas de informação e de redes de
computadores das organizações são colocados à prova por diversos
tipos de ameaças, de uma variedade de fontes, incluindo fraudes
eletrônicas, espionagem, sabotagem, vandalismo, fogo e inundação.
Problemas causados por hackers, vírus e ataques de rede estão se
tornado cada vez mais comuns, mais ambiciosos e incrivelmente mais
sofisticados.
A dependência dos sistemas de informação e serviços significa
que as organizações estão mais vulneráveis às ameaças de
segurança. A conexão de redes públicas e privadas e o
compartilhamento de recurso aumentam as dificuldades públicas e
privadas e o compartilhamento de recursos ampliam a dificuldade de
se controlar o acesso. A tendência da computação distribuída dificulta
a implementação de um controle de acesso centralizado realmente
eficiente.
1.7 O Porquê da Invasão
Figura3.jpg
Fonte: http://djracker.blogspot.com/
17
As empresas hoje em dia investem quantias fantásticas em
segurança, mas não no Brasil. O retrato do descaso à segurança de
informações no Brasil é claramente traduzido na falta de leis. Além
disso, existe um fator agravante: quando existir o interesse em
elaborar tais leis, ocorrerá por indivíduos que não tem por objetivo
principal a segurança em si. O resultado serão leis absurdas, que irão
atrapalhar mais do que ajudar. Um exemplo disso é o que vem
ocorrendo em alguns estados nos EUA. Neles, a lei chega a ser tão
restritiva, que até testes de vulnerabilidade são considerados ilegais,
mesmo com o consentimento da empresa contratante do serviço. Isso
no aspecto empresarial.
Para se ter leis cabíveis e funcionais, deveríamos ter técnicos e
analistas aplicando as leis e não deputados e senadores sem
conhecimento técnico da área. Como forma de minimizar estes
efeitos, os homens do poder legislativo deveriam ser bem
assessorados por profissionais da área.
No caso do usuário final, este fica entregue à sorte. Ele deverá
se preocupar com a proteção do seu computador e, muitas vezes, de
forma desordenada e utilizando programas e procedimentos
geralmente indicados por pessoas que apenas acham, mas não
sabem de fato o que está fazendo. E geralmente um programinha
instalado, ou duas ou três ferramentas, deixam a sensação de
proteção quando na verdade “a casa está aberta” e o ladrão pode
chegar a qualquer hora.
De qualquer forma, existem diversas ferramentas e
procedimentos que podem ser usados para aumentar o nível de
segurança de quem acessa a Internet por um link, seja ele discado,
velox, via satélite ou os modems 3G. É justamente nesse nicho de
mercado onde estão as principais vítimas, que inclusive, não são
notícia no dia seguinte a uma invasão.
Como estamos discutindo segurança, podemos começar a
18
falar da segurança pessoal, ou melhor, a segurança do meu
computador. Porque alguém tentaria invadir o meu computador? Ou
ainda, por que devo me preocupar com isso? [Cholewa 2001]
1.8 Por que devo me preocupar com a segurança do meu
computador?
Computadores domésticos são utilizados para realizar
inúmeras tarefas, tais como: transações financeiras, sejam elas
bancárias ou mesmo compra de produtos e serviços ou utilizadas para
comunicação através de emails, armazenamento de dados pessoais
ou comerciais.
É importante que você se preocupe com a segurança de seu
computador, pois provavelmente não gostaria que:
- Suas senhas e números de cartões de créditos fossem
furtados e utilizados por terceiros;
- Sua conta de acesso à Internet fosse utilizada por alguém não
autorizado;
- Seus dados pessoais ou, até mesmo, comerciais, fossem
alterados, destruídos ou visualizados por terceiros;
- Seu computador deixasse de funcionar, por ter sido
comprometido e arquivos essenciais do sistema terem sido apagados;
- Sua senha de email fosse roubada e trocada e a pessoa lhe
cobrasse um valor exorbitante para devolver sua conta intacta.
1.9 Por que alguém iria querer invadir meu computador?
A resposta para esta pergunta não é simples. Os motivos pelos
quais alguém tentaria invadir seu computador são inúmeros. Alguns
deles podem ser:
- Utilizar seu computador em alguma atividade ilícita, para
esconder a real identidade e localização do invasor;
- Manipular seu computador para lançar ataques contra outros
19
computadores;
- Usar seu disco rígido como repositório de dados;
- Destruir informações (vandalismo);
- Disseminar mensagens alarmantes e falsas;
- Ler e enviar emails em seu nome;
- Propagar vírus de computador;
- Furtar números de cartões de crédito e senhas bancárias
“Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com
inteiro teor em http://cartilha.cert.br”
Vale ressaltar que as ameaças acima podem ser de diversas
naturezas e, nesse sentido, as ameaças são, geralmente,
classificadas como intrusiva, não intrusiva, maliciosa, não maliciosa.
Intrusiva: A pessoa (atacante) conseguiu entrar no seu computador
ou rede;
Não-Intrusiva: A pessoa (atacante) não conseguiu entrar no seu
computador ou rede, porém consegue prejudicar seu acesso a rede ou
consegue tirar proveito de algum recurso seu;
Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou
computador, tem intenção de prejudicá-lo;
Não Maliciosa: A pessoa (atacante) que conseguir invadir sua rede ou
computador, não tem intenção de prejudicá-lo;
1.9.1 Quem são as pessoas que poderiam tentar invadir o meu
computador ?
Figura_4.png
Fonte: http://www.lariaeditutti.org/
20
Quando se fala do ladrão virtual ou aquele que quer invadir um
sistema computacional, se fala no termo “Hacker” e isso se
generalizou, porém vamos conhecer os termos das pessoas que
tentam se aventurar no ramo da segurança. Aqui vamos falar do perfil
do “invasor” e vamos ver também que o dito “invasor” nem sempre é
um ladrão ou uma pessoa que quer fazer o mal. Na verdade, existem
muitas pessoas que invadem ou procuram brechas no sistema para
avisar aos donos que existem problemas e que eles cuidem de
consertar antes que seja tarde.
1.10 White-Hats
Os white-hats são os hackers que exploram problemas de
segurança para divulgá-los abertamente, de forma que toda a
comunidade tenha acesso a informações sobre como se proteger.
Desejam abolir a “segurança por obscuridade”, que nada mais é do
que tentar proteger ou manter a segurança pelo segredo de
informações sobre o funcionamento de uma rede, versão do sistema
operacional ou tipos e marcas dos programas em geral. Seu lema é o
“full disclosure”, ou conhecimento aberto, acessível a todos. Alguns
adotam também a filosofia de “moderated disclosure”, ou
conhecimento moderado, liberando informações sobre como funciona
um bug (falha de um programa) ou vulnerabilidade, mas sem liberar,
na maioria das vezes, o que chamamos de “exploit”, ou código que
permite explorar a vulnerabilidade de um programa ou sistema. Os
White-hat são do bem e procuram ajudar!
1.11 Gray hat
O Gray hat tem as habilidades e intenções de um hacker de
chapéu branco (White-hat) na maioria dos casos, mas, por vezes,
utiliza seu conhecimento para propósitos menos nobres. Um hacker
de chapéu cinza (Gray-hat) pode ser descrito como um hacker de
21
chapéu branco que, às vezes, veste um chapéu preto para cumprir sua
própria agenda. Hackers de chapéu cinza tipicamente se enquadram
em outro tipo de ética, que diz ser aceitável penetrar em sistemas
desde que o hacker não cometa roubo, vandalismo ou infrinja a
confidencialidade. Alguns argumentam, no entanto, que o ato de
penetrar em um sistema por si só já é antiético.
1.12 Black-Hats
Ao contrário dos white-hats, apesar de movidos também pela
curiosidade, usam suas descobertas e habilidades em favor próprio,
em esquemas de extorsão, chantagem de algum tipo, ou qualquer
esquema que venha a trazer algum benefício ilícito. Esses são
extremamente perigosos e difíceis de identificar, pois nunca tentarão
chamar a atenção. Agem da forma mais furtiva possível.
1.13 Defacers
Os defacers, na grande maioria das vezes, são organizados
em grupos. São, geralmente, muito jovens e, algumas vezes, já atuam
com apenas 12 anos. Usam seus conhecimentos para invadir
servidores que possuam páginas web e tem por objetivo modificar
essas páginas.
Figura_5.jpg
Fonte: www.wired.com
Descrição: Símbolo do Black-Hat
22
Obviamente, mudar a página principal de um site famoso dá
certa quantidade de “exposição”, tornando o “hacker”, ou o grupo,
conhecido na comunidade. Muitos analistas sugerem que a grande
motivação desses grupos é justamente se tornarem conhecidos na
comunidade e, de certa forma, “provarem” que são capazes. Muitas
vezes, ocorrem disputas entre grupos de defacers, para descobrirem
quem consegue desfigurar o maior número de sites no menor tempo.
Apesar da maioria esmagadora dos defacers negar, eles são, por
amostragem, “pichadores” digitais.
Geralmente, não criam ou descobrem novas vulnerabilidades.
Apenas usam o que já foi descoberto recentemente, se aproveitando
do atraso entre a publicação de uma falha e a publicação/aplicação de
correções.
Existem inúmeros grupos de defacers Brasileiros e muitos
deles são considerados os “mais eficazes e rápidos” do mundo.
Frequentemente, utilizam o IRC (Internet Relay Chat – ou bate-papo
online).
Estatísticas de sites especializados demonstram que o Brasil,
hoje, resguardando as devidas proporções, é um dos Países do
mundo que mais sofre com defacements. Isso está diretamente
relacionado com a “qualidade” e o nível técnico dos “hackers” em
nosso País.
1.14 Crackers
As denominações para os crackers são muitas. Alguns
classificam de crackers, aqueles que têm por objetivo invadir sistemas
em rede ou computadores apenas pelo desafio. Contudo,
historicamente, o nome “cracker” tem uma relação com a modificação
de código, para obter funcionalidades que não existem, ou, de certa
forma, limitadas. Um exemplo clássico são os diversos grupos
existentes na Internet, que tem por finalidade criar “patches” ou
23
mesmo “cracks” que modificam programas comerciais (limitados por
mecanismos de tempo, por exemplo, como shareware), permitindo
seu uso irrestrito, sem limitação alguma.
No caso de invasão a sistemas, o cracker e os black-hats têm a
mesma função.
1.15 Phreakers
Apesar de muitos considerarem um cientista russo chamado
Nicola Tesla (realizador de experiências elétricas assustadoras até os
dias de hoje) como o primeiro hacker da história, os primeiros hackers
da era digital lidavam com telefonia. Sua especialidade era interferir
com o curso normal de funcionamento das centrais telefônicas, mudar
rotas, números, realizar chamadas sem tarifação, bem como proceder
a chamadas sem serem detectados. Com a informatização das
centrais telefônicas, ficou inclusive mais fácil e acessível o
comprometimento de tais informações.
Kevin Mitnick, considerado o maior hacker de todos os tempos,
era um ótimo phreaker. Na fase final de sua captura, quando os
agentes de governo ajudados pelo Sr. Tsutomu Shimomura,
especialista de segurança do SDSC (San Diego Supercomputing
Center), estavam chegando a um nome, ele conseguia enganar as
investigações através do controle que tinha da rede de telefonia da
GTE (uma das concessionárias telefônicas nos EUA).
1.16 Lammer
O termo “lammer” indica uma pessoa que crê ser um hacker
(decifrador) e demonstra grande arrogância, no entanto sabe pouco
ou muito pouco sobre o assunto e é geralmente malicioso. O lammer
utiliza ferramentas criadas por crackers para demonstrar sua suposta
capacidade ou poder, na intenção de competir por reputação, no
entanto são extremamente inconvenientes para convívio social,
24
mesmo com outros hackers. Algumas pessoas acreditam que essa é
uma fase natural do aprendizado, principalmente quando o
conhecimento vem antes da maturidade.
1.17 Newbie
Newbie, noob ou a sigla NB vem do inglês "novato". Indica uma
pessoa aprendiz na área, ainda sem muita habilidade, porém que
possui uma sede de conhecimento notável. Ele pergunta muito, mas é
frequentemente ignorado ou ridicularizado por outros novatos que
sabem mais do que ele (ao contrario dos lammers que são
ridicularizados por todos). Hackers experientes normalmente não
ridicularizam os novatos, por respeito ao desejo de aprender – no
entanto, podem ignorá-los por falta de tempo ou paciência.
1.18 Qual o Perfil de um Hacker?
O perfil típico do hacker é: jovem entre 15 e 25 anos, com
amplo conhecimento de programação (geralmente em linguagens
como C, C++, Java e Assembler), e noções de redes e Internet. O mais
Os lammers ou script-kiddies são aqueles que acham que
sabem, dizem para todos que sabem, se anunciam, ou divulgam
abertamente suas “façanhas”, e usam em 99% dos casos scripts ou
exploits conhecidos, já divulgados, denominadas “receitas de bolo”,
facilmente encontradas em sites como http://www.milw0rm.com,
http://www.packetstormsecurity.org ou http://securiteam.com. Estes
possuem relação direta com a maioria dos usuários da Internet
Brasileira. São facilmente encontrados em fóruns de discussão sobre
o tema, e principalmente no IRC. A maioria não possui escrúpulo
algum, portanto, tomar medidas de cautela é aconselhável. Os
lammers geralmente atacam sem uma razão ou objetivo, apenas para
testar ou treinar suas descobertas, fazendo dos usuários da Internet
seus potenciais alvos. [Cholewa 2001]
25
interessante é que, no Brasil, a grande maioria dos “hackers” começa
cedo (algumas vezes com menos de 12 anos) em conhecimentos de
programação nas linguagens citadas acima. Muitos deles se
esquecem da importância do funcionamento da Internet e de redes em
si, o que, de certa forma, é algo bom. A atuação e força de tais
“hackers” seriam bem mais poderosas caso aliassem o conhecimento
em redes e Internet ao conhecimento em linguagens de programação.
As afirmações acima nos levam a uma conclusão: a grande
maioria dos hackers entre 12 e 25 anos não desenvolve
vulnerabilidades, apenas copiam vulnerabilidades publicadas em
sites especializados e fazem uso destas em massa, antes que
qualquer tentativa de correção seja humanamente possível ou viável.
Notadamente, devemos deixar claro que muitos “hackers”
trabalham verdadeiramente empenhados em descobrir falhas e ajudar
os usuários de tecnologia a se protegerem. O termo “hacker” tem sido
muito usado ultimamente, mas com uma conotação não muito
acertada. Muitas vezes, o termo tem sido associado a reportagens e
publicações que distorcem o seu verdadeiro sentido.
De qualquer forma, a maioria das empresas desenvolvedoras
de software (principalmente sistemas operacionais ou software com
aplicações específicas em redes ou segurança), publica correções no
período de 24 a 48 horas (ou menos que isso) após a divulgação de
uma vulnerabilidade na Internet. Isso só ocorre hoje por causa da
pressão natural do mercado em exigir uma resposta, diante da
publicação de uma falha. Devemos, então, agradecer, diretamente,
aos especialistas em segurança e aos verdadeiros “hackers” por
permitir que tal processo funcione.
26
1.19 Conheça um pouco da história do Hacker mais famoso de
todos os tempos - Operação “TakeDown”
Para entender melhor o que pensa um típico black-hat, um
phreaker, e um white-hat, analisemos o caso de Kevin Mitnick e
Tsutomu Shimomura.
Kevin Mitnick a um bom tempo (meados dos anos 80) já havia
sido investigado pela polícia, por atividades ilícitas ligadas à
segurança de computadores, sempre relacionadas à sua atuação
como hacker. Por volta de 1992, Tsutomu Shimomura e outro hacker
conhecido chamado Mark Lotto desmontaram o código do sistema
operacional de um celular da OKI, através de engenharia reversa.
Tsutomu trabalhava como consultor para a Motorola. Ninguém sabe
ao certo o que fez Kevin tentar invadir as máquinas de Tsutomu,
contudo, a comunidade tem uma certeza: não foi um ataque simples,
foi algo planejado. Tudo indica que o objetivo de Kevin era conseguir
obter os códigos-fonte dos celulares que Tsutomu possuía, para
posteriormente vendê-los.
Figura: Mitnick.jpg
Descrição: Kevin Mitnick
Fonte:destruídos.com
27
Tudo começou quando ele conseguiu controlar as centrais
telefônicas da GTE. Kevin discava de um celular e raramente de casa,
de uma cidade chamada Raleigh, na Carolina do Norte, USA. Assim,
invadiu as máquinas de um provedor chamado The Well, que usava
para ter acesso à Internet. Ele usou como ponto de partida os
servidores do “The Well” para o ataque. Também comprometeu
estações e servidores no provedor “Toad.com”. Perceba que, tanto o
“The Well” como o “Toad.com” são considerados os pilares da
comunidade da Internet que conhecemos hoje.
Enquanto isso, aproveitou seu acesso “invisível” através do
“The Well”, para invadir outro provedor, chamado NetCom, de onde
roubou milhares de números de cartões de crédito. Após o roubo dos
números, invadiu uma máquina em Toad.com. De lá, iniciou o ataque à
rede de Tsutomu Shimomura. Através de um antigo exploit do finger, e
usando um pouco de port scanning, ele conseguiu descobrir que uma
máquina de Tsutomu, chamada Ariel, tinha uma relação de confiança
com outra máquina na rede de Tsutomu. Ele tirou essa máquina do ar
através de um ataque do tipo DoS (Denial of Service), e utilizou uma
técnica chamada IP Spoofing, para a máquina Ariel “pensar” que
estava sendo acessada pela máquina na qual confiava. Daí pra frente
ficou fácil.
Observe que Kevin usou de uma série de artifícios para não ser
detectado, desde a sua ligação telefônica até seu acesso aos
computadores de Tsutomu, e que sua motivação também era
financeira. Inclusive, muitos dos métodos usados por ele são
amplamente divulgados hoje em dia.
Tsutomu conseguiu chegar a Kevin devido a um rastro deixado
em Ariel. Descobriu então, que as conexões tinham partido de
Toad.com. Assim, iniciou uma caçada, que vários meses depois,
chegou em Raleigh, e culminou com a captura do Kevin (com ajuda do
FBI) em fevereiro de 1995, através do sinal de seu celular, que usava
28
para se conectar.
O mais interessante de tudo é que Kevin não era especialista
em UNIX (sistema usado por Tsutomu, pelo Toad.com e pela Well). Ele
era, na verdade, especialista em VMS / VAX, um sistema da Digital e
parecia ter profundos conhecimentos sobre os sistemas da Digital.
Tudo indica que Kevin seguiu várias dicas de alguém em Israel, que,
até hoje, ninguém conseguiu identificar. Kevin forneceu várias
informações sobre como invadir sistemas VMS / VAX e recebeu as
dicas de como usar o IP spoofing, que, na época, era uma técnica
recente, nunca testada, apenas discutida academicamente.
Existe um site na Internet que possui um log demonstrando a
sessão de telnet que Kevin usou; algumas chamadas que ele teria
realizado para o Mark Lotto, demonstrando seu interesse pelo código
fonte dos celulares, e algumas gravações da secretária telefônica do
Tsutomu, que, supostamente, teriam sido feitas pelo Kevin. O site
pode ser acessado em: http://www.takedown.com
Existem também dois livros que contam essa história. Um com
a visão de Kevin, escrito pelo Jonattan Littman, e outro com a visão de
Tsutomu, escrito por John Markoff em conjunto com ele. Esse último
possui uma edição nacional, pela Companhia das Letras. Chama-se
“Contra-Ataque”. O livro escrito pelo Littman chama-se “The Fugitive
Game: online with Kevin Mitnick”. Ambos podem ser encontrados
online em livrarias como Amazon.com por menos de 20 dólares cada.
Kevin Mitnick foi solto em 21 de janeiro de 2000. [Cholewa 2001]
Hoje Kevin Mitnick tem uma empresa em consultoria de segurança e
escreveu dois livros: “A Arte de Enganar“ e “A Arte de Invadir”.
Recomendamos fortemente a leitura desses dois livros e o filme
“Operação Takedown 2”, que conta essa incrível história.
29
1.20 O Profissional da Segurança da Informação – O Security
Officer
Sabemos, até então, quem está do “outro lado da linha”, ou
seja, aquele que vem à nossa rede ou máquina e procura brechas,
sejam para satisfação pessoal, curiosidade, estudo ou roubo. Mas
quem deve cuidar para que isso seja evitado? Qual o profissional que
deve cuidar da integridade, disponibilidade e confidencialidade das
informações de uma organização? Quem deve manter a segurança de
uma organização? Quem deve propor procedimentos e prover
ferramentas para manter os “hackers” longe? Esse profissional se
chama Security Officer.
Detalhando, de acordo com as melhores práticas existentes no
mercado, as funções de um Security Officer são:
- Organização da área de segurança e da infra-estrutura
organizacional para o tratamento da segurança da empresa;
- Planejamento dos investimentos para a segurança da
informação;
- Definição dos índices e indicadores para análise do retorno do
investimento;
- Orientação e coordenação da equipe de segurança ou da
Figura: Security.jpg
Fonte: http://dominioti.files.wordpress.com
30
consultoria terceirizada;
- Def in ição, e laboração, d ivulgação, t re inamento,
implementação e administração das seguintes atividades:
- O plano estratégico de segurança;
- A política de segurança;
- Análise de risco;
- Plano de auditoria de segurança;
- Relatórios de diagnóstico do nível de segurança;
- Conformidade e atendimento à legislação vigente;
- Investigações sobre incidentes de segurança.
É de suma importância que o Security Officer conheça o
negócio da organização, seu plano de negócios, modelos de gestão e
tecnologias disponíveis para manter a segurança da informação.
A área da segurança da informação deve existir independente
da corporação, ligado diretamente à diretoria ou presidência. Não
deverá estar ligado nem à área de informática nem à de auditoria. Sua
função é a de manter e garantir que a política de segurança esteja
sendo realmente seguida pela organização.
Hoje, por questão de custos e também falta de visão de muitas
organizações, a função de security officer é acumulada com a função
de sysadmin. O sysadmin, também conhecido como administrador de
redes é o profissional voltado a manter todos os serviços, servidores
de rede e computadores de uma organização funcionando de forma
estável e confiável. Porém, o sysadmin além de se preocupar com a
infra-estrutura da empresa, também tem que estar atento à segurança
da organização também. Na maioria das vezes, o profissional não faz
os dois serviços da forma que deveria fazer. Deixando uma das áreas
debilitadas, pois estas demandam muitos procedimentos e
ferramentas, sendo, pois, quase impossível sua manutenção por um
único profissional.
31
1.21 Quais os prejuízos da ausência de uma política de segurança
da informação?
Estima-se, através de levantamentos feitos por entidades
idôneas da área, que, a cada incidente de segurança, se gasta em
torno de R$ 200.000,00 (duzentos mil reais) e 68 dias de trabalho
perdido, isso quando está se falando de grandes organizações. Um
excelente exemplo nos dias atuais (Julho/2009) é uma grande
operadora de telefonia que atua no estado de São Paulo e que está
sendo vítima de diversos tipos de ataques de negação de serviço
(conhecidos como DDoS ou DOS) que indisponibiliza os serviços de
internet para seus clientes. O prejuízo é enorme, pois são milhares de
clientes que ficam sem conexão com a internet em suas casas e
empresas, clientes corporativos que mantém outros tipos de serviços
com a operadora e o Ministério Público que já puniu a empresa
algumas vezes com multa e determinando que ela não possa oferecer
o serviço para novos clientes enquanto não resolver o problema.
SAIBA MAIS
http://migre.me/4GoK
http://migre.me/4Gps
http://migre.me/4Gpv
http://migre.me/4GpD
http://migre.me/4GpO
Você consegue imaginar o tamanho do prejuízo? Tanto
financeiro quanto para a imagem da referida empresa?
Abordaremos a seguir alguns tópicos de empresas que não
tem a política de segurança da informação como um de seus pilares:
- Imagem e credibilidade afetadas;
32
- Aumento de despesas com prejuízos por paralisação do
negócio e vazamento de informações;
- Perda por fraudes e erros;
- Novas aplicações e negócios viabilizados sem segurança;
- Inexistência de segurança adequada para a continuidade dos
negócios;
- Ausência de controle das informações custodiadas;
- Possibilidade de tarefas serem executadas sem padronização
e formalização, tais como concessão de acesso a um novo funcionário
sem o conhecimento do responsável que, efetivamente, deveria
realizá-lo;
- Informações ou programas podem ser acessados de forma
indiscriminada sem autorização e controle de acesso;
- Falta de monitoramento das atividades da rede, fazendo com
que mesmo que ocorra uma invasão, ela jamais tenha sido descoberta
ou catalogada;
- Divulgação de dados confidenciais da empresa ou clientes que
trariam prejuízos incalculáveis.
33
RESUMO
A Segurança da Informação é um conjunto de procedimentos que envolve
pessoas, ferramentas, procedimentos e equipamentos.
Política de Segurança é um conjunto de regras que mantém a segurança
em instituições e em ambiente corporativo
Os pilares da Segurança da Informação são: Confidencialidade,
autenticação, integridade, não-repúdio, disponibilidade e controle de
acesso
Confidencialidade: garantia que a informação só será acessada por
pessoas autorizadas, ou seja, o destinatário da mensagem sabe
exatamente que quem escreveu a mensagem foi o remetente
especificado;
Integridade: assegura que a informação deve ser verdadeira e imutável
ao logo de qualquer processamento ou transmissão;
Disponibilidade: garantia que os usuários autorizados sempre consigam
ter acesso à informação e aos ativos correspondentes sempre que
necessário.
Controle de Acesso: Mecanismo que reconhece o usuário e permite que
ele acesse apenas os dados que ele tem direito;
Não-Repúdio: é uma técnica usada para garantir que alguém que esteja
executando uma ação em um computador não possa negar falsamente
que realizou tal ação. O não-repúdio oferece uma prova suficientemente
inegável de que o usuário ou dispositivo efetuou uma determinada ação,
como transferência de dinheiro, autorização de compra ou envio de uma
mensagem.
A Segurança Física e Ambiental deve andar lado a lado com a Segurança
da Informação.
A Segurança da Informação protege não apenas os dados de uma
corporação como seus ativos e funcinários.
34
Os motivos de uma invasão são diversos, mas podemos destacar o roubo
de informações e o aproveitamento ilícito de equipamentos.
As invasões são classificadas em: Intrusiva, Não-Intrusiva, Maliciosa e
Não Maliciosa.
Invasão Intrusiva: A pessoa (atacante) conseguiu entrar no seu
computador ou rede;
Invasão Não-Intrusiva: A pessoa (atacante) não conseguiu entrar no seu
computador ou rede, porém consegue prejudicar seu acesso a rede ou
consegue tirar proveito de algum recurso seu;
Invasão Maliciosa: A pessoa (atacante) que conseguir invadir sua rede
ou computador, tem intenção de prejudicá-lo;
Invasão Não Maliciosa: A pessoa (atacante) que conseguir invadir sua
rede ou computador, não tem intenção de prejudicá-lo;
As pessoas que invadem sistemas de computação são conhecidos como
Hackers e Crackers.
O que diferencia um Hacker de um Cracker é que o Hacker tem objetivos
de estudos, aprendizado e ajuda, enquanto o Cracker vem para roubar e
destruir.
A Operação Takedown foi uma das maiores perseguições a um Hacker no
mundo, onde o Hacker Tsutomu Shimomura foi contratado pelo governo
americano para capturar de Kevin Mitnick.
O Profissional que trabalha com a Segurança da Informação é conhecido
como Security Officer.
O Profissional que trabalha com Administração de Redes de
Computadores é conhecido como Sysadmin.
35
BIBLIOGRAFIA
CARTILHA DE SEGURANÇA PARA INTERNET. Desenvolvida pelo
C E R T. b r , m a n t i d o p e l o N I C . b r . D i s p o n í v e l e m :
<http://cartilha.cert.br/>. Acesso em: 12 Jul. 2009.
CHOLEWA, Rômulo Moacyr. Agosto 2001. Disponível em:
<http://www.rmc.eti.br>. Acesso em: 9 Jul. 2009
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio
de Janeiro: Ciência Moderna, 2003
KUROSE, James F. Redes de Computadores e a Internet. 3. ed. São
Paulo:Pearson, 2006
SILVA F ILHO, An ton io Mendes da . D ispon íve l em:
<http://www.espacoacademico.com.br/042/42amsf.htm>. Acesso em:
11 Jul. 2009.