Segurança Digital

02

LICENÇA VOCÊ PODE: Copiar, distribuir e exibir a obra.

COM AS SEGUINTES SEGUINTES CONDIÇÕ CONDIÇÕES: ES: Dar crédito ao autor original e a Comunidade Segurança Digital, citando o nome do autor (quando disponível) e endereço da comunidade.

Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem autorização prévia do responsável Fábio Jânio Lima Fe rreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impressa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permit per mitid ida a uma ve vers rsão ão imp impres ressa sa pa para ra cu cunh nho o co comer merci cial al so sobr bre e aut autor oriz izaç ação ão pr prév évia ia do tititul tular ar da comunidade. A comercialização da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 - Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra ob ra in inte tele lect ctua ual, l, no to todo do ou em pa part rte, e, se sem m a au auto tori riza zaçã ção o ex expr pres essa sa do au auto torr ou de qu quem em o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represente. Cada autor é respons responsável ável por seu artigo, desta forma a comunida comunidade de Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador. Novembro 2011 • segurancadigital.info

EDITORIAL

Enigmas, Tamancos e Segurança Enigmas, da Informação Talvez iniciar algo realmente inovador e de qualidade não seja assim tão difícil. Com um pouco de inteligência, perseverança e muita atitude é possível acertar uma ou quem sabe mais vezes. O que é realmente difícil é ser consta constante. nte. E aqui estamos com a terceira edição da revista Segurança Digital, embalados pelo sucesso de publicações anteriores, mas também com a obrigação de fazer melhor, pois afinal o que é o ápice senão o início da decadência? Nossa matéria de capa aborda um dos mais antigos conceitos de segurança da informação que se conhece. Desde Júlio César, que usav us ava a o At Atba bash sh pa para ra se co comu muni nica carr co com m se seus us co coma mand ndan ante tes, s, passando pela Segunda Guerra Mundial quando o Enigma protegia comunicações alemãs, a criptografia certamente mudou a face do mund mu ndo o em qu que e viv ivem emos os e ev evol olui uiu u to torn rnan ando do--se um uma a pa part rte e indispensável do nosso cotidiano corporativo ou mesmo pessoal. Claro, o Kama Sutra também recomendava o uso de criptografia como co mo uma for forma ma se segur gura a de co comun munic icaç ação ão ent entre re ama amante ntes, s, mas preferimos prefer imos evitar essa abordage abordagem m pelo menos nessa edição. Outro fato his Outro histór tórico ico inte interes ressan sante te são tama tamancos ncos.. Seu nome original Sabot, em francês, refere-se a um sapato de madeira comumente usado pela classe operária durante a revolução industrial. Conta a história que, cansados de trabalhar em condições sub-humanas, operários se juntaram e jogaram seus tamancos (sabots) na linha de produ pr oduçã ção o co cons nseg eguin uindo do des destr truir uir o maq maquin uinár ário io industrial. Essa é uma origem atribuída ao termo Sabotagem. Bem, talvez hoje eles não calcem tamancos, mas no artigo “Quando o vilão está dentro de

Novembro 2011 • segurancadigital.info

EDITORIAL

casa”” ab casa abo ordamos o risco de um sabotador bem posicionado. As histórias contadas acima transparecem um fato óbvio muitas vezes esquecido: Segurança da Informação é algo atempor atem poral al e exis existe te inde independ pendente entement mente e da tec tecnol nologia ogia.. O único componente eternamente presente é o ser humano e esse é o nosso foco. Para ga Para gara rant ntir ir a pr prot oteç eção ão da in info form rmaç ação ão é ne nece cess ssár ário io entend ent ender er o se serr hu human mano o co com m to todos dos os se seus us co compl mplex exos os,, motivadores obscuros, qualidades e defeitos, pelo menos até a chegada dos cylons.

EDITOR-CHEFE Fábio Jânio Jânio Lima Fe Ferreira rreira [email protected] Johnantan Pereira [email protected]

EDITOR Claudio Dodt [email protected]

EDITO EDI TOR R DE ART ARTE E Hélio José Santiago Fe Ferreira rreira [email protected]

COLUNISTAS

Com o fechamento de nossa terceira edição esperamos dar nossa contribuição para que você, nosso caro leitor, possa dar passos cada vez mais largos para um mundo mais protegid protegido. o.

Luiz Felipe Ferreira Ferreira [email protected] Nágila Magalhães [email protected] Alessandra B. G. Hoffmann [email protected] Nilson R. S. Vieira [email protected] Itamar Pena Nieradka [email protected]

REVISÃO Raiana Pereira [email protected]

Na Internet

Animis opibusque parati! Por Claudio Dodt.

http://twitter.com/_SegDigital www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info


05 Johnantan Pereira

Fábio Jânio Lima Ferreira

Analista de Segurança, Graduado em Redes de Computadores pela Faculdade Estácio do Ceará, Ceará, com Extensão em Perícia Forense Fo rense Computacional. Computacional. Apaixo Apaixonado nado por Tecnologia, Admirador e Pesquisador da Cultura Hacker, Hacker, Usuário e Ativista Linux.

Analista de suporte técnico e administrador de redes, também possui conhecimentos na área da segurança computaciona comput acional.l. Apaix Apaixonado onado por tecnologia e fascinado pela cultura hacker.

Nágila Magalhães

Hélio José Santiago Ferreira

Graduada em Tecnologia em Redes de Computadores pela FCA FCAT T (Faculdade de Castanhal), Casta nhal), estudante matriculada do curso de pós- graduação em Computação Fo Forense rense pela Esamaz. Certificada em administrador de redes de computadores e assistente em montagem, manutenção e instalação de redes de computadores.

Engenheiro por formação. Atualmente desenvolve atividades de consultoria em Software Livre, ministra cursos e palestras. Como designer colabora nas revistas Espírito Livre e Segurança Digital. É membro da The Document Foundation Fou ndation e atua como coordenador da revista LibreOffice Magazine Brasil.

Nilson R. S. Vieira Analista de Segurança pela SEFAZ-MA, SEFAZ-MA, trabalha com tecnologia desde os 14 anos, viciado em Linux e aplicações OpenSource.

Alessandra B. G. Hoffmann

Itamar Pena Nieradka

Mestre em Ciência da

Professor do curso de Ciência

Computação pela UFSC, UFSC,

da Computação do CESUFOZ. CESUFOZ.

Coordenadora Coo rdenadora e Professora do

Analista de Sistemas Júnior da

curso de Ciência da

NeoAutus NeoAu tus Autom Automation ation System System..

Computação na CESUFOZ. CESUFOZ.

Especialista em Redes de

Professora do curso de Ciência

Computadores e Sistemas

da Computação na UTFPRUTFPR-

Distribuídos pela UFSC. UFSC.

Medianeira. Media neira. Especialista em

Especialista Informática Informática

Engenharia de Software pela

Aplicada UNIVEL e Especialista

UNIOESTE e Especialista em

Sistemas Web, baseados em

Sistemas Web, baseados em

Objetos pela UTFPR UTFPR (em (em

Objetos pela UTFPR UTFPR (em (em

andamento).

Lígia Barroso

Cláudio Dodt

Mestrada em Direito da Propriedade Intelectual na Universidade de Lisboa. Especialista em Direito Eletrônico e Sociedade da Informação UNIGRAN), com linha de pesquisa em Propriedade Intelectual, Segurança da informação e Crimes Eletrônicos.

Consultor Sênior em Segurança da Informação e gerente de projetos com foco em TI, atua na área de tecnologia há mais de 10 anos exercendo atividades como Técnico Técnic o e Analis Analista ta de Suporte, Analista de Segurança Sr. Security Officer e Supervisor de Infra-Estrutura e Segurança.

Luiz Felipe Ferreira Graduado em Processamento de Dados pela UniverCidade e com MBA de Gestão de Projetos e Negócios de TI pela UERJ. Possui certificações ITIL, VCP, LPI-Level 1 e MCP. No mercado da TI há 9 anos, vem trabalhando com Segurança da Informação desde 2006. Atual Atualmente mente trabalha trabalha no setor de IT Security de uma grande empresa brasileira de Comunicação.

andamento). Novembro 2011 • segurancadigital.info

06

Novembro Nove mbro 2011 ARTIGOS

PARCEIROS

07 CRIPTOGRAFIA Uma forma cômoda e segura de armazenar, transferir e proteger informações de todo tipo

09 SEGURANÇ SEGURANÇA A COM SOFTWARE SOFTWARE OPENSOURCE Mantenha seus dados protegidos sem custo algum. O mundo OpenSource está repleto de soluções livre

11 O USO DA ESTE ESTEGANO GANOGRAF GRAFIA IA COMO PRÁTICA PRÁTICA ANTI-FORENSE A arte de escond esconder er alguma coisa (camuflar), (camuflar),  um dos benefcios explorados pela esteganografia

15 IMPLEMENT IMPLEMENTAÇÃO AÇÃO DE DRIVERS DRIVERS EM AMBIENTE WINDOWS Este artigo apresenta o conceito do desenvolvimento de drivers para ambiente Windows

21 QUESTÕES DE CISSP Atualmente a CISSP  uma das certificações mais procuradas por profissionais

45 KRYPTUS Desenvolvemos soluções lderes em segurança

46 4LINUX Linux sinônimo de liberdade

47 HOSTDIME Google Chrome deve passar Firefox at o final do ano

DICA DE SEGURANÇA 34 KEEPASS Uma ótima opção para armaz armazenar enar em um único lugar todas as senhas que você utiliza no dia-a-dia. Gratuito e de código aberto essa  a proposta do Keepa Keepass ss

25 SEGU SEGURANÇ RANÇA A DA INFOR INFORMAÇÃ MAÇÃO O Com certeza você já ouviu falar, falar, mas talvez não saiba ao certo o que significa

30 BANNER HACK'N RIO Uma iniciativa iniciativa da comun comunidade idade de software livre do Rio de Janeiro, um evento sem fins lucrativos

28

31 MOBILIDADE O novo desafio da Segurança da Informação: Você está preparado?

37 QUANDO O VILÃO ESTÁ DENTRO DE CASA 40% dos colaboradores de TI admitem poder causar danos severos na infraestrutura

39 ISO-8859 ISO-8859-1 -1 - REDE REDES S SOCIAIS SOCIAIS E OS LIMITES LIMITES À LIBERDADE DE EXPRESSÃO A internet configura importante instrumento de acesso à informação e à cultura, mas tambm vem sendo utilizada como ferramenta de propagação de agressões e cometimento de crimes.

42

COLUNA COLUN A DO LEIT LEITOR OR Emails, sugestões e comentários. Envie o seu, e contribua para com o nosso projeto.

LIVRO EM DESTAQUE Uma leitura obrigátoria Desvendando a Computação Forense

43

NOTÍCIAS Fique informado informado quanto ao que acontece no mundo virtual.


Segurança rança Digital 07 ARTIGO Segu

SEGURANÇA NUNCA É DEMAIS CRIPTOGRAFIA CRIPTOGRAFI A É A CI CIÊN ÊNCI CIA A E AR ARTE TE DE ESCR ESCREV EVER ER MENS MENSAG AGEN ENS S EM FORMA FORMA CIFRADA OU EM CÓDIGO. É PARTE DE UM CAMPO DE ESTUDOS QUE TRAT TRATA DAS COMUNICAÇÕES SECRETAS.

Criptografia (Do Grego, Kryptós “escondido/oculto escondido/oculto”” e gráphein “escrita escrita””), a criptografia é a arte de pegar um co cont nteúd eúdo o qua qualq lquer uer (f (foto oto,, tex texto, to, ví vídeo deo,, etc etc)) e torn to rnáá-lo lo ilileg egív ível el,, de ta tall fo form rma a qu que e ap apen enas as seu desstina de nattár ário io ten enh ha cond ndiições de reverter à codificação codifica ção e ler o conteúdo em questão.

tem como parâmetro uma chave criptográfica, esta chav ch ave e é se secr creta eta,, co conh nhec ecida ida ape apenas nas pe pela lass par parte tess envo en volv lvid idas as,, po pois is,, é es esta ta qu que e pe perrmi mite te to torn rnar ar a “mensagem mensagem”” legível novamente.

A criptografia consiste basicamente da cifragem dos dadoss (bit dado (bits) s) e/ou cod codific ificaçã ação o des destes tes,, torn tornando ando-os -os ililegí egíve vell ca caso so o des destitinat natár ário io nã não o pos possu sua a a ch chav ave e secreta (chave responsável por reverter o processo criptográfico).

A Cod Codifi ifica caçã ção o tem a mes mesma ma fu funç nção ão da ci cifr frage agem, m, tornar algo ilegível, porém o processo aqui utilizado é um pouco diferente. Na cifragem a “mensagem mensagem”” é emba em bara rallha hada da po pode dend ndo o se serr rev evel elad ada a so some ment nte e perante a chave criptográfica, já na codificação não existe este embaralhamento da “mensagem mensagem””, mas sim sub substi stituiç tuição ão de “let letras ras,, gru grupos pos de let letras ras,, bits bits,, etc””. Tanto a cifragem como a codificação podem ou etc não possuir uma chave criptográfica, acrescentando assim uma camada extra de seguran segurança. ça.

Cifragem e Codificação

OBS: Na linguagem popular cifragem e codificação

Criptologia é o campo que engloba a Criptografia e a Criptoanálise.

A cifragem é o processo pelo qual algoritmos são são as mesmas coisas, já na linguagem técnica são utililiza uti zados dos pa para ra “embaralhar embaralhar”” uma “mensagem mensagem”” completamente diferentes. A cifragem “embaralha embaralha””, tornando a mesma ilegível. Em geral este processo e a codificação codificação “substitui substitui””. Novembro Nove mbro 2011 • segurancadigital.info

08 ARTIGO Segurança Digital

Chave Criptográfica É um valor secreto que tem como função modificar um algoritmo de encriptação. Você terá duas chaves, uma um a pa para ra cr crip ipto togr graf afar ar a “mensagem mensagem”” conhecida como com o chav chave e públ pública ica e outr outra a par para a des descri criptog ptograf rafar ar,, conhecida como chave privada. Outro ponto a ser levado é que, o algoritmo de encriptação utilizado pode ser do conhecimento de todos, mas a chave criptográfica tem de ser secreta.

A criptografia tem tem três pilares principais: principais: • Confidencialidade: só o destinatário autorizado autorizado dev eve e ser capa pazz de extrair o cont nte eúd údo o da mensagem. • Integridade: o destinatário deverá ser capaz de determinar se a mensagem foi alterada durante a transferência. • Autenticação: o destinatário deverá ser capaz de identificar o remetente e certificar-se de que foi este que enviou a mensagem.

sigilo sigi loso so co cont nten endo do in info form rmaç açõe õess se sens nsív ívei eiss (u (um m proj pr ojet eto, o, do doccum umen ento toss an anex exad ados os,, um re rela lató tórrio compr prom ome ete ted dor or,, etc.) es estte ee-ma mailil pode ser interceptado com certa “facilidade facilidade””, desta forma o interceptador poderia se utilizar destas informações par ara a fin inss malicio iossos. Se este e-mai aill estiv iver er crip cr ipto togr graf afad ado o vo você cê te terá rá as assi sim m ad adic icio iona nado do um uma a camada extra de segurança ao conteúd conteúdo o do e-mail. Lembre Lemb re-s -se, e, na nada da é 10 100% 0% se segu guro ro,, ma mass se vo você cê entregar tudo de bandeja com certeza o “meliante meliante”” irá se beneficiar disso, se você dificultar para o lado deste, poderá fazer com que ele desista de tentar. É pos osssível adi diccion ona ar di divversas cama mad das de segurança a qualquer tipo de arquivo, para poder proteg ege er seu cont nte eúd údo o. Em ed ediç içõe õess futur uras as falaremos de outras técnicas. Para criptografar um arquivo ou conteúdo qualquer são sã o ut utililiz izad ados os al algo gori ritm tmos os,, is isso so si sign gnif ific ica a qu que e no momento de criptografar um arquivo você poderia mudarr o alg muda algorit oritmo mo util utiliza izando, ndo, res result ultando ando em uma criptografia criptog rafia mais forte ou não.

Gosto Gost o de con onsi side derrar o po pont nto o ab abai aixxo, um pi pillar complementar: • Não rep Não o de deve verá rá se serr po poss ssív ível el ao repúdi údio o: Nã emissor negar a autoria da mensagem mensagem..

Sugestão de leitura

Nem todo todoss os alg algori oritmos tmos cri criptog ptográf ráficos icos util utiliza izados dos garantem garante m estes quatro pontos, mas deveria deveriam. m.

http://tecnologiadarede.webnode.com.br/news/notic ia-aos-visitantes/

Porque utilizar uma criptografia

http://www.infowester.com/criptografia.php

Tod odos os nós te temos mos a nec neces essi sidad dade e de pro prote teger ger ou esco es cond nder er al algo go do doss ol olha hare ress cu curi rios osos os do mu mund ndo, o, cert ce rto? o? En Entã tão o ne nest ste e mo mome ment nto o en entr tra a em ce cena na a criptografia. Quando você precisar enviar um e-mail



SEGURANÇA A CUSTO ZERO O MUNDO OPEN SOURCE ESTÁ CHEIO DE SOLUÇÕES LIVRES PARA LIDAR COM A SEGURANÇA DA IN FORMAÇÃO, E COM ISSO MANTER SEUS DADOS PROTEGID PROT EGIDOS OS SEM CUS CUST TO ALGU ALGUM. M. VENHA FAZER PART PARTE E DES DEST TE MUND MUNDO. O. POR: Nilson R. S. Vieira Twitter: @nillvieira Blog: www.nilsonvieira.blogspot.com E-mail: nilsonvieira@ [email protected] zoho.com

Estamo Esta moss na er era a da in info form rmaç ação ão,, on onde de os da dado doss trafegam traf egam de mane maneira ira bas bastant tante e inte intensa nsa,, nas red redes es soci so ciais ais,, nos ee-mai mails ls,, sit sites es de pes pesqui quisa sa e out outro ros. s. Tud udo o is issso em de desskt ktop opss, no note tebo book okss, ta tabl blet etss e celulares, ou seja ja;; só fica in inccomu mun nic icá ável e desinformado desinfor mado quem quer!

O Sis Sistema tema Operaciona Operacionall mais indicado indicado par para a quem quer qu er fi fica carr se segu guro ro é o LI LINU NUX, X, qu que e po poss ssui ui có códi digo go abert abe rto o e mil milhõe hõess de des desen envo volv lvedo edores res no mu mundo ndo tod odo o trabal alha ham m para cor orrrig igir ir as falhas que possivelmente ocorrerão com o sistema e segurança. Porém, apenas o S.O não é o suficiente para pa ra pr prot oteç eção ão,, é ne necces essá sári rio o ad adic icio iona narr vá vári rias as Porém com tantos meios de comunicação e com o ferramentas para complementar a segurança. tráfego a todo vapor, surge uma incógnita: Será que esta es tam mos seg egu uros? Ou mi minh nha as in inffor orma maçções Pa Para ra qu quem em tr trab abal alha ha com se serv rvid idor ores es,, ex exis iste tem m particulares estão nas mãos de quem não deveria? algumas brechas que precisam ser fechadas, caso E como resolvo isso? contrário o “rato entra em sua casa” casa”, e para isso usaus a-se se al algu guma mass fe ferr rram amen enta tass co como mo Fi Firewall, rewall, Reccen Re ente teme ment nte, e, al algu guns ns fa famo moso soss ti tive vera ram m se seus us IDS/IPS, Proxy, e outras. celulares invadidos e as fotos ficaram expostas na web, como isso aconteceu? Sabe-se que existem HARDENING é o processo de “endurecimento endurecimento”” do programa prog ramass de segu seguran rança, ça, mas ele eless cus custam tam muit muito o sistema, onde você habilita seu firewall caro, certo? Errado! Existem programas selecionando o que deve passar ou não por ele, OpenSou Open Source rce1 1 que alé além m de ser serem em grat gratuito uitoss aind ainda a muda a porta de aplicações do padrão, como SSH poss po ssue uem m có códi digo go ab aber erto to pa parra qu que e po poss ssam am se serr (Secur (Secure e Shell), aumentar o tamanho do seu histórico melhorados. e outras coisas. Lembrando que Hardening não é Novembro 2011 • segurancadigital.info

10 ARTIGO Segurança Digital uma aplicação, mas sim o nome do processo que é poré porém m só ut utililiz izee-a a qu quan ando do ne nece cess ssár ário io,, ou se seja ja,, utilizado. quando qua ndo for co compi mpila larr um uma a re regr gra, a, ve verr al algum gum fil filtr tro, o, alguma tabela, etc... Para detectar e finalizar intrusos na sua rede, você deverá usar programas de IDS/IPS, dentre os quais, Fala Falando ndo em firewall lembramo-nos de filtro, então o mais conhecido é OpenSource seu nome é snort. que tal falarmos também de filtros de conteúdo? O O Snort é – co como mo o pr próp ópri rio o no nome me di dizz – um Squid é uma aplicação que é usada como Proxy, ou “farejador”, e busca por tentativas de intrusão, ele seja, para evitar que na rede sejam acessados por detecta e mata o processo que está o tempo todo usuários sites indevidos, como sites pornôs, jogos, tentando invadir ou somente dando uma entr entreten etenimen imento to que não sej seja a nec necess essári ário o ou tenh tenha a origem duvidosa. Ele libera para o usuário somente “passadinha” para invadir depois. aqui aq uilo lo qu que e de deve ve se serr vi vist sto o pa para ra is isso so pr prec ecis isa a se serr O firewall do Linux nativo é o IPTABLES, é perfeito, configur configurado, ado, nada mais. send se ndo o be bem m co conf nfig igur urad ado o nã não o pa pass ssa a na nada da,, e se seu u computad comp utador or ou ser servido vidorr, cer certame tamente, nte, est estará ará bem Concluindo, temos diversas ferramentas segur se guro. o. Além Além do Ip Iptab table les, s, que é tot total almen mente te Sh Shel elll OpenSource que podem e devem ser utilizadas para (lin (l inha ha de co coma mand ndo) o),, ta tamb mbém ém po poss ssui ui a in inte terf rfac ace e se segur guranç ança, a, po pois is se seu u có códig digo o fon fonte te nã não o é fec fechad hado, o, gráfica muito boa para quem não gosta de linha de lo logo go,, po pode demo moss al alte tera rarr de ac acor ordo do co com m a no noss ssa a comando, coma ndo, bast basta a inst instala alarr o pac pacote ote FWBUIL FWBUILDER, DER, o necessidade e sem depender de uma empresa que mesmo serve também para quem não quer criar um vende o produto para isso. As mesmas ferramentas scri sc ript pt mui muito to ex exten tenso so co com m tod todas as as re regr gras as pa para ra o tam também bém pos possu suem em co comun munida idades des ind indiv ividu iduai aiss qu que e servidor, ele mesmo se encarrega disso com um a au auxi xililiam am de desd sde e a con onfi figu gura raçã ção o in inic icia iall at até é no noss interf int erfac ace e be bem m agr agrad adáv ável el.. Ma Mass le lembr mbree-se se qu que e se problemas mais complexos que podem vir a surgir e trat tr atan ando do de um ser ervi vido dorr, de deve ve-s -se e op opta tarr pe pelo lo sem precisar pagar suporte para isso. desempen dese mpenho, ho, log logo o ins instal tale e a con configu figuraç ração ão grá gráfic fica, a,

¹ Desenvolvido pela OSI(OPEN SOURCE INITIATIVE), refere-se a software como código aberto. (Wikipedia) Novembro Nove mbro 2011 • segurancadigital.info


A ARTE DE DE ESCONDER A ESTEGANOGRAFIA ESTEGANOGRAFIA É A ARTE DE ESCONDER UMA "MENSAGEM" DENTRO DE UMA IMAGEM, VÍDEO OU QUALQUER OUTRO TIPO DE ARQUIVO, FAZENDO COM QUE ESTÁ "MENSAGEM" PASSE DESPERCEBIDA AOS OLHOS DE TERCEIROS. POR: Nágila Magalhães Cardoso E-mail: nagilamagalhaes [email protected] @gmail.com Twitter: @netnagila

grad adat ativ ivam amen ente te o in inte tere ressse de cr crim imin inos osos os no Resumo - Com o aumento da popularidade e as gr facililida faci dade dess no us uso o da in inte tern rnet et e co com m av avan anço ço da computação tem se tornado cada vez mais propício para par a ent entra rada da de cr crimi iminos nosos os no am ambie biente nte vi virt rtua ual,l, gera ge rand ndo o co com m is isso so o cr cres esci cime ment nto o a ca cada da di dia a de crimes digitais. Por outro lado além de cometerem crim cr imes es,, ex exis iste te a pr preo eocu cupa paçção em nã não o de deix ixar ar evidências para comprovação da autoria. Atualmente os criminosos digitais buscam técnicas e ferramentas ferramen tas para dificul dificultar tar e escond esconder er na descob descoberta erta de po poss ssív ívei eiss pr prov ovas as no tr trab abal alho ho do pe peri rito to.. Sã São o conhecidos como métodos anti-forense, neste artigo será abordado a técnica de esteganografia. esteganografia.

ambiente virtual com os mesmos tipos de práticas conh co nhec ecid idas as co como mo cri rime mess di digi gita tais is.. Ap Apes esar ar¹¹ da utilização de computadores não ser uma prática tão recente no mundo do crime, a legislação brasileira, por exemplo, ainda não está preparada para tipificar toda to dass as mo moda dallid idad ades es es espe peci cifi fica cass de cr crim imes es cibernéticos.

Devido o aumento de delitos cometidos no espaço virtual, surgiu a área conhecida como computação foren for ense se que tem co como mo ob objet jetivo ivo pr princ incipa ipall for formar mar peritos para determinar a dinâmica, a materialidade de ilícitos ligados à área de informática tendo como quest que stão ão pr princ incip ipal al a ide ident ntifi ifica caçã ção, o, pr pres eser erva vaçã ção, o, 1. Introdução extr ex traç ação ão,, re rest stau aurraç ação ão e o pr proc oces esssam amen ento to de É co comum mum ouv ouvir ir e ev evid idenc enciar iar relatos relatos e per perig igos os de evid evidênci ências as digi digitais tais em pro provas vas mat materia eriais is de cri crime, me, crimes praticados no mundo real, mas com o avanço por meio de métodos técnico-científicos, conferindoe o ganho cada vez mais crescente na lhe validade probatória em juízo². popularização e o próprio anonimato que traz no uso de com omp put uta ado dorres e in intter erne nett tem es esttim imul ula ado Entretanto criminosos digitais procuram formas de Novembro Nove mbro 2011 • segurancadigital.info

12 ARTIGO Segurança Digital inibir o trabalho do perito ou até mesmo destruir por completo comple to as possíveis provas. São conheci conhecidos dos como métodos anti-forenses e uns dos métodos bastante efica ef icaze zess par para a oc ocul ultaç tação ão de in infor forma maçõ ções es es está tá na técnica de esteganografia abordada mais a seguinte seguinte..

disponív dispon íveis eis na próp própria ria int inter ernet net des desde de a si simpl mples es coma co mand ndos os no CM CMD D no si sist stem ema a op oper erac acio iona nall do computador.

Infelilizm Infe zmen ente te es esta ta té técn cnic ica a nã não o ve vem m se send ndo o be bem m utilizada para razões legais e sim ilegais tais como par ara a roubo de da dad dos os,, esconde derrijo de vírus, 1.1. Anti-Fore Anti-Forense nse comunicação secreta e enviá-las, por exemplo, para Quando o assunto é deixar mínimas ou nenhuma fora do Brasil através de simples e-mail, esconder pistas possíveis do ato criminoso, a criatividade e a arquivos pornográficos, pedofilia e entre outros. busca de inovações são grandes e o nome dado para esses tipos de práticas utilizadas na área da Um pedófilo pode muito bem esconder a foto da computação computa ção forense é chamada de anti-for anti-forense. ense. víti ví tima ma em um uma a im imag agem em in inof ofen enssiv iva a co como mo,, po porr São³ métodos de remoção, ocultação e subversão exemplo, a própria imagem do plano de fundo do de evidências com o objetivo de mitigar os si sist stema ema ope opera raci ciona onall ent entre re out outra rass op opçõ ções es co como mo resultados de uma análise forense computacional. esconderijo, pois com um programa de este es tega gano nogr graf afia ia é po poss ssív ível el es esco colh lher er en entr tre e ma mais is variadas formas de recipiente para esconder algum 1.2. Esteganografia tipo de conteúdo, entre esses recipientes podemos Esta Es ta té técn cnic ica a de seg egur uran ançça da in info form rmaç ação ão de ci cita tarr um uma a im imag agem em,, um ví víde deo, o, um uma a mú músi sica ca,, um uma a sign si gnif ific icad ado o de or orig igem em gr greg ega, a, st steg egán ános os (o (ocu cult lto, o, página da internet e outros esconde esc onderr, mas mascar carar) ar) e grá gráphei phein n (es (escri crita) ta) que tem Esconder a existência de alguma como objetivo principal ocultar a informaç informação, ão, ou seja, esco es cond nder er um uma a ev evid idên ênci cia a em lu luga garres qu que e nã não o "coisa" pode ser a forma mais eficaz levantariam suspeitas, vem de origem muito antiga em utilizações nas comunicações de guerras, como de manter essa "coisa" segura. Tem era o caso de escreverem mensagens de guerras na cabeça de escravos fies e então esperar o cabelo um velho ditado que diz, "o que os crescer para que a mensagem fosse encoberta e olhos não veem o coração não com co m is isso so tr tran ansp spor orta tarr-la la ao de dest stin ino o de ma mane neir ira a segura seg ura e entr entre e dive diversa rsass outr outras as téc técnica nicass util utiliza izadas das sente". para comunicação em segredo. Mas com o avanço da tecnologia e principalmente o uso de computadores possibilitou que está técnica ganh ga nhas asse se ma maio iorr de dest staq aque ue,, tr tran ansf sfor orma maçõ ções es e conhecimento da sua utilização para práticas ilegais. A est estegan eganogr ografia afia con consis siste te bas basicam icamente ente em ocul ocultar tar uma informação dentro de outra, uns dos métodos principais princip ais para esse proces processo so de oculta ocultação ção é usar os bits meno menoss sig signifi nificat cativo ivoss do obje objeto to por portado tadorr com como o imag im agem em,, ví víde deo, o, mú músi sica ca en entr tre e ou outr tros os it iten enss qu que e geral ger almen mente te não le leva vant ntar ariam iam su susp speit eitas as aos ol olhos hos humanos, para substituir com os bits da informação a ser escondida. Uns dos meios mais utilizados para ocultar uma in infforma maçção den enttro da out utrra é a utililiz iza ação de prog ogrramas de es estteg ega ano nog grafi fia a Novembro 2011 • segurancadigital.info

13 ARTIGO Segurança Digital Veja o exemplo abaixo:

´

Novembro Nove mbro 2011 • segurancadigital.info

14 ARTIGO Segurança Digital A utilização utilização dessa técnica técnica já foi alvo como meio de comunicações secretas pelo grupo terrorista Al-Qaeda4 no atentado contra as Torres Gêmeas do World Trade Center em 2001 e pelo traficante de drogas Juan Carlos Abadia5 pelo qual este usava imagens da “gatinha Hello Kitty” Kitty” para esconder mensagens de voz com co m or orde dens ns pa para ra se co comu muni nica carr at atra ravé véss de ee-ma maililss co com m pa parc rcei eiro ross da Co Colô lômb mbia ia co com m o ob obje jeti tivo vo de movimentar moviment ar a cocaín cocaína a entre os países e sumir com pessoas na Colômbi Colômbia. a.

2. Conclusão Atualmente o que mais ouve falar é de ataques e práticas ilegais cometidos com o uso e ajuda de recursos tecn te cnol ológi ógico cos, s, os pr prof ofiss ission ionais ais em co compu mputaç tação ão for forens ense e e out outra rass áre áreas as liliga gadas das es estão tão se sendo ndo ba bast stant ante e requisitado, requisi tado, pelo quais estes precisam ter bastant bastante e conhec conhecimento imento sobre as mais variadas técnicas utilizadas por criminosos digitais e saber os métodos anti-for anti-forenses enses é fundament fundamental al durante uma investigação. investigação.

Referências

1. ROS ROSA, A, F. Crimes C rimes de Informática. São Paulo: Bookseller, 2007. 2. ELEUTÉRIO, Pedro. M.S; MACHADO, Márcio. P. Desvendando a computação forense. São Paulo: Novatec, 2010. 3. PER PEREIR EIRA, A, Gus Gustav tavo o C.P C.Peri ericia cia Fo Fore rens nse e Com Comput putac acion ional al,, mai maio, o, 20 2007. 07. Dis Dispo ponív nível el em em:: < http://lucaszc.homelinux.org/fic-pos/forense/pericia_forense.pdf> http://lucaszc.homelinux.org/fic-pos/forense/pericia_forense.pdf >. Ace cess sso o em em:: 02 de ag agos osto to,, 2011. 4. MESQUITA, Renata. Al Qaeda admite terrorismo em fotos pornô. Portal Online da Revista Info, In fo, ma maio, io, 20 2003. 03. Di Disp sponí oníve vell em: . 4.shl >. Acess Acesso o em: 03 de maio, 2011. 2011. 5. ZMOGINSKI, Felipe. Abadía usou e-mail e-mail cifrado para traficar. Portal Online da Revista Info, março, 2008. Disponível em: < http://info.abril.com.br/aberto/infonews/032008/10032008-3.shl http://info.abril.com.br/aberto/infonews/032008/10032008-3.shl>. >. Acesso Acess o em: 17 de maio, 2011. 2011.



O DRIVER FAZ ACONTECER ESTE ARTIGO APRESENTA UM CONCEITO SOBRE DRIVERS WINDOWS, OS DIFER FERENT ENTES ES TIPO IPOS S DE DR DRIV IVERS ERS E TECN ECNOLO OLOGIA GIAS S UT UTILI ILIZAD ZADAS AS PARA PA RA DE DESE SENV NVOL OLV VER E TES EST TAR PA PARA RA PL PLAT ATAF AFOR ORMA MA WI WIND NDOW OWS. S. POR: Itamar Pena Nieradka E: Alessandra B Garbelotti Garbelotti Hoffmann E-mail: [email protected] [email protected] om E-mail: alefoz2003@hotma [email protected] il.com

paper presents a concept of drivers a todos os interessados que buscam entender os Abstract. This paper for Wi for Wind ndow owss , th the e di diff ffer eren entt ty type pess of dr driv iver erss an and d tech te chno nollog ogie iess us used ed to de devvel elop op an and d te test st fo forr th the e Windows platform. Driver is a software that allows your yo ur co compu mpute terr to co commu mmunic nicat ate e pr prop operl erlyy wit with h the hardware or with other I/O devices such as video card, printer, webcam and more.

conceit conc eitos os fu funda ndamen mentai taiss par para a imp imple lemen mentaç tação ão de drivers para Windows. Será abordado a criação de um driver, sua instalação em uma máquina virtual de testes e como realiz realizar ar a sua depuração.

Há uma co confu nfusã são o co comum mum pa para ra pes pesso soas as qu que e nã não o possuem bom conhecimento em informática que é a difere erenç nça a ent entre re dr driv ive e e dr driv iver er,, e tam também bém pou pouco coss Resumo . Este artigo apresenta um conceito sobre dif drive dri vers rs Wi Windo ndows ws,, os dif difer erent entes es titipos pos de driv driver erss e possuem o conhecimento de outro tipo de driver que tecnologias tecnolo gias utilizadas para desenvo desenvolver lver e testar para não o de controlar o hardware. plat pl ataf afor orma ma Wi Wind ndow ows. s. Dr Driv iver er é um so soft ftwa ware re qu que e permite que o computador se comunique Porém um driv iver er pode tan antto comun uniicar com corr co rret etam amen ente te co com m o ha hard rdwa ware re ou com ou outr tros os hardware bem com o software. O antivírus é um disspos di osit itiivos I/ I/O O, tai aiss como placa de vídeo eo,, exemplo de driver de software que é implementado impressora, webcam entre outros. com o File System System Filte Filters. rs. Quando alguma aplicação escr es crev eve e em um ar arqu quiv ivo, o, a es escr crit ita a pa pass ssa a pe pello antivírus antes de chegar ao driver de File System, System, 1. Introdução Vários são os dispositivos utilizados no mercado, e dando a oportunidade que o antivírus precisa para cada vez mais outr outros os est estão ão sen sendo do des desenvo envolvi lvidos dos,, ve verif rific icar ar se o qu que e es está tá se sendo ndo gravado gravado co cont ntém ém a cada um com seu propósito. Este artigo é destinado assinatura de algum vírus conhecido. Desta forma, Novembro Nove mbro 2011 • segurancadigital.info

16 ARTIGO Segurança Digital firewalls e filtros de File System firewalls System são exemplos de que crie uma máquina virtual simulando assim o uso driverss que não control driver controlam am hardwar hardware. e. de um outro computador.

2. O que são Drivers? Drive Driv e es esta ta re rela laci ciona onado do a um dis dispos positi itivo vo I/ I/O O , por exemplo um drive de CD/DVD ou um disco rígido , o driver é o software que controla o drive para que o Sist Si stema ema op oper erac acion ional al po poss ssa a int inter erag agir ir co com m es estes tes dispositivos. (Russinuvich e Solomon, 2009).

Com VM Com VMW War are e é po poss ssív ível el cr cria iarr vá vári rias as má máqu quin inas as virt vi rtuai uais, s, ca cada da qua quall co com m um si sist stem ema a op oper erac acion ional al dife di fere rent nte e e no nome mear ar ca cada da má máqu quin ina a vi virt rtua uall é um uma a form fo rma a de po pode derr id iden enti tifi ficá cá-l -las as.. (Fe Ferna rnando, ndo, 201 2011) 1) Tant anto o usa usando ndo dois com computa putadore doress com como o usa usando ndo a máquina virtual é necessário definir quem são as máqu má quin inas as ho host st e ta targ rget et . Um Uma a má máqu quin ina a ho host st ou hospedeira, serve como o anfitrião para a máquina virtual, e a target é a máquina alvo onde o driver será se rá tes testa tado. do. Pa Para ra de depur purar ar um dr driv iver er (d (debu ebug g do kernel) é aconselhável que o mesmo não seja no mesmo sistema pois podem ocorrer problemas.

Os dr driivers que con onttrolam di disspos osit itiivos, são desenvolvidos normalmente pelos fabricantes, sendo espe es pecí cífi fico coss pa para ra ca cada da mo mode delo lo.. Ma Mass há ta tamb mbém ém driverss que são criados para servirem como filtro driver filtross de rotinas de leitura e escrita em um disco rígido, como por exemplo os drivers de anti vírus que verificam todas to das as so solilici cita taçõ ções es de es escr crita ita e le leitu itura ra em um 4.1. Máquina host disco rígido procurando por assinaturas de vírus. A configuração da máquina host consiste em criar uma por orta ta serial virtual pa parra estab abe elecer a 3. Tecnologias envolvidas comunicação. Ao configurar a VM (Virtual machine) As tecnologias envolvidas neste estudo foram: será se rá nec neces essá sário rio ad adici iciona onarr a por porta ta se seri rial al do titipo po output named pipe. O Pipe nomeado será o arquivo • VMWare – Má Máqu quin ina a Vir irtu tual al pa para ra te test stes es,, qu que e que permitirá a comunicação entre a máquina host e máqui quina na ta targ rget. et. A es espe pecif cific icaç ação ão de um so sock cket et atualmente está em sua versão 7.1.4 build-385536 a má serv se rve e co como mo um el elo o bid bidire ireci ciona onall de co comun munic icaç ação ão (agosto/2011); entre dois programas. • Windows XP Profes Professional sional – Sistema operacional operacional a A máquina virtual simula a existência de uma outra ser instalado na VM; máquina real e para tanto é necessário este meio de comunicação mesmo que virtual. A opção “this end • Windbg1 - debugger para Microsoft Windows is a client” client” deve ser alterada para “This end is a server””, e a próxima opção para “the other end is an • Vis isua ualD lDDK DK2 2 - pa para ra co comp mpililar ar um dr driv iver er pa para ra server application””. O “this end” application end” indica a “esta ponta” ponta” ou a windows; um dos lados da comunicação neste caso a host que qu e de devve se serr o se serv rvid idor or,, e o ou outr tro o lad ado o é um uma a aplilica ap caçã ção, o, ou se seja ja,, a VM VM.. A op opçã ção o “con connect nect on 4. Configurando a máquina virtual O desenvolvimento de Driver nem sempre é uma power power”” de devve es esta tarr ma marrca cada da pa para ra qu que e qu quan ando do tarefa fácil e para os iniciantes ou mesmo curiosos in inic icia iado do o sis iste tema ma op oper erac acio iona nal, l, a po port rta a se seja ja que possuem experiência em desenvolver conectada. aplicações alto nível, pode ser um ambiente pouco familiar pois qualquer descuido por mais simples que seja pode resultar em BSOD (Blue Screen of Death) A configuração final deve ficar como mostra a ou tela azul, prevendo isso duas formas existentes figura 1. são adotadas. A primeira é o uso de um computador extr ex tra a co cone nect ctado ado na po port rta a se seri rial al,, ma mass co como mo ne nem m sempr pre e há di dissponi nibi billid idad ade e de usar um ou outtro computador, uma alternativa é utilizar um software Novembro 2011 • segurancadigital.info


M V a d o ã ç a r u g i f n o c a d l a n i f a l e n a J . 1 e r u g i F

Para pe Para permi rmitir tir que o si sist stema ema ope opera raci ciona onall uti utililize ze a porta serial em modo polled marque a opção “Yield CPC on poll” poll”. Isto permitirá a porta serial fazer várias verificações por segundo para saber se os dados já chegaram, e o modo de interrupção ativa apenas quando há uma chamada, por exemplo a digitação no teclado ou impressão de dados na tela. Este será o modo Polled, caso não esteja marcada ela usará o modo Interrupção.

execut exec utad ado o em mo modo do de debu bugg gger er us usan ando do a po port rta a COM1 já configurada e a informação sobre a taxa de transferência de 115200. Ao reiniciar o Windows, deverão aparecer duas opções de Boot. A implementação será na opção debugger.

5. Configurando o Debugger WinDbg O de debu bugg gger er é um so soft ftwa ware re qu que e fa fazz de debu bug, g, qu que e significa encontrar e reduzir defeitos num aplicativo de software ou mesmo em hardware.

4.2. Máquina target Para permitir a depuração de um driver o Windows deve ser inicializado com opção de depuração. Para isto is to se serr po poss ssív ível el o ar arqu quiv ivo o bo boot ot.i .ini ni ,g ,ger eral alme ment nte e oculto, deve ser modificado adicionado ao final do arquivo a linha:

Conforme Straus Conforme Strausss (201 (2011), 1), a configur configuração ação do Windbg consiste em informar o meio de comunicação criado e a taxa de transferência de informação.

O meio de comunicação usado será a porta serial virt vi rtua uall cr cria iada da na má máqu quin ina a vir irtu tual al e a ta taxa xa de tran tr ansf sfer erênc ência ia de deve ve se serr a mes mesma ma co conf nfigu igura rada da no multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro arquivo boot.ini da máquina virtual. Desta forma será soft Windows XP Debugger" possível acompanhar a execução do driver sempre /fastdetect /debugport=COM1 /baudrate=115200 que ele for inicializado, a configuração deverá ser esta linha informa ao sistema operacional que seja como apresenta a Figu Figura ra 2. Novembro Nove mbro 2011 • segurancadigital.info


Figure Figu re 2. Janela de configuração configuração do Windbg Para usuários de Windows Vista ou superior há necessidade de executar o windbg pela seguinte linha de comando: start C:\WinDDK\7600.16385.1\Debuggers\windbg.exe -b -k com:pipe,port=\\.\pipe\com_1,resets=0 Esta linha de comando deverá ser digitada em uma janela do MS-DOS. O comando consiste em “start start”” para iniciar, caminho do windbg, parâmetros -b e -k, com informando o pipe e port com o nome da porta serial criada. A conexão entre o Windbg e a máquina virtual somente será possível se a máquina virtual estiver ligada, se o Windows estiver em modo debug,e , se o nome da porta estiver correta.Uma dica é criar um arquivo bat para inicializar o WinDbg de uma forma mais produtiv produtiva. a.

6. Testando primeiro Driver Partindo do conceit Partindo conceito o que um driver é um software de baixo nível, é possível começar a entender drivers. O exemplo apresentado na figura 3 cria um driver que será usado para estudo.

Figura Figu ra 3 -Código fonte do driver criado. Novembro Nove mbro 2011 • segurancadigital.info

29 ARTIGO Segurança Digital 19 No mesmo diretório do fonte, crie um arquivo de nome “makefile makefile”” (sem extensão), o código para este documento document o deve ser: !INCLUDE $(NTMAKEENV)\makefile.def Este arqu Este arquivo ivo simp simples lesment mente e impl implemen ementa ta o ver verdade dadeiro iro “makefile makefile”” que é utilizado para compilar diversos componentes do DDK (Drivers Developement Kit). O arquivo de makefile nunca deve ser editado. Todas as configurações sobre qual o tipo de driver será compilado, quais os fontes irão compor o driver, quais bibliotecas serão utilizadas e outras tantas definições são especificadas no arquivo de nome “sources sources”” que deverá ser criado no mesmo diretório diretório com o seguinte conteúdo: TARGETNAME=ola TARGETPATH=obj TARGETTYPE=DRIVER SOURCES=ola.c Em conjunto com o “makefile.def makefile.def”” do DDK, estes arquivos criam uma série de macros que facilitam muito a criação do arquivo de projeto. O nome do seu binário final é definido pela variável “TARGETNAME TARGETNAME””. A lista de fontes que compõem seu driver deve estar na variáv variável el “SOURCES SOURCES”” separados por espaço.

7.Debugando o driver Para debugar ou depurar o driver é necessário o WinDDK, ou mais precisamente a versão Checked Build Enviroment que configura o ambiente para gerar drivers com informações de Debug. O comando build serve para compilar o driver. Ao compilar o driver será criado o arquivo executável resultado da compilação dos 3 arquivos diretório, [seudriver].c, makefile e sources.

8. Executando o driver Para executar, o driver criado deverá estar na máquina virtual. O executável é um arquivo .sys que foi criado quando o driver foi compilado. Este arquivo está no diretório “objchk_wxp_x86 objchk_wxp_x86”” que foi criado na pas astta do driver. Copi pie e o ar arqu quiv ivo o .sys do dir ire etór ório io ob objjchk_wx wxp_ p_xx86/i3 i386 86 par ara a o diret etó ório c:\windows\system32\drivers do Windows na máquina virtual. Logo após a seleção de inicialização do Windows em modo debugger, a execução do WinDbg deverá ser feita de forma que o sistema operacional na Máquina Virtual estará em pausa aguardando instruções do depur dep urado adorr. De Dest sta a for forma ma o dr driv iver er ins insta tala lado do pod poder erá á ter su sua a ex exec ecuç ução ão ve veri rific ficada ada pas passo so a pas passo so pel pelo o depurador. Para adicionar breackpoints breackpoints no código do driver use o depurado depuradorr informando o comando bu ola!DriverEntry ola!DriverEntry , fazendo com que um breakpoint seja inserido na função driverentry. Após isso ainda usando o depurador uso o comando “g” para que o sistema operacional operacional em modo debugger continue continue a execuç execução. ão. Para iniciar o driver instalado é necessário o código net start [nomedodriver] neste momento o depurador para a execução do driver na função "driverentry" permitindo que o desenvolvedor possa verificar passo a passo sua execução (tecla F10). No exemplo exemplo quando a execução estiver na linha do comando DbgPrint o mesmo imprime a mensagem codificada na tela. Para descarregar o driver digite net stop ola. O controle volta ao depurador e a palavra “Fi “Fim m” é impressa, pois o comando stop fez com que a função de callback onDriverUnload fosse executada. Novembro Nove mbro 2011 • segurancadigital.info


9. Conclusão Drivers tanto podem ser desenvolvidos para controlar um dispositivo I/O específico de um fabricante, ou ainda para servir de filtro de rotinas de escrita e leitura em um disco rígido. A criação e depuração de um driv dr iver er re requ quer er co conh nhec ecim imen ento toss de ló lógi gica ca,, pr prog ogra rama maçã ção o em ba baix ixo o ní níve vell al além ém de us uso o de te tecn cnol olog ogia iass apropriadas que melhoram a produtividade de desenvolvimento.

Referências Ferna Fer nan ndo do,, Rob obe erto. (20 201 11) “Step http://driverentry.com.br/blog/ , agosto .

into

Kernel

(VmWare+WinDbg)”

OSR Onl Online, ine, (20 (201 11) “Ge Getti tting ng Dbg DbgPr Print int Ou Outpu tputt To Appear Appear In Vi Vist sta a and Lat Later er““ http://www.osronline.com , agosto. Peter G. Viscarola (2002) “Windows NT Device Driver Development (OSR Classic Reprints)””, OSR Press. Reprints) Russinovich, Mark (2008) “Windows Russinovich, Windows® ® Interna Internals: ls: Including Windows Server 2008 and Windows Vista (Pro Developer)” Developer)”, Microsoft,5th edition. Straus Stra uss, s, Ro Rodr drig igo, o, (20 201 11) 1)””WinD nDb bg: Debu bug gge gerr http://www.1bit.com.br/content.1bit/weblog/ , agosto.

de

gen entte

grand nde eStrauss,

¹NeoAutus- Avenida Presidente Tancredo Neves, 6731 – Foz do Iguaçu – PR – Brasil ²Curso de Ciência da Computaç Computação ão - Centro de Ensino Superior de Foz do Iguaçu – CESUFOZ – Foz do Iguaçu, PR – Brasil

1 Disponível em http://www.windbg.org/ icrosoft.com/en-us/windows/hardware/gg487428.aspx px 2 Disponível em em http://msdn.microsoft.com/en-us/windows/hardware/gg487428.as Novembro Nove mbro 2011 • segurancadigital.info


ATUALMENTE A CISSP É UMA DAS CERTI FICAÇÕES MAIS MA IS PRO PROCU CURAD RADAS AS PEL PELOS OS PRO PROFIS FISSIO SIONA NAIS. IS. NO BRASIL, A POPULARIDADE DO EXAME TEM FEITO A (ISC)2 (IS C)2 AGE AGEND NDAR AR DIV DIVERS ERSAS AS PRO PROV VAS AO LO LONGO NGO DO ANO. POR: Cláudio Dodt E-mail: ccdodt@gmail [email protected] .com Blog: www.claudiododt.wordpress.com br.linkedin.com/pub/cl% br.link edin.com/pub/cl%C3%A1udio-dodt/5 C3%A1udio-dodt/5/1a4/723 /1a4/723

Questão 01: Buffer overflows são ataques onde códigos maliciosos são inseridos causando uma sobrecarga na área de buffe buf ferr, es estão tão ra razo zoav avel elmen mente te be bem m do docu cumen menta tados dos e a mai maior oria ia dos pr progr ograma amador dores es tom tomam am as de devid vidas as precauções quando estão desenvolvendo um novo código. Buffer Overflows costumavam ser um sério problema algum tempo atrás. Entretanto, esse tipo de ataque foi substituído por um novo tipo de ameaça. Qual das opções a seguir é considerada a maior ameaça para aplicações aplicações web? a. Vírus de boot b. Server side scripting (SSS) c. Cross-site scripting (XSS) d. Vírus de macro Opção correta: C Ataques do tipo Cross-site scripting (XSS) são atualmente considerados uma ameaça séria em aplicações web. Nesse tipo de ataque o atacante usa vulnerabilidades em um site para injetar códigos maliciosos que podem capturar ou mesmo modificar informações. informações. Uma explicação bem simples pode ser encontrada aqui: http://www.houbysoft.com/papers/xss.php Opções incorretas: a. Ví Víru russ de boo boott sã são o um dos primeir primeiros os titipos pos de ví vírus rus conhec conhecid ido. o. Es Esse se ví víru russ inf infec ecta ta a pa part rte e de inicialização do sistema operacional e costumava afetar bastante os famosos discos 5¼. Hoje em dia já não são uma ameaça tão grande e, obviamente, não são especí específicos ficos para aplicações web. b. Uma boa pegadinha, pois o nome é parecido com a opção correta. Na verdade Server-side scripting é uma forma, geralmente geralmente em JavaSc JavaScript, ript, de prover conteúdo dinâmico em websites websites..


22 ARTIGO Segurança Digital d. Vírus de macro não afetam aplicações web especificamente. Segundo a cartilha do cert.br: Um macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar automatiz ar algumas tarefas repetitivas. repetitivas. Um vírus de macro é escrit escrito o de forma a explora explorarr esta facili facilidade dade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros.

Questão 02: Um arquivo foi criptografado e armazenado em um servidor seguro de FTP. Um Um hash MD5 foi criado e também armazenado no mesmo servidor de FTP FTP.. Um usuário autorizado conecta no servidor e faz o download de ambos arquivos, entretanto, descobre durante um teste que o hash não é igual ao do arquivo. Neste caso, qual objetivo do sistema de criptografia criptografia falhou? a. Integrid Integridade ade b. Confidencialidade c. Aut Autenti enticida cidade de d. Não-repúdio Opção correta: A Nesse caso a aplicação do princípio da Integridade significa basicamente comprovar que o arquivo ou mensagem não foi modifica modificado, do, de forma acidental ou proposital, proposital, durante a transmi transmissão. ssão. Embora criptografia possa ser utilizada para garantir a proteção da confidencialidade, autenticidade ou mesmo mes mo não re repúd púdio, io, ne ness sse e ca caso so nã não o se apl aplic icam. am. Co Confo nform rme e ex expos posto to na que quest stão, ão, o us usuár uário io es esta tava va autorizado, entretanto em nenhum momento tentou abrir o arquivo, apenas checar se o hash do mesmo estava correto.

Questão 03: Um analista de sistemas foi chamado para preservar a evidência de um ciber-ataque na empresa. O anal an alis ista ta is isol olou ou o di disc sco, o, po poré rém, m, ac acid iden enta talm lmen ente te fe fezz al algu guma mass mo modi difi fica caçõ ções es no me mesm smo. o. Es Este te fa fato to comprometeu seriamente a evidência e dificultou o caso para a companhia. Quem é o responsável pelas ações tomadas com evidênc evidência ia digital? a. O analist analista a de seguran segurança ça b. A em empr pres esa a c. O superv supervisor isor do indivíd indivíduo uo manuseando a evidênc evidência ia digital d. O indivídu indivíduo o manuseando a evidênc evidência ia digital Opção correta: D Um dos princípios gerais sobre evidências de crimes digitais é que o indivíduo que manuseia a evidência é responsável respons ável enquanto ela estive estiverr em sua posse. Durante um longo processo, evidências podem passar pelas mãos de diversas pessoas ou mesmo ficar sobre a posse de diferentes organizações. A empresa, a área de segurança, ou mesmo supervisores não podem simplesmente arcar com a responsabilidade de ações de indivíduos, desde que garantam que


23 ARTIGO Segurança Digital tomaram to maram todas as precauções necessárias. Qualquer tipo de análise forense digital deve ser feita em cópias e manter uma cadeia de custódia clara e transparente. transpa rente. Ambos pontos são essenciais essenciais para garantir a admissibilidade admissibilidade da evidênc evidência ia como prova em um processo legal.

Questão 04: A e B estão se comunicando usando uma sessão TCP quando um atacante captura (hijacks) a sessão usando o Juggernaut. O que um administ administrador rador deve fazer para evitar a recorr recorrência ência desse tipo de ataque? a. o administr administrador ador deve implemen implementar tar um protoco protocolo lo como, por exemplo, Kerberos/IPSec. Kerberos/IPSec. b. o administr administrador ador deve desenco desencorajar rajar a comunic comunicação ação entre os usuários usuários.. c. o administrador deve implementar um protocolo como, por exemplo, IMAP/ICMP. d. o administrador deve pedir aos usuários para discutir e criar protocolos conhecidos apenas por eles mesmos. Opção correta: A O Kerberos é um protocolo de autenticação para redes, que funciona com base em "bilhetes" que permitem comprovar a identidade das partes envolvidas em uma rede insegura, fornecendo autenticação mútua tanto o usuário quanto o servidor verificam a identidade um do outro. Mensagens do protocolo Kerberos são protegidas contra escuta não autorizada (eavesdropping) e ataques replay. No cas aso o da qu ques estã tão, o, o ad admi mini nist stra rado dorr de devve pr proc ocur urar ar a im impl plem emen enta taçção de um pr prot otoc ocol olo o co como mo Kerberos/IPSEC para garantir que os dois usuários que estão se comunicando tenham autenticação mútua. Dessa forma, o atacante não será capaz de autenticar como um dos usuários e lançar seu ataque. Por que as outras estão erradas: erradas: b. O administrador deve desencorajar a comunicação entre os usuários. Claro! Os usuários vão obedecer à recomendação e tudo vai ser uma maravilha! Brincadeiras a parte, confiar que seus usuários não vão utilizar um meio de comunicação inseguro é o primeiro passo na estrada para a perdição. Adicionalmente, no mundo real essa comunicação pode ser altamente importante para a operação da empresa e adivinhe .. você tem de garantir a segurança! c. O administrador deve implementar um protocolo como, por exemplo, IMAP/ICMP. O IMAP, assim como o POP, é um dos protocolos mais comumente utilizados para recebimento de mensagens de email. O simples uso do IMAP não garante uma comunicação segura, a não ser quando configurado para usar SSL. Adicionalmente, em momento algum a questão mencionou que a comunicação entre os dois usuários era feita via email. d. O administrador deve pedir aos usuários para discutir e criar protocolos conhecidos apenas por eles mesmos. Ah, a velha e boa segurança por obscuridade. Que tal sermos egoístas e criar um protocolo conhecido apenas por nós mesmos? Podemos até incluir um aperto de mão secreto! Seguro não? #NOT! Usar um protocolo obscuro desenvolvido internamente não te dar nenhuma garantia adicional de segurança e pode deixar várias lacunas abertas. abertas.



Questão 05: Este modelo de segurança foi desenvolvido tendo foco principal na integridade da informação e prevenção de fraudes. Ele requer o uso de uma camada de abstração que impede subjects de acessar um objeto diretamente. A camada de abstração garante a proteção do objeto. Qual dos modelos a seguir corresponde a esse tipo de descrição? a. Modelo Clark-Wilson b. Modelo Brewer and Nash c. Modelo Biba d. Modelo Bell-LaPadula Opção correta: A O modelo Clark-Wilson foi desenvolvido como uma extensão ao modelo de Biba. Conceitos no modelo giram em torno da impossibilidade de acessar diretamente e/ou manipular objetos para evitar corrupção de dados. Esse é o tipo de questão que eu não gosto. Não existe nenhum cenário, não mede a capacidade de decisão, análise, análise, nada! É puramen puramente te uma questão de saber (decorar?) o tema abordado, pronto e simples. Então por que coloque coloqueii essa questão aqui? Simples! Na prova oficial infelizmente você não tem como escapar desse tipo de questão. Sua melhor alternativa alterna tiva é procur procurar ar entender todos os conceit conceitos os e termos dentro do CBK.

Questão 06: Qual dos itens a seguir é um tipo de camuflagem urbana que dificulta o ataque a uma companhia? a. o uso de barreir barreiras as físicas como portas, vigilância vigilância armada e autentic autenticação. ação. b. usar uma logomar logomarca ca falsa. c. não exibir ou usar uma logomarca pequena d. obrigatoriedade de registro/autenticaçã registro/autenticação o antes de entrar na área interna Opção correta: C Usar uma logomarca pequena ou mesmo deixar a fachada sem identificação serve como um tipo de camuflagem camufla gem urbana. Isso torna mais difícil para os atacantes distinguir seu alvo. Por que as outras estão erradas: erradas: O uso de barreiras físicas, vigilância, controle de acesso e registro é muito importante para a proteção física, mas não são camuflagens. camuflagens. Uso de placas falsas é proibido por lei na maioria das jurisdições, a menos que você trabalhe na Universal Exportss e se chame Mr. Bond, não é muito recomen Export recomendável. dável.



VOCÊ SABE O QUE É? MUITA GENTE JÁ OUVIU ESTE NOME, MAS POUCOS SABEM O QUE ELE SIGNIFICA, SIGNIFICA, E MENOS AINDA SABEM QUAL SUA IMPORTÂNCIA NO MUNDO GLOBALIZADO EM QUE VIVEMOS. ESTE É UM TEMA QUE DEVE SER FOR FORTEMEN TEMENTE TE TRA TRAT TADO, PRINC PRINCIP IPALMEN ALMENTE TE NO ÂMBIT ÂMBITO O EMPRE EMPRESARIA SARIAL. L.

A segurança da informação é algo que deve ser leva le vado do mu muit ito o a sé séri rio. o. Co Com m a po popu pula lari riza zaçã ção o de disp di spos osit itiv ivos os po port rtát átei eis, s, mu muit itas as or orga gani niza zaçõ ções es e empresas estão desenvolvendo projetos e trabalhos potenci pote ncialm almente ente sig sigilos ilosos os nes nestes tes dis disposi positiv tivos, os, que muitas vezes se mostram vulneráveis a algum tipo de ataque ou espionagem. Pesquisas revelam que dispositivos portáteis representam um grave risco de segur se guranç ança a pa para ra pro projet jetos os si sigil gilos osos os,, já qu que e es este tess podem ser furtados ou violado violadoss de alguma forma. Durante as primeiras décadas de sua existência, as redes de computadores foram usadas principa prin cipalme lmente nte por pes pesquis quisador adores es e univ univers ersitár itários, ios, para pa ra en envi viar ar me mens nsag agen enss de co corr rrei eio o el elet etrô rôni nico co e real re aliz izar ar o co comp mpar arti tilh lham amen ento to de co comp mpon onen ente tess (equipamentos) (equipame ntos) em rede, reduzindo gastos dentro da organi org aniza zaçã ção. o. So Sob b es essa sass co condi ndiçõ ções es,, a se segur guranç ança a

nunca precisou de maiores cuidados. Mas atual atu almen mente, te, co como mo mil milhõe hõess de ci cidad dadãos ãos co comun munss estã es tão o us usan ando do as re rede dess pa para ra ef efet etua uarr op oper eraç açõe õess bancárias, fazer compras e declarar seus impostos, a segurança está se mostrando um obstáculo a ser equiparado equiparad o e combatid combatido. o. A se segu gura ranç nça a é um as assu sunt nto o ab abra rang ngen ente te e in incl clui ui inúme inú mero ross tip tipos os de pec pecado ados. s. Em su sua a fo form rma a mai maiss simples, a segurança se preocupa em garantir que pessoas pess oas mal- inte intencio ncionada nadass lei leiam am ou modi modifiqu fiquem em mensagens enviadas a outros destinatários. Outra preocupação preocup ação da seguran segurança ça se volta para as pessoas que tentam ter acesso a serviços remotos, aos quais elas não estão autorizadas a usar. A segurança da informa info rmação ção tem que ante antecipa ciparr proc procedim edimento entoss que possa pos sam m por ve vent ntura ura te tenta ntarr ir co contr ntra a a po polílític tica a de segurança da organização, garantindo com isso o Novembro Nove mbro 2011 • segurancadigital.info

26 ARTIGO Segurança Digital sigilo da informaç informação ão e integrid integridade ade dos dados.

de de dese senv nvol olvvim imen ento toss es espe peccia iais is do doss Es Esta tado doss Unidos”. Pois é, essa fortaleza já foi invadida, e não A ma maio iorr pa part rte e do doss pr prob oble lema mass de se segu gura ranç nça a sã são o foi só uma vez não. intencionalmente causadas por pessoas que tentam obter algum benefício ou prejudicar alguém. Dentro Não importa se é um computador pessoal, ou um das empresas um funcionário insatisfeito pode muito mega computador protegido pelo mais sofisticado e bem sabotar um projeto, ou então vender ca caro ro si sisste tema ma de se segu gurran ança ça já de dese senv nvol olvi vido do,, informaç info rmações ões par para a a con concor corrên rência cia,, a seg seguran urança ça da qualquer computador conectado a internet é um alvo informação tem que prever esta situação e adotar em potencial. Mas se você “vacilar” se torna um alvo medidas para minimizar os risco riscos. s. ainda mais fácil. Ao implementar um sistema de segurança em uma Vamos simplificar este entendimento. Imagine que organ or ganiz izaç ação ão dev devee-se se pr prime imeiro iro re resp spon onder der qua quatr tro o você saia de casa deixe a porta e o portão aberto, questões, são elas: será se rá qu que e al algu guém ém ir irá á “ro roub ubar ar su sua a ca casa sa”? Ag Agor ora a imagine que você possui um computador que não dispõe dis põe de nen nenhum huma a se segur guranç ança a vi virt rtua ual,l, se será rá que • Proteger O QUE? alguém irá invadi-lo? • Proteger DE QUEM? • Protege Protegerr A QUE CUSTOS? CUSTOS? • Proteger COM QUE RISCOS?

Três pontos a serem fortemente tratados: • Rever a política de segurança para atender a quaisquerr mudanças nos níveis de risco; quaisque • Impl Implemen ementar tar os cont control roles es de seg seguran urança ça que atendam aos requis requisitos itos da polític política a implanta implantada; da; • Monitorar e manter a eficácia dos controles de segurança. No âm âmbi bito to do Go Gove vern rno o Fede Federral, a ques estã tão o da segu se gurran ança ça da in info form rmaç ação ão es está tá re rece cebe bend ndo o um tratamento destacado e permanente, com a "Política de Segurança da Informação nos Órgãos do Poder Executivo Fede Federal ral – PSIPE", conforme o Decreto nº 3.505, de 13 de junho de 2000. Emborra me Embo medi dida dass sej ejam am to toma mada dass no in intu tuit ito o de promover um ambiente seguro, a questão será sempre muito mais complexa do que parece. Se você acha que apenas pessoas normais sofrem ataques virtuais, irá mudar de ideia até o final deste artigo.

Definição de política de segurança Pol olííti ticca de segur uran ançça da info forrmação é uma declaração ampla e direta dos objetivos e intenções da organização com relação à conexão e ao seu uso. Normalmente, Normalmente, ela deve especificar especificar o seguinte seguinte:: • Os serviços que podem ser usados; • Por quem determinado serviço pode ser usado; • Quem autoriza as conexõe conexões; s; • Quem é responsável pela segurança; • As normas, diretrizes diretrizes e prática práticass a serem adotadas; • As responsabilidades e obrigações dos usuários. Além de tu Além tudo do is isso so é ex extr trem emam amen ente te im impo port rtan ante te decidi dec idirr que quem m se será rá o re resp spon onsá sáve vell pe pela la se segur guranç ança a dentro da organização. Deixar bem claro qual será o pape pa pell de ca cada da fu func ncio ioná nári rio o e in inte tegr gran ante te de dest sta a organização. A segurança da informação é como uma corrente, esta pode ser forte, muito forte, mas provavelmente possui um elo fraco e este elo com certeza será explorado mais cedo ou mais tarde, então se faz necessário prever está situação.

Quem nunca ouviu falar do Pentágono? A “fortaleza Já

que

estamos

falando

de

segurança

da


27 ARTIGO Segurança Digital informação, nada mais justo do que falar sobre os “O quarto pilar da segurança” quatro pilares fundamentais da segurança. Consi sider deraa-se se es este te pr prin incí cípio pio pa para ra Autenticidade: Con ates at esta tarr, co com m ex exat atid idão ão,, o or orig igin inad ador or do da dado do ou Segu Se guee ab abai aixo xo os pr prin incí cípi pios os da se segu gura ranç nçaa da informação, autorizando ou não a continuidade do processo. proces so. Este quarto principio em muitos casos não informação: é exibido, pois pode ser considerado um derivado Consi sider deraa-se se es este te pr prin incí cípio pio Disponibilidade: Con doss tr do três ês pi pila lare ress pr prin inccip ipai aiss (D (Dis ispo poni nibi billid idad ade, e, quan qu ando do um si sist stem ema, a, ou at ativ ivo o de in info form rmaç ação ão Integridade e Confidencialidade). precisa estar disponível para satisfazer os seus requisitos ou evitar perdas financeiras.

Integridade: Considera-se este princípio quando um si sist stem ema, a, ou at ativ ivo o de in info form rmaç ação ão,, co cont ntém ém info in form rmaç ação ão qu que e de devve ser pr prot oteg egid ida a con ontr tra a modificações não autorizadas, imprevistas ou até mesmo nã não o inte ten ncion ona ais is,, in inccluin indo do ai ain nda meca me canis nismos mos que per permit mitam am a det detec ecçã ção o de ta tais is tipos de alteração e recuperação de informações (backup).

Referência: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_in forma%C3%A7%C3%A3o

Confidencialidade: Considera-se este princípio quando quan do um si sist stem ema, a, ou at ativ ivo o de in info form rmaç ação ão,, necessita de proteção contra a divulgação não autorizada autoriz ada dos seus bens de informaç informação. ão.


28

LIVRO EM DESTAQUE

Desvendando a Computação Forense Por Marcio Pereira Machado e Pedro Monteiro da Silva Eleutério "Desvendando "Desvendan do a Comp Computaç utação ão Fo Fore rens nse" e",, uma das ob obras ras na naci ciona onais is pio pionei neira rass na ár área ea de Co Compu mputa taçã ção o Forense, Fo rense, é uma leitura obrigatória para estudantes, professores e profissionais de computação que querem se aventurar nesse importante campo de estudo, tão propagado nos dias de hoje. Esta obra também é um guia com comple pleto to par para a que os apl aplica icadore doress do Dire Direito, ito, como juíz juízes, es, del delegad egados, os, pro promoto motores res e advo advogado gados, s, entendam de que forma a Computação Fo Forense rense pode auxiliar na rápida solução de delitos, contribuindo para processos judiciais mais céler céleres es e eficient eficientes. es.

Links http://www.novatec.com.br/livros/computacaoforense http://twitter.com/pmseleuterio Novembro 2011 • segurancadigital.info

29

Links:

http://www.agendati.com.br http://twitter.com/agendati http://www.facebook.com/agendati [email protected]

Perfil Responsável: Eduardo Fedo Fedorowicz rowicz http://twitter.com/fedorowicz Novembro Nove mbro 2011 • segurancadigital.info

30


VOCÊ ESTÁ PREPARADO? POR: Luiz Felipe Ferreira Ferreira Twitter: @lfferreiras E-mail: lfferreira@gmail. [email protected] com Site: http://br.l http://br.linkedin.com/in/l inkedin.com/in/luizfelipeferreira uizfelipeferreira

novo vo de desa safi fio o da Se Segu gura ranç nçaa da Mobili Mob ilidad dade: e: O no Informação: Você está preparado? Não é de ag Não agor ora a qu que e os di disp spos osit itiv ivos os mó móve veis is te tem m ganh ga nho o a at aten ençã ção o da mí mídi dia a e pr prin inci cipa palm lmen ente te do doss usuários. Cada vez menores e com mais recursos e velocidade de processamento, eles tem se tornado uma opção vantajosa para ter acesso a informações digitais. A tendência de crescimento é exponencial e a po poss ssib ibililid idad ade e de te terr ac aces esso so ao am ambi bien ente te e as info in form rmaç açõe õess em empr pres esar aria iais is fa fazz co com m qu que e mu muit itas as pess pe ssoa oass co come mece cem m a tê tê-l -los os co como mo “computador computador”” principall em detrimen principa detrimento to do desktop desktopss e notebook notebooks. s.

Um pouco de história Em 1956, a Ericsson desenvolveu o primeiro celular, que qu e pe pesa sava va ce cerc rca a de 40 qu quililos os.. Ma Mas, s, a pr prim imei eira ra ligação só foi realizada anos depois, em 1973 pela Motorola e seu modelo Motorola DynaTAC 8000X, pesan pes ando do ce cerc rca a de um qui quilo lo.. No Noss ano anoss se segui guinte ntes, s, iniciara inic iaram-s m-se e as oper operaçõ ações es de tel telefon efonia ia cel celula ularr no

Japão e Suécia e mais tarde nos Estados Unidos. Nos anos 90, deu-se início a segunda geração de celulares, que durou até a virada de milênio e trouxe muita mui tass nov novida idades des co como mo o SM SMS, S, os ri ringt ngtone ones, s, os display disp layss col colorid oridos, os, mens mensagen agenss mul multimí timídia dia (MM (MMS), S), câmeras embutidas, embutidas, mp3 player players. s. Nessa altura, eles se tor tornar naram am “inteligentes inteligentes””, tr traz azen endo do um si sist stem ema a operacional embutido e começaram a ser conhecidos como smartphones. Em 2007, a Apple lança o iPhone, que alterou os rumos da indústria de telefo tel efonia nia,, inc inclu lusiv sive e gan ganhan hando do es espaç paço o no mun mundo do corporativo, onde o domínio era do Blackberry. No ano seguinte, o Google lança o Android, seu sistema ope op erac acio ion nal par ara a cel elu ulares que aos pou ouccos conquista conquist a uma fatia importado de mercado mercado,, iniciando uma guerra para ganhar a preferência dos usuários. Anos depois, em 2010, Steve Jobs surpreende mais uma vez e lança o iPad, um tablet que torna-se um sucesso instantâneo e vende 3 milhões de unidades em 80 dias. Mais uma vez, a Apple dita os rumos da indús ind ústr tria ia,, e ta tall co como mo o iP iPhon hone, e, os co cons nsumi umidor dores es adquirem o produto e também querer ter acesso as Novembro 2011 • segurancadigital.info

32 ARTIGO Segurança Digital informações corporativas. Ok, mas o que isso tem a ver com Segurança da Informação? Na mira dos cybercriminosos

Um recente relatório da Symantec analisou os dois prin pr inccip ipai aiss sis iste tema mass op oper erac acio iona nais is us usad ados os em plataformas móveis (iOS e Android) e constatou que elas são mais seguras que as tradicionais, baseadas em desktops, mas isso não impede que a cada dia sejam criados mais softwares maliciosos para esse crescente público alvo. A pesquisa X-Fo X-Force rce 2011 Mid-Year Trend and Risk Report““ da IBM informa que o número de exploits Report foca fo cado doss em si sist stem emas as op oper erac acio iona nais is mó móve veis is e as vuln vu lner erab abililida idade dess cr cres esce cerá rá ex expo ponen nenci cial almen mente te em 2011. Os dados dos usuários (senhas e nomes) não são sã o pr prot otegi egido doss co corr rreta etamen mente, te, nor normal malmen mente te sã são o armaz ar mazena enados dos em fo form rmato ato tex texto to.. Po Pouc ucos os o fa faze zem m com senhas. Você precisa saber que estamos diante de um novo (talvez o pio iorr) des esaf afiio par ara a a Segu gurrança da Infor In forma maçã ção, o, já qu que e ago agora ra a inf infor ormaç mação ão nã não o es está tá confinada no perímetro corporativo, mas pode estar em qualquer lugar do mundo. Basta um simples tweet, um retrato tirado por um smartphone ou um simples email para que aquela informação confidencial da sua empresa esteja na internet disponível disponível para qualquer um.

BYOD (Bring Your Own Device) Traga o seu próprio dispositivo. Talvez esse seja o piorr pes pio pesad adel elo o par para a a Se Segu gura ranç nça a da Inf Infor ormaç mação ão.. Dispositivos muitas vezes que não foram homologados homolog ados acessam a rede sem control controle e nenhum. Isso já acontece nos dias atuais com uma frequência absurda.. A TI (e a Segura absurda Segurança nça da Informação) precisa precisa aceitar o fato que os funcionários querem (e vão) usar us ar di disp spos ositi itivo voss mó móve veis is (s (sma mart rtpho phones nes,, tab table lets ts)) pessoais para acessar os dados do trabalho. Com isso is so,, el eles es tê têm m o co cont ntro role le qu que e nã não o te teri riam am ca caso so o fizessem com os tradicionais desktops e notebooks. Não precisam se preocupar com controles “chatos chatos”” de se segur guranç ança. a. El Eles es têm a liliber berda dade de que se semp mpre re

sonharam. É aquele diretor que quer manter o status ou até mesmo o estagiário que comprou o aparelho em várias prestações. A IDC prevê que 2014 o uso de sma smartph rtphones ones adqu adquiri iridos dos pel pelos os func funcioná ionário rioss irá dobrar. Não Nã o há co como mo lu luta tarr co cont ntra ra is isso so,, é um pr proc oces esso so irreversível. É melhor permitir o uso de forma segura do que tentar proibi-lo e assumir as consequências do risco. Será uma luta gerenciar a segurança da sua su a re rede de nes neste te nov novo o ce cenár nário io.. É ne nece cess ssár ária ia uma solução de gestão que ajude a garantir a segurança dos dados corporativos e, além disso, permita gerir os custos sem impactar a infraestrutura. É uma nova realidade. Você já está preparado?

Planejame Plane jamento nto e Ação Mesmo que a sua empresa já tenha uma política de segur uran ançça es esta tab bel ele ecid ida a, será que ela está adequada a essa nova realidade? Você já sabe o que será suporta suportado? do?

1. Adaptar a política de segurança a esse novo ambiente móvel. Você deve adicionar tópicos referentes a dispositivos móveis onde vários itens são importantíssimos, tais como: • Em caso de perda ou roubo do dispositivo, o suporte deve ser comunic comunicado ado imediatamente. • O uso obrigató obrigatório rio de criptogr criptografia. afia. • As responsabilidades e obrigações dos usuários • Puniçõe Punições, s, em caso de não cumprime cumprimento nto das normas estabelecidas.

2. Decidir que tipo de tecnologia será adotada e suportada para gerenciar dispositivos e aplicar as políticas. A variedade de dispositivos disponíveis no mercado é mu muit ito o gr gran ande de.. O qu que e fa faze zerr qu quan ando do ap apar arec ecem em várias vár ias dema demandas ndas de pla platafo taformas rmas com comple pletame tamente nte diferentes? diferent es? É pratica praticamente mente impossível conseguir dar cont co nta a do su supo port rte e de to todo doss es esse sess di disp spos osit itiv ivos os,, portant por tanto o faz faz-se -se nece necessá ssário rio de iníc início io dete determin rminar ar o que se será rá su supo port rtado ado (p (pla lataf tafor orma ma (s (s), ), ve vers rsão ão dos dispositivos, etc). Novembro 2011 • segurancadigital.info

33 ARTIGO Segurança Digital Normalm Norma lment ente e as em empre presa sass so somen mente te po poss ssue uem m o suporte para BlackBerry usando o BES (BlackBerry Ente En terp rpri rise se Se Serv rver er), ), ma mass is isso so te tem m mu muda dado do no noss últitimos úl mos ano anos. s. Co Cons nside idere re adq adquir uirir ir uma so solu luçã ção o de MDM MD M (Mo (Mobil bile e Dev Devic ice e Man Manage agemen ment) t).. Há vá vári rias as no merc me rcad ado o qu que e su supo port rtam am os di disp spos osit itiv ivos os Ap Appl ple e e Android também. Os MDM’ MDM’s possuem muitas funções de segurança inter int eres essa sant ntes es,, co como mo a imp imple lemen menta taçã ção o de se senh nha a forte, histórico e expiração de senha, time out por inat in ativ ivid idad ade, e, lo lock ck do ap apar arel elho ho ap após ós um nú núme mero ro determinado de tentativas inválidas, wipe remoto se o dispositivo foi roubado ou comprometido além de criptografia se for suportado. Tudo isso deve ser usado, pois qual será o dano caso ca so um iP iPho hone ne de um di dire reto torr fo forr pe perd rdid ido o ou o smartphone smartph one Android de um gerente gerente for roubado ?

Par ara a di disspos osit itiivos que usam o iO iOS S, existe o FindMyiPhone Fi ndMyiPhone que é gratuito, bastando usar o seu ID da Apple Store. É um ótimo recurso caso você seja se ja ro roub ubad ado. o. Co Com m el ele, e, é po poss ssív ível el bl bloq oque uear ar ou apagar apa gar re remo motam tament ente e os dad dados os.. Ca Caso so vo você cê us use e o And ndro roid id,, há o Whe here re’’s My Droid id,, que possui recursos semelhantes.

3. Ant Antiví ivírus rus Tal como em desktops e notebooks, é necessário adquirir uma solução de antivírus. Várias empresas do se segm gmen ento to co como mo a AVG e No Nort rton on já po poss ssue uem m produtos disponíveis para as corporações.

4. Não clicar em links desconhecidos

Os us usuár uário ioss pr prec ecis isam am es estar tar al aler ertas tas ao “phishing phishing”” onde eles são induzidos (seja por email, ou pelo 3. Estabelecer e aplicar baseli nes de segurança Twitter e Facebook) a clicar clicar em links, que farão o Caso você adquira um MDM (ou não), é importante red redirec ireciona ionament mento o para sit sites es mali malicios ciosos os vis visando ando a criar uma baseli baseline ne de segurança, com configu configurações rações co cole leta ta de da dado doss im impo port rtan ante tess co como mo ca cart rtõe õess de (como as citadas no item anterior) para garantir que crédito ou logins, por exemplo exemplo.. os dispositivos móveis adquiridos possuam o mínimo de seg egur uran ançça an ante tess de se sere rem m en entr treg egue uess ao aoss 5. Cuidado com download de aplicativos funcionários. A qu quan anti tida dade de de ap apllic icat ativ ivos os di disspo poní níve veis is pa para ra dis ispo possitiv ivo os móveis não par ara a de crescer. É Educação e treinamento para os usuários: importante educar os usuários para que só façam os É importante mostrar aos usuários que embora o dow downl nloa oads ds em lo loja jass de ap aplilica cativ tivos os rec reconh onhec ecida idass dispositivo usado para acesso à internet seja outro, pelo mercado. Hoje, é normal aplicativos maliciosos os ri risc scos os sã são o os me messmo mos, s, po port rtan anto to sem empr pre e é que parecem ser legítimos, especialmente aqueles importante importan te lembrar-se de dicas básica básicas, s, que além de que alegam ser de “segurança segurança””. estarem inscritas na política de segurança também podem pode m ser comu comunica nicadas das atr atravé avéss de tre treinam inament entos, os, 6. Evitar o acesso ao internet banking em redes campanhas ou informativos: públicas

1. Atual Atualize ize o siste sistema ma operacional operacional A versão mais rec recente ente protege os disp disposi ositivo tivoss de falh fa lhas as de se segur guran ança ça,, al além ém de co comu mumen mente te tr traz azer er melhorias de desempenho e estabilidade. Portanto, atualizar jamais deve ser esquecido ou negligenciado.

Alerte Aler te qu que e qu quand ando o o us usuár uário io es estiv tiver er us usan ando do uma conexão wi-fi gratuita, onde normalmente nenhuma segurança é configurada, deve evitar o acesso ao internet banking ou outros sites que necessitem de informações e senhas de contas bancárias. Também não se pode esquecer dos cuidados com sites que solicitem com dados pessoais.

2. Solução anti-roubo gratuita


34 DICA Segurança Digital

NÃO PRECISA DECORAR DECOR AR TUDO VOCÊ NÃO PRECISA DECORAR TUDO, DEIXE ISSO POR CONTA DO KEEPASS UMA UM A ÓT ÓTIMA IMA SO SOLUÇ LUÇÃO ÃO DIS DISPON PONÍV ÍVEL EL GRA GRAT TUIT UITAME AMENT NTE E PAR PARA A DO DOWNL WNLOA OAD. D. POR: Johnantan Pereira Twitter: @johnantan Blog: www.johnantan.com E-mail: johnantan.pereira@g [email protected] mail.com

O que é o KeePass? Atualmen Atual mente te vo você cê pr prec ecis isa a le lembr mbrar ar vá vári rias as se senh nhas as,, para acessar o seu computador, conta de e-mail, FTP da sua homepage, homepage, acesso a sua conta bancária e etc… A lista é interminável. Além disso, você deve usar us ar se senh nhas as di dife fere rent ntes es e co comp mple lexa xass pa para ra ca cada da conta. Porque se você utilizar apenas uma senha porr to po toda da pa part rte e e se al algu guém ém de desc scob obri rirr vo você cê te terá rá sérios problemas. O ladrão teria acesso a simpl si mples esme mente nte tu tudo, do, des desde de um uma a si simpl mples es co cont nta a de email até o acesso online as contas bancárias.


35 DICA Segurança Digital

KeePass é um gerenciador de senhas, que ajuda a guardar suas senhas de forma segura. Você pode colocar todas as suas senhas em um banco de dados, que está trancada com uma chave ou um arquivo de chave. Assim, você só tem que lembrar de uma única senha ou selecione o arquivo de chave para destravar o banco de dados inteiro. As bases de dados são encriptadas, utilizando os algoritmos mais seguros de criptografia, conhecidos atualmente (AES e Twofish).


36 DICA Segurança Digital KeePass é um um software livre e de código aberto. Dessa forma você pode dar uma olhada no código fonte e verificar se os algoritmos de criptografias estão sendo executados corretamente.

Link: http://keepass.info Download: http://keepass.info/download.html Novembro 2011 • segurancadigital.info


REFÉM RE FÉM OU VÍTIMA? POR: Cláudio Dodt E-mail: ccdodt@gmail [email protected] .com Blog: www.cla www.claudiododt.wordpress.c udiododt.wordpress.com om br.linkedin.com/pub/cl% br.link edin.com/pub/cl%C3%A1udio-dodt/5 C3%A1udio-dodt/5/1a4/723 /1a4/723

Quando o vilão está dentro de casa: 40% dos colaboradores de TI admitem

poder causar danos severos na infraestrutura

Uma pesquisa recente da Venafi apontou um sério risco que, infelizmente, é cada vez mais comum em organizações de qualquer vertical ou porte: Uma boa parcela (estimada em 40%) dos colaboradores de TI admite poder causar sérios problemas, leia-se caos completo, nos serviços/infraestrutura da organização.


38 ARTIGO Segurança Digital O caso específico aborda rdado do pela pesquisa r–f r–fl–t l–t– – dad dados os sob sobr– r– fal falta ta d– g–r g–r– –nciamento de chaves de criptografia associada a lacunas, controles internos e pouca segregação de funções. Entretanto, existem incontáveis cenários onde um único colaborador pode tornar a organização sua refém e indiscutivelmente causar prejuízos na casa dos milhões, como em um caso ocorrido na prefeitura de San Francisco em 2008 que teve sua WAN seqüestrada por 12 dias (leia (leia mais) mais).

Esse assunto não é nenhuma novidade e já foi amplamente discutido discutido.. O problema é que em boa parte das empre emp resa sass co com m qu que e já tiv tive e co conta ntato to ve vejo jo pou pouca ca ou nen nenhum huma a ini inici ciati ativa va par para a co cont ntorn ornar ar es essa sa si situa tuaçã ção, o, chegando ao ponto onde em alguns casos é tido como algo “normal normal””. Se você vivencia este tipo de problema em sua organização, existem algumas práticas simples que podem ajudar bastante: essencial: Se seus colaboradores estão conscientes das 1. Uma boa política de segurança da informação é essencial: implicações legais de suas ações, eles certamente vão pensar duas vezes antes de cometer um ilícito. No pior cenário, se um incidente severo ocorrer você vai estar protegido e legalmente preparado para tomar as ações cabíveis. 2. Segregação de fu nções (SoD): Provavelmente você sabe que SoD, é um método para reduzir o risco

de que uma única pessoa possa acessar, modificar ou usar serviços sem a devida autorização ou detecção. O que talvez você não saiba é que, de acordo com o Public Company Accounting Oversight Board, Board, em 83% das orga organiza nizaçõe çõess a caus causa a de frag fragili ilidade dadess mate materia riais is esta estava va dire diretame tamente nte rela relacio cionada nada com ausê ausênci ncia a de Segregação de Fu Funções. nções. Uma boa matriz de segregação (ver (ver exemplo) exemplo) associada à rotação de cargos e funções pode ajudar a evitar incidentes incidentes e apoiar na distribuição conhecimento. conhecimento.

3. Documentação, documentação e documentação: Manter uma documentação atualizada é essencial para proteger o conhecimento institucional. Infelizmente, existe uma notória resistência por parte da maioria dos profissionais de TI, que acabam deixando algo tão importante completamente de lado. Cabe aos gestores entender a importância e exigir que uma parcela do tempo da equipe seja dedicada exclusivamente a elaboração de documentação e procedimentos operacionais. Novembro 2011 • segurancadigital.info

39 ARTIGO Segurança Digital tecnologia a seu favor, mas não se torne dependente: Desde gerenciamento de chaves de 4. Use a tecnologia criptografia até a sistemas de auditoria e análise do comportamento, é possível dizer que existe uma solução tecnológica para quase tudo. Saber aplicar a tecnologia a seu favor é reconhecer que não podemos ser completamente dependentes. Busque soluções completas que englobem não apenas um produto, mas procedimentos, procedi mentos, normas e até mesmo pessoas necessárias necessárias para criar uma solução eficiente. profissionais ionais que gostam de se sentir insubstituíveis insubstituíveis o fazem por 5. TTTO (Talk to the Ogre): Muitos dos profiss uma nítida insegurança. Manter um canal de diálogo aberto e, em casos extremos, até mesmo um acompanhamento acompanh amento psicológico, psicológico, pode ajudar e muito na reduçã redução o de riscos e incidentes. Um bom gestor consegue consegu e perceber um problem problema a de relacionamento relacionamento logo no início, onde sua solução é razoav razoavelmente elmente simples. Um mau gestor pode fechar os olhos e até mesmo ser conivente com a situação. Nesse último caso, certamente certamente vale a máxima: Quem planta vento, colhe tempestade! tempestade!

A lista acima certamente não é completa, mas espero que essas dicas práticas ajudem a lidar com os Shreks mal entendidos que residem dentro da TI.

__ Links e referências: http://drupal.sfexaminer.com/local/crime/2011/05/judge-orders-former-city-worker-terry-childs-pay-sanfrancisco-15m http://www.net-security.org/secworld.php?id=11062 http://www.itilnapratica.com.br/o-conhecimento-e-meu-e-ninguem-tasca/ http://pcaobus.org/Pages/default.aspx http://www.isaca.org/Images/journal/jrnlv4-07-common-ground-1.jpg Novembro 2011 • segurancadigital.info


TUDO TEM LIMITES A INTERNET CONFIGURA CONFIGURA IMPORTANTE INSTRUMENTO DE ACESSO À INFORMAÇÃO E À CULTURA, MAS TAM AMBÉ BÉM M VE VEM M SE SEND NDO O UT UTIL ILIZ IZAD ADA A CO COMO MO FE FERR RRAM AMEN ENT TA DE PR PROP OPAG AGAÇ AÇÃO ÃO DE AG AGRE RESS SSÕ ÕES E COMETIMENTO DE CRIMES. O QUE ALGUMAS PESSOAS PARECEM ESQUECER É QUE NO AMBIENTE VIRTUAL VIRT UAL TAMBÉM HÁ LEI.

POR: Lígia Barroso Barroso Twitter: @ligiaabarroso

Com a democratização do acesso à grande rede e o surg su rgime iment nto o das re redes des so socia ciais is,, tod todas as as pes pesso soas as pode po dem m te terr os se seus us pe perf rfis is on onliline ne e pu publ blic icar ar su suas as idei id eias as,, co come ment ntar ar o qu que e se pa pass ssa a pa para ra si si,, en entr tre e amigos, ou irrest irrestritament ritamente e ao público. Ocorre qu que e a publ blic icaç ação ão de cer erta tass id ide eia iass e comentários comentár ios vem gerando cada vez mais problemas, a partir do momento em que a liberdade de expr ex pres essã são o é dis disto torc rcid ida a em co come mentá ntári rios os rac racis istas tas,, preconceituosos e ofensivos. Com a re Com rece cent nte e co conf nfus usão ão oc ocor orri rida da na pr prov ova a do ENEM EN EM,, su surg rgir iram am na red rede e co comen mentár tários ios of ofens ensiv ivos os dire di reci cion onad ados os ao aoss no nord rdes esti tino nos, s, e is isso so ab abre re um espaço interessante para refletirmos até que ponto as ferramentas que nos são proporcionadas com a evol ev olu ução tecnol ológ ógiica po pod dem ser ut utiilizada dass irrestritamente. Novembro 2011 • segurancadigital.info


É nec neces essá sári rio o qu que e os us usuá uári rios os da dass re rede dess so soci ciais ais estejam atentos atentos ao fato de que que com a utilização utilização dos recu re curs rsos os te tecn cnol ológ ógic icos os,, o al alca canc nce e da dass of ofen ensa sass proferidas via internet é impensavelmente maior. E ne ness sse e se sent ntid ido, o, ex exte tern rnar ar op opin iniõ iões es de cu cunh nho o prec pr econ once ceit ituo uoso so,, di disc scri rimi mina nató tóri rio o ou ca calu luni nios oso o configura crime, disposto nos arts. 138, 139 e 140 do Código Penal Brasileiro.

O crime de Injúria Qualificada tem pena prevista de reclusão de um a três anos e multa. A pena de recl re clus usão ão ab abra rang nge e o re regi gime me pr pris isio iona nall fe fech chad ado, o, enquan enq uanto to que nas out outra rass mod modal alida idades des de cr crime imess contra a honra, a pena prevista é a detenção, em que fica descartado o regime fechado. Não se admite a utilização de argumentos tais como a liberdade de expressão para justificar tais práticas, uma um a ve vezz qu que e a Co Cons nsti titu tuiç ição ão Fede Federa rall pr prot oteg ege e a dign di gniida dad de da pes esssoa hu hum man ana a e di disspõe que nenh ne nhum uma a le lesã são o ou am amea eaça ça a di dire reit ito o po pode derá rá se serr afastada da apreciação do judiciár judiciário. io.

No caso das ofensas proferidas que consistam na utilização de elementos de raça, cor, etnia, religião, origem ou a condição de pessoa idosa ou portadora de deficiência, há a configuração da chamada Injúria Qualificada, crime previsto no § 3º do Art. 140 do Diante de ta tall pan panor orama ama,, ob obse serv rvaa-se se que o Br Bras asilil Código Penal Brasileiro e que comporta tratamento Diante possui, em seu ordenamento jurídico, estrutura para mais rígido quanto à sua prática. a pu puni niçã ção o de cr crim imes es co cont ntra ra a ho honr nra a co come meti tido doss Injúria atra at ravé véss da in inte tern rnet et,, po pode dend ndo o as ví víti tima mass de ta tais is Art. Ar t. 14 140 0 - In Inju juri riar ar al algu guém ém,, of ofen ende dend ndoo-lh lhe e a delilito de toss re reco corr rrer er ao Ju Judi dici ciár ário io pa para ra di diri rimi mirr ta tais is dignidade ou o decoro: questões. § 3º Se a in injú júrria cons nsis iste te na uti tilliz iza ação de Fonte: http://ne10.uol.com.br/canal/vestibularelementos referentes a raça, cor, etnia, religião, 2012/noticia/2011/10/28/apos-vazamento-do-enemorig or ige em ou a con ond diç ição ão de pe pesssoa ido dossa ou 2011-nordestinos-sao-alvo-de-ofensas-nas-redesportadora de deficiência sociais-306684.php Pena - reclusão de um a três anos e multa. Novembro 2011 • segurancadigital.info

42

COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS Esta seção foi criada para que possamos Davi Rodrigues compartilhar com você leitor, o que andam falando Ficou muito boa a capa da revista, gostei desse da gente por aí... Contribua para com este projeto tabuleiro de xadrez na capa, ficou show...! ([email protected]).

Rubem Hercules

Pessoal gostei muito do material. Curso Analise e Desenvolvimento de Sistemas e Pos Graduando em Redes de Computadores com Enfase em Seguraça.. Esse material vem somar com o conhecimento que estou adquirindo.. Parabens.

Na espera...visual espera...visual ficou show de bola!

@hostdimebr Baixe já (gratuitamente) a versão de Setembro/11 da Revi Re vist sta a Se Segu gura ranç nça a Di Digi gita tal: l: bi bit. t.ly ly/m /mJS JSHH HHK K vi via a @_SegDigital

Luis Isique

@jedidomal

Gostaria de parabenizá-los pelo trabalho da revista. Já está como indicação no meu site, abraços

Caraca Cara ca,, eu pe pedi di um ar arti tigo go pr pro o @_ @_Se SegD gDig igit ital al e publicaram mesmo.

daniel cordeiro

@yuridiogenes

Parabe Para beni nizo zo a aq aqui uipe pe e os co cola labo bora rado dorres pe pelo lo A Revista @_SegDigital de Setembro traz o livro de exelente trabalho. Security+ Securit y+ (www (www.secur .securityplus ityplusbr br.org) .org) como destaqu destaque. e. espero que continui assim.. assim.... Obrigado a tds da Revista pelo apoio.

Welton Vaz de Souza

@kerlei

Eu quero agradecer pela excelente iniciativa, era o Boa leitura! RT @4LinuxBR Lançada 2ª edição da que muitos de nos trabalhadores trabalhadores do TI precis precisava. ava. Revista Revi sta Seg Seguran urança ça Digi Digital tal @_S @_SegDi egDigita gital.l. Acesse Acesse Valeu a pena, cada byte baixado. http://va.mu/HF http://va.mu/H F jp e realize seu download.

Lex Alek Aleksandr sandree

@4LinuxBR

Parabenizo a todos pela excelente iniciativa. Votos de que alcancem sucesso!

Lançada Lança da 2ª ed ediç ição ão da Re Revis vista ta Se Segur guran ança ça Dig Digita itall @_SegDi @_S egDigita gital.l. Ace Acesse sse va.m va.mu/H u/HF F jp e realize seu download.

Lex Alek Aleksandr sandree Parabenizo a todos pela excelente iniciativa. Votos de que alcancem sucesso! Novembro 2011 • segurancadigital.info

43

NOTÍCIAS

Android perto do topo O anú núnc ncio io fo foii fe feit ito o pe pella pr próp óprria Googl Go ogle, e, qu que e ind indic ica a que at ating ingiu iu os 200 20 0 mi milh lhõe õess de at ativ ivaç açõe õess do se seu u sistema ope perrativ ivo o Android id,, um resultado que o torna cada vez mais perto da Apple, que em Outubro, quando disponibilizou a venda do iPhone 4S, tinha chegado aos 250 milhões de iOS activados.

especialistas o tablet em questão tem um preço de fabricação de 2 dólares mais caro do que o preço de venda.

Intel apresenta teraflops

co-p -prrocessador

de

1

A Intel apresentou o seu Knights Corner Cor ner,, um co copr proc oces essa sador dor que permit per mite e al alca canç nçar ar a mar marca ca de 1 teraflops - 1 trilhão de operações de ponto flutuante por segundo. Lançado Fedora 16 proc oces essa sador dor em qu ques estão tão po poss ssui ui 50 nú núcl cleos eos e A ve vers rsão ão es está táve vell do Fedo Fedorra 16, O pr tran anssferênc ncia ia de da dad dos de 32 gi giga gab bytes po porr codi co dino nome me "V "Ver erne ne", ", se en enco cont ntra ra tr disponível para download. Ele inclui segundo. os amb ambien ientes tes GNOME GNOME 3. 3.2 2 e KD KDE E Movime imento nto Occ Occupy upy Fla Flash sh que des destro tronar nar o 4.7, 4. 7, Lib Libre re Of Offic fice e 3.4 e ke kern rnel el 3.1 3.1.. Mov player yer da Ado Adobe be Para mais informações acesse: pla Inspirados no movimento http://fedoraproject.org/.. http://fedoraproject.org/ Occu Oc cupy py Wal alll Str tree eet, t, no qu qual al protest prot estante antess inv invadir adiram am as rua ruass Hack'n rio de Nova York para se posicionar O Ha Hack ck'n 'n Ri Rio o é um uma a in inic icia iati tiva va da contra a corrupção e a Comun Co munid idade ade de So Softw ftwar are e Liv Livre re do desigu igual alda dade, de, um gr grup upo o de des desenv envol olve vedo dore ress de Rio de Janeiro, conhecida como SL- des RJ em conjunto com suas sites e aplicativos criou o Occupy Flash. O ob jetivo é comunidades amigas acabar com o uso da tecnologia da Adobe, forçando (http://softwarelivre-rj.org/comunidades http://softwarelivre-rj.org/comunidades)), que tem a empresa a investir de vez na linguagem HTML5. como apoio jurídico a Associação Libre de Leia mais: http://migre.me/6c3kd Tecn ecnolog ologias ias Abertas Abertas (AL (ALT TA). O eve evento nto des deste te ano acont ac ontec ecer erá á nos dia diass 02/ 02/12 12 a 03 03/12 /12.. Sa Saiba iba mai mais: s: Híbrido de notebook e tablet da HP chega em 2012 http://hacknrio.org/apresentacao O HP Pav avililllion dm3 te tem m de dessign ultrafino com 18 mm de espessura, Novo Andr Android oid não terá terá flash bateria com duração de até 9,5 horas O Adobe Flash Player Player será eliminado e pesa 1,49 kg. O ultrabook da HP do Android. A Google confirmou que consegue iniciar o Windows em 25,1 a próxima versão do sistema operacional, a Ice Cream Sandwich, segundos, e retorna da hibernação em apenas 4 não virá com o plugin do Flash segundos. Essa máquina é equipada com instalado. Sendo assim à "bola da vez" fica por conta processador Core i5 de 1,6 GHz, 4 GB de RAM, placa de vídeo Intel HD Series e disco rígido com do HTML 5 que promete muitas novidades. 128 GB de capacidade. O teclado tem iluminação de fund fu ndo o pa para ra tr trab abal alha harr em am ambi bien ente tess de ba baix ixa a Kindle Fire O novo produto da gigante de varejo luminosidade. online Amazon, o Kindle Fi Fire, re, um dos Quer contribuir com esta seção? tabl ta blet et co cons nsid ider erad ado o o ma mais is ba bara rato to do mercado mer cado,, pare parece ce est estar ar deix deixando ando ess essa a giga gan nte com preju juíízos. Seg egu und ndo o Envie sua notícia para nossa equipe! Novembro 2011 • segurancadigital.info

44 PARCERIA Segurança Digital

PARCEIROS

Venha fazer parte dos nossos parceiros, que apoiam e contribuem com o Projeto Segurança Digital. Digital. Novembro 2011 • segurancadigital.info

ARCERIA A KRYP KRYPTUS TUS E Segurança Digital 45 PARCERI

Desenvolvemos soluções líderes em segurança...

americana Safenet). Recentemente, o ASI-HSM foi o primeiro HSM a ser homologado pelo ITI no seu nível máximo de segurança (MCT7 NSH3), promovendo um passo importante na indústria de hardware criptográfico brasileira.

A KRYPTUS é uma empr empresa esa 100% bra brasil sileir eira, a, focada em pesquisa, desenvolvimento, integração e fabricação de hardware e software seguros para aplicações críticas e soluções de Segurança da Informação. É voltada, prin pr inci cipa palm lmen ente te,, pa para ra cl clie ient ntes es qu que e pr proc ocur uram am solu so luçõ ções es pa para ra pr prob oble lema mass on onde de al alto to ní níve vell de segu se gura ranç nça a e dom domín ínio io tec tecnol nológ ógic ico o sã são o fa fator tores es fundamentais.

No âmbi âmbito to gove governam rnamenta ental,l, sol soluçõe uçõess KR KRYPT YPTUS US protegem sistemas, dados e comunicações tão críticas como a Infraestrutura de Chaves Públicas Bras Br asililei eirra (I (ICP CP-B -Bra rasi sill), a Ur Urna na Ele letr trôn ônic ica a Brasileira e Comunicações Governamentais.

Fundada em 2003, na cidade de Campinas, um Fundada dos principais polos tecnológicos do Estado de São Paul Paulo, o, a KR KRYPT YPTUS US dese desenvo nvolve lve,, inte integra gra e impla imp lant nta a um uma a gam gama a de so solu luçõ ções es de har hardw dwar are, e, firm fi rmwa ware re e so soft ftwa ware re pa para ra cl clie ient ntes es Es Esta tata tais is e Privados variados, incluindo desde semi se mico cond ndut utor ores es at até é si sist stem emas as co comp mple lexo xoss de gest ge stão ão de pro proce cess ssos os co com m ce cert rtifific icaç ação ão dig digita ital.l. Conta hoje com um corpo técnico de mais de 20 enge en genh nhei eiro ross e pe pela la pr prox oxim imid idad ade e fí físi sica ca e de formação, mantém um vínculo muito forte com o Instituto de Computação (IC) e a Faculdade de Engenharia Elétrica e de Computação (FEEC) (FEEC) da Univers niversidade idade Estadual de Campinas (UNICAMP), (UNICAMP), mant ma nten endo do em se seu u qu quad adro ro de fu func ncio ioná nári rios os:: 2 douto do utora rando ndos, s, 3 mes mestr tres es e 4 me mest stra rando ndoss pel pela a mesma instituição. A KRYPTUS foi a pioneira na área de semico sem icondut ndutore oress par para a apli aplicaç cações ões cri criptog ptográf ráficas icas,, ao desenvolver e introduzir o primeiro proc pr oces esssad ador or ac acel eler erad ador or AES do me merc rcad ado o bras br asililei eiro ro,, e é ta tamb mbém ém co cons nsid ider erad ada a lí líde derr no merc me rcad ado o br bras asililei eiro ro de Ha Hardw rdware are Sec Securi urity ty Modules (HSMs), tendo o seu volume de vendas duas du as ve veze zess ma maior ior qu que e a se segu gunda nda co colo loca cada da (a

Na Eleição Geral Brasileira de 2010, mais de 200.000 200. 000 Urn Urnas as Ele Eletrô trônic nicas as Bra Brasil sileira eirass com a arqui uittet etu ura T-DRE, dessenvolvida de pella pe KRYPTUS, entraram em operação, garantindo altos níveis de segurança, minimização riscos de fraude e total e completo domínio tecnol tec nológic ógico o do Tr Tribun ibunal al Supe Superior rior Ele Eleitor itoral, al, a Autorid Aut oridade ade Ele Eleitor itoral al Bra Brasil sileira eira.. A sol soluçã ução o TDRE desenvolvida pela KRYPTUS tem caráter ino novvador a nível mu mund ndiial al,, send ndo o assim reco re conhe nheci cida da na pr pres estitigia giada da co confe nferê rênc ncia ia de segurança ACSAC 2010. Conheça alguns dos clientes da KRYPTUS: Ministério Ministé rio das Rel Relaçõ ações es Ext Exteri eriores ores,, Mini Ministér stério io da Defesa, Exército Brasileiro, Tribunal Supeior Eleitoral, Eleitor al, Receita Fede Federa ral,l, Po Polílíci cia a Mil Milita itarr do Estado de São Paulo, Lucent, Itautec, Itautec, e outros. Acesse o Site: http://www.kryptus.com Novembro 2011 • segurancadigital.info

ARCERIA A 4Linux E Segurança Digital 46 PARCERI

Linux, sinônimo de liberdade...

este sistema aproveita muito bem os recursos do hardware. O consumo de memória RAM é de ape ap ena nass 49 498 8MB com o sistem ema a tot ota alment nte e funcionall e com a interfa funciona interface ce 3D habilita habilitada. da.

Devido ao meu grande aproveitamento no curso Durante toda a minha vida fui usuário de sistema Linux Essentials resolvi também realizar o curso, System Adminis Administration. tration. Windows, primeiro utilizei o Windows 98, depois Linux System XP, Vista e por ultimo o Windows 7. Os cursos que estou realizando na 4Linux são a dista tanc ncia ia (E (EAD AD), ), mas dei deixo xo cl clar aro o que ta tanto nto o Sempre me senti como um pássaro enjaulado, dis curs rso o pr pres esen enci cial al co como mo EA EAD D of ofer erec ecid idos os pe pela la preso aos termos de “contrato/licença contrato/licença”” da cu Microsoft. O que quero disser é que no Windows 4Linux possuem a mesma qualidade e aproveit veitamen amento. to. Eu pess pessoalm oalmente ente pref prefiro iro faz fazer er não tinha liberdade para fazer as modificações apro que qu e se semp mpre re titive ve vo vonta ntade, de, mex mexer er no noss ar arqui quivo voss EAD, assim posso estudar no conforto do meu escritório rio ou da minha casa. internos do sistema, fuçar para entender como o escritó sistema funcionava, etc. Por al Por algu guma mass ve veze zess me av aven entu ture reii a ut utililiz izar ar o GNU NU//Lin inu ux, este por sua vez me agr gra adou bast ba stant ante. e. Ut Utililiz izei ei dis distr tribu ibuiç ições ões co como, mo, De Debia bian, n, Fedora, Fedo ra, Ubuntu, entre outras. Mas me via muito preso ao Windows, tinha a sensação que nunca iria conseguir migrar para outro sistema sistema.. Mas tudo isso mudou quando terminei de fazer o curs cu rso o de Lin Linux ux Es Esse sent ntial ialss na 4Li 4Linux nux.. Aquela Aquela visão de que nunca conseguiria largar o Windows mudou completamente. Quando terminei o curso em questão, formatei minha máquina (notebook) e ins insta tale leii so somen mente te o Ubu Ubuntu ntu (u (uma ma dis distr tribu ibuiç ição ão Linux), não mantive nem uma partição Windows, como alguns amigos sugeriram. E pa para ra ser sin ince cero ro nã não o si sint nto o fa fallta da daqu quel ele e sist si stem ema a op oper erac acio iona nall ch cham amad ado o Wi Wind ndow ows. s. No Ubuntu tenho total liberdade para fazer o que eu quiser, a cada dia que passa aprendo algo novo que me faz gostar cada vez mais deste sistema fantástico.

POR: FÁBIO JÂNIO JÂNIO LIMA FERREI FERREIRA RA E-mail: Email: [email protected] Twitter: @_SDinfo

Outro grande fator que me agrada muito é que Novembro 2011 • segurancadigital.info

ARCERIA A HostDim HostDime e E Segurança Digital 47 PARCERI

Chrome x Fi Firefox... refox...

navegador da Microsoft e 14% para o Fi Firefox. refox. Atualmente o Internet Explorer ainda lidera com 41,6 41 ,6% % de me merc rcad ado, o, se segu guid ido o do Fi Fire refo foxx co com m 26,7 26 ,79% 9% e do Ch Chro rome me co com m 23 23,6 ,61% 1%.. Ap Apar arec ece e ainda na lista o Safari com 5,6% e o saudoso Opera com 1,7%.

Google Chrome deve passar Firefox até o final do ano Desde que foi lançado lançado em Setembro de 2008, o Google Chrome tem gerado expectativas quanto à sua adoção e capacidade de crescimento. Com uma interface “limpa limpa”” e com complementos que deix de ixam am o na nave vegad gador or co com m fun funci ciona onalilidad dades es qu que e também podem ser encontradas para o Mozilla Fire Fi refox fox,, o bro brows wser er do Go Googl ogle e ga ganha nha pel pela a su sua a leve le veza za e ca capa paci cida dade de de rá rápi pido do us uso o se sem m qu que e sobrecarregue os recursos do computador.

De olho no futuro Se co cont ntin inua uarr na me mesm sma a “tocada”, o Google Chrome passará o Fi Firefox refox até o final do ano e tende a ultrapassar o Internet Explorer até o final de 2011. A análise da nossa equipe é que o Chrome ainda não liderará o mercado em 2012, passando o IE apenas no primeiro semestre de 2013. O boom de crescimento do navegador do Goog Go ogle le te tend nder erá á a se es esta tabi bililiza zarr no in iníc ício io do segun se gundo do se seme mest stre re do pr próx óximo imo an ano, o, ten tendo do em vista o seu conhecimento por grande parte dos usuários.

Ao completar 3 anos do Chrome, a companhia iniciou uma campanha de marketing e divulgação do pr prod odut uto o no Br Bras asilil,, pa patr troc ocin inan ando do o ho horá rári rio o nobre de emissoras como a Rede Globo, com com ome erciai aiss int ntu uit itiivos que de dem mon onsstram a capacidade capaci dade de utiliza utilização ção da platafo plataforma rma – além de sua su a int integr egraç ação ão co com m out outro ross pr produ oduto tos, s, co como mo o Gmail e YouTube (veja o vídeo em nosso blog: http://blog.hostdime.com.br). Ciente da expansão de mercado do seu conc co ncor orrren ente te,, a Mo Mozi zilllla a mo modi difi ficcou al algu guma mass O crescimento funcionalidades do Fi Firefox, refox, principalmente o seu Segundo dados disponibilizados pela consultoria pe peso so e us uso o de re recu curs rsos os do sis iste tema ma.. Mu Muit itas as StatCounter, o Google Chrome teve um re recl clam amaç açõe õess de us usuá uári rios os qu que e mi migr grar aram am pr pro o crescimento de mais de 50% apenas em 2011. Ch Chro rome me ti tinh nham am es este te um de se seus us pr prin inci cipa pais is Quan Qu ando do an anal alis isad ados os os úl últi timo moss 12 me mese ses, s, o motivos. crescimento é ainda maior: mais de 100%, o que garante a terceira posição global para o produto. E no Brasil, como estamos? Por outro lado, o Internet Explorer e o Fi Firefox refox têm Os brasileiros, brasileiros, apesar do comercial ter começa começado do cada vez menos usuários, tendo respect respectivament ivamente e a ci circ rcul ular ar ago agora ra em Se Sete tembr mbro, o, já ad adota otara ram m o 12% e 11% de perda neste ano. Analisando os Chrome como o seu navegador. Em maio deste últimos 12 meses, a perda é de 20% para o ano o Fi Firefox refox deixou a segunda posição, sendo Novembro 2011 • segurancadigital.info

ARCERIA A HostDim HostDime e E Segurança Digital 48 PARCERI ultrapassado pelo seu principal concorrente. Atualmente o Internet Explorer está sendo usado porr 43, po 43,6% 6% dos br bras asilileir eiros os,, se segui guido do do Go Googl ogle e Chrome com 31,8% e Fi Firefox refox com 23,04%. Ainda aparecem na lista o Safari com 0,8% e o Opera com 0, 0,4% 4% do me merc rcad ado. o.E E vo você cê,, qu qual al é a sua preferência? Aqui na HostDime a briga é boa! Há os col olab abor orad ador ores es qu que e de defe fend ndem em com fe ferv rvor or o crescime men nto do Goog oglle Chrome e os que retrucam levantando a bandeira do Fi Firefox. refox. Na sua su a op opin iniã ião, o, qu qual al é – atualmente – o me melh lhor or navegador web?

Responda em: http://blog.hostdime.com.br/tecnologia/googlechrome-deve-passar-firefox-ate-o-final-do-ano/

Artigo escrito pela Equipe HostDi me Brasil

Conheç Conh eça a os no noss ssos os ser ervi viçços e sa saib iba a on onde de hospedar o seu site com qualidade, segurança e alta disponibilidade: www.hostdime.com.br

POR: HostDime Twitter: @HostDimeBR Facebook: www.facebook.co www.facebook.com/DimeBR m/DimeBR YouTube: www.youtube.com/HostDimeBR Novembro 2011 • segurancadigital.info

Segurança Digital 3ª Edição - Novembro de 2011

www.segurancadigital.info www .segurancadigital.info @_SegDigital

segurancadigital


POR: Cláudio Dodt E-mail: ccdodt@gmail [email protected] .com Blog: www.claudiododt.wordpress.com br.linkedin.com/pub/cl% br.link edin.com/pub/cl%C3%A1udio-dodt/5 C3%A1udio-dodt/5/1a4/723 /1a4/723

Planos Plan os de rec ecup uper eraç ação ão de de dessas astr tres es (P (PRD RD)) e importantes e que pode simplesmente acabar com o continuidade de negócios (PCN) nos preparam para mais bem elaborado dos planos. Para isso vou pedir lilida darr co com m cr cris ises es e po pode dem m se serr re resu sumi mido doss co como mo a ajuda de minha série preferida: preferida: Os Simpson Simpsons. s. dive di vers rsas as aç açõe õess pr prev even enti tiva vass ou co corr rret etiv ivas as sã são o sistematicamente estabelecidas e condensadas em um plano que, quando ativado, deve reger ações de pessoas pess oas cha chave ve da org organiz anizaçã ação o e seu seuss res result ultados ados podem simplesmente ser a diferença se a organização “vai estar lá amanhã” amanhã”. Entreta Entr etanto nto,, co como mo já diz dizia ia her herrr Helmuth Helmuth:: “Nenhum plan pl ano o de ba bata tallha so sobr brev eviv ive e ao co cont ntat ato o co com m o inimigo.”” Es inimigo. Esta ta má máxi xima ma do es estr trat ateg egis ista ta po pode de se serr perfeitamente aplicada a qualquer cenário de crise onde sempre vai existir um certo nível de incerteza. Volt oltando ando ao tópi tópico co des deste te art artigo, igo, exi existem stem div divers ersos os motiv mot ivos os pel pelos os qua quais is mes mesmo mo o mel melho horr do doss pl plano anoss pode falhar. Muitos planos falham desde o seu início tendo uma análise de riscos ou mesmo uma análise de impacto nos neg negóc ócios ios,, tóp tópic icos os que es esta tarã rão o nas pr próx óxima imass edições, mal elaboradas. Hoj oje e vamo moss fo foccar em um dos aspec ecttos ma maiis

Dillber Scott Ada Scott Adams ms – Di ertt : Ca Cart rtoo oon n am ampl plam amen ente te divulgado mas que não tem igual quando o assunto  mostrar a fragilidade de um PRD.

Mr. Burns e a simulação de incêndio

Se você possui acesso a internet neste momento, recomendo parar esta leitura por alguns segundos e darr uma ol da olh had adin inh ha ne nesste vídeo do epis isó ódio “A montanha da loucura” loucura” dos Simpsons.

Janeiro 2012 • segurancadigital.info

20 ARTIGO Segurança Digital Se você não tem acesso a internet, ou está sem paciência, segue um resumo: Um belo dia, estando entediado no trabalho o Sr. Burns – dono da usina nuclear de Springfield – resolve agitar as coisas e escolhe um cenário comum a qualquer empres empresa a – um “vel elho ho e bo bom m” fir fire e dr drililll (t (tes este te de ev evac acua uaçã ção o de incêndio). O qu que e se vê a se segu guir ir sã são o um uma a sé séri rie e de tr trap apal alha hada dass no es esti tilo lo Si Simp mpso sons ns culminando em Homer trancando a maioria dos empregados e perguntando se tinha ganho o prêmio por ser o primeiro a sair do escritório. Nada mais longe da realidade, correto? Não. Posso atestar em primeira mão que já conduzi um teste semelhante em uma instituição financeira que resultou no “Homer local” local” pegando uma vassoura para tentar silenciar o alarme de incêndio que o estava importunando. Nice! Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais motivos de falha (que acredit acredito o serem os mesmos do meu exemplo real): real): Erro I: Nem os melhores planos duram para sempre

Primeiramente vamos olhar os cenários de teste a disposição de Mr. Burns: • Alerta de derretimento (do reator nuclear) • Ataque de cachorros loucos • Ataque de Zepelim • Evacuação de Incêndio Como vimos em Fukushi Fukushima ma,, um alerta de derretimento é obviamente pert pe rtin inen ente te a um uma a us usin ina a nu nucl clea earr e qu quan anto to a ca cach chor orro ross lou ouco coss realmente realmen te não sei o que dizer. dizer. Porém, Poré m, o úl últim timo o at ataqu aque e de Zepelim fo foii re regis gistr trado ado em 19 1940 40 ain ainda da durante a segunda guerra mundial. Eis o primeiro grande erro. Assumindo que a série dos Simpsons se passava nos anos 90, acredito que deixar um plano que caiu em desuso por 50 anos não possa ser considerado uma boa prática. Infelizmente, este cenário me lembra muito mais a realidade do que ficção pois como consultor é algo com que me deparo em empresas em diversos portes com uma frequência que considero nada menos que assustadora.

Janeiro Ja neiro 2012 • segurancadigital.info

21 ARTIGO Segurança Digital Erro dois: Estamos preparados!

Vamos a uma breve lista das pequenas trapalhadas trapalhadas do vídeo dos Simpsons: 1. Carl pensa que o alarme de incêndio é o micro-ondas avisando que as pipocas estão prontas 2. Lenny espera o café ficar pronto antes de sair 3. Vários empregados correm em aparente desespero desespero 4. Um empregado usa um extintor para “se defender” defender” 5. Homer volta a seu escritório escritório para buscar um retrato 6. Um empregad empregado o corre desesperado em círculos sem tomar nenhuma outra ação aparente 7. O plano de evacuação deveria ser concluído em 45 segundos, mas o Smiters não sabe informar quanto tempo levou, pois o cronome cronometro tro só marca até 15 minutos E a cereja do bolo:

8. Homer (que para quem não sabe é inspetor de segurança) tranca os demais empregados e pergunta pergunt a se ganhou um premio! Em resumo o que estamos vendo é:

Novamente devo dizer que os erros acima apresentados não poderiam estar mais próximos da realidade. Dentre os muitos exemplos que já vi pessoalmente, ressalto o caso de uma funcionaria que não queria deixar o escritório sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram para buscar algum tipo de pertenc pertence e pessoal ou da empresa. Esta é a infeliz realidade dos planos informais que se baseiam na intuição das pessoas. A criação de uma cultura institucional é a chave de sucesso de qualquer PRD ou PCN. Lembre-se sempre: mesmo com uma boa preparação, a reação dos seres humanos é um dos pontos mais imprevisíveis em momentos de crise e em especial durante desastres.

Como escapar dessas armadilhas? Presumir é a chave do insucesso e a base para criação de planos ineficazes. 1. Presumir que algo é conhecido, quando na verdade ninguém conhece. conhece.

2. Presumir que algo é simples, quando não o é. E especialmente: 3. Que existe alguém alguém competente competente tomando conta deste deste algo!


22 ARTIGO Segurança Digital Planos de recuperação de desastres ou de continuidade de negócios são elementos “vivos vivos”” e devem ser tratadoss desta forma, não basta criar um bom plano e acreditar que sua organização tratado organização estará protegida.

PDCA: ABNT NBR 15999-1

Qualque Qual querr bom pr profi ofiss ssion ional al de co cont ntinu inuid idade ade de ne negóc gócio ioss va vaii lh lhe e gar garant antir ir qu que e os doi doiss as aspe pect ctos os mai maiss importantes importan tes para garantir a pertinên pertinência cia de um PCN a sua organiz organização ação são revisão e treinamen treinamento. to. A dinâmica da maioria das empresas acarreta em aquisições, fusões, novos negócios, entrada e saída de colaboradores. Planos devem ser revisados com uma periodicidade regular (recomendo intervalos não maiores que 12 meses) e adequadamente comunicados comunicados a todos os indivíduos envolvidos. envolvidos. Testes periódicos são uma parte essencial, mas cuidado, não faça como o Mr. Burns que aprendeu da forma mais difícil: um teste mal planejado pode ter um impacto bastante similar a um desastre real!

--http://www.youtube.com/watch?v=ZHRWg70apMM http://en.wikipedia.org/wiki/Helmuth_von_Moltke_the_Elder http://en.wikipedia.org/wiki/Mountain_of_Madness http://www.abntcatalogo.com.br/norma.aspx?ID=59370



O MUNDO VIRTUAL É MAIS REAL DO QUE PARECE!!! BILHÕE BILH ÕES S DE PE PESS SSOA OAS S CO CONE NECT CTAD ADAS AS,, 1 BI BILH LHÃO ÃO DE NO NOV VAS PÁ PÁGI GINA NAS S CR CRIA IADA DAS, S, 2. 2.35 350. 0.00 000 0 TWEE TW EETS TS,, 1. 1.90 900. 0.00 000 0 ME MENS NSAG AGEN ENS, S, 1. 1.20 200. 0.00 000 0 CO COME MENT NTÁR ÁRIO IOS S NO FAC ACEB EBOO OOK K DI DIÁR ÁRIO IOS S E MILHARES DELES SÃO SOBRE VOCÊ!!! POR: Julio Carvalho Linkedin: http://br.linkedin.com/in/julioinfo E-mail: julioinfo@gmail [email protected] .com

Ain ind da no in iníício da INTERNET, as prime meiiras vulnerabilidades foram descobertas e exploradas por pesquisadores. Com a liberação da tecnologia para o resto do mundo, novas vulnerabilidades doccume do men ntad ada as e que aind nda a nã não o ha havviam sido corrigidas pelas fabricantes ou pelos admin adm inist istra rado dore res, s, pas passa sara ram m a se serr ex expl plor orada adass po porr jovens que possuíam ótimos conhecimentos tecnológicos.

as mais diversas, os jovens que brincavam com a computação computaç ão no início da INTERNET estão adultos, o desenvolviment desenvo lvimento o das tecnologias e a disponibi disponibilidade lidade de in info form rmaç açõe õess co cont ntri ribu buem em la larg rgam amen ente te pa para ra a proliferação das ameaças e ataques virtuais.

No primeiro momento, o que esses jovens desejavam era apenas vangloriar-se de seus feitos, eles desfiguravam sites ou mandavam mensagens eletrôn elet rônicas icas fing fingindo indo ser serem em outr outras as pes pessoas soas.. Pou Pouco co temp te mpo o de depo pois is os pr prim imei eiro ross có códi digo goss ma malilici cios osos os começaram a surgir, mas ainda com o intuito de diversão. Hoje as motivações para os ataques são

Neste Nest e ar arti tigo go fa fallar arem emos os ap apen enas as da dass am amea eaça çass emocionais, nas próximas edições falaremos sobre as dem demais ais se sempr mpre e in infor forma mando ndo co como mo ev evitá itá-l -las as ou minimizar seu impacto.

Podemos destacar as principais motivações para os ataq at aque uess co como mo se send ndo o em emoc ocio iona nais is,, de dest stru ruti tiva vas, s, financeiras, políticas, militares e religiosas.

O que podemos falar sobre motivações emocionais? Um tér términ mino o ou de desc scob ober erta ta de pro probl blem emas as em um Janeiro Ja neiro 2012 • segurancadigital.info

24 ARTIGO Segurança Digital relaci rela ciona onamen mento, to, uma de demis missã são o não es esper perad ada a (e pes pesso soas as pr prec ecis isam am ap apre rend nder er a lilida darr com se seus us cons co nside idera rada da ind indev evid ida) a),, cl clie iente ntess ou co comer mercia ciant ntes es problemas. Independente da opinião de cada um, o insatisfeitos, ou, o agora tão falado, cyberlbullying. fato fa to é qu que e o pr prob obllem ema a ex exis iste te e pe pess ssoa oass es estã tão o sofrendo cada vez mais com ele. Precisamos então Não Nã o sã são o po pouc ucos os os ca caso soss de pe pess ssoa oass qu que e sã são o pensar em como evitar que o bullying ocorra, como demitidas ou tem seu relacionamento terminado por percebe perceberr que uma pessoa sofreu danos psicológicos psicológicos informações publicadas nas redes sociais ou que se com as “agressões agressões””, e não perder vidas no decorrer ving vi ngam am de se seus us ch chef efes es e pa parc rcei eiro ross at atra ravé véss da dass do pro proble blema, ma, e com como o evi evitar tar pub public licar ar info informa rmaçõe çõess mesmas redes sociais. Até mesmo as empresas de que possam ser utilizadas contra nós. RH tê têm m av aval alia iado do os pe perf rfis is na nass re rede dess so soci ciai aiss de candidatos a vagas. O us uso o ind indis iscr crimi iminad nado o da dass red redes es so soci ciais ais tem fe feito ito com que essa prática aumente assustadoramente, Crianças, adolescentes e adultos, sofrem os pa pais is de deve vem m fi fica carr at aten ento toss ao qu que e se seus us fi filh lhos os diar di aria iame ment nte e em to todo do o mu mund ndo o de at ataq aque uess de fazem quando utilizam o computador. Os mesmos “colegas colegas”” ou de dessco conh nhec ecid idos os co com m me mens nsag agen enss cuidados com pedofilia devem ser tomados a fim de ofens of ensiv ivas as re rela laci cion onada adass às su suas as ca cara ract cter erís ístic ticas as manter a proteção deles e de evitar que possam ser físicas ou psicológicas. causadores de problemas também. Não é incomum os pais se surpreenderem com “coisas coisas”” realizadas Por incrível que pareça isso é muito comum, todos pelos seus “filhinhos queridos” queridos”. fazem ou fizeram e sofrem ou sofreram com isso em maiores ou menores proporções. Aquele seu amigo Os cas asos os po pode dem m se to torn rnar ar ma mais is ag agrres essi sivvos os,, de anos e anos (ou você mesmo), que é negro ou dependendo do estado emocional que cause “raiva raiva”” muito branco, gordo ou muito magro, com orelhas ou “de dese sejo jo de vin vingan gança ça”” no ind indiví ivídu duo. o. Já hou houve ve gran gr ande des, s, ca cabe belo lo en engr graç açad ado o ou qu qual alqu quer er ou outr tra a casos em que pessoas que não ficaram satisfeitas característica que sirva de “brincadeiras brincadeiras””, que sofria co com m o ate atendi ndimen mento to pr pres esta tado do por ve vende ndedor dores es em com suas gozações, pode continuar sofrendo com lojas e resolveram se vingar divulgando informações isso mesmo depois de adulto. falsas ou críticas sobre o vendedor ou até mesmo invadindo a loja com um carro. Em um caso grave, O problema atual é que com o avanço da tecnologia um vizinho invadiu a rede wi-fi de outro e acessou e a possibilidade de se tornar anônimo, as divers diversos os sites de pornografia e pedofili pedofilia. a. Após quase “agressões agressões”” passaram a ser registradas e, causar a prisão e término do casamento da vítima, consequ con sequente entement mente, e, divu divulga lgadas das para todo todoss (te (textos xtos,, ac acabo abou u se sendo ndo de desc scob obert erto o por uma inv inves estig tigaç ação ão fotos fo tos e ví vídeo deos) s),, nã não o fifica cando ndo re rest stri rita ta ape apenas nas aos policial que foi realizada. envolvidos (caçador e caça). Para Pa ra ex exem empl plif ific icar ar os pr prob oble lema mass de desc scri rito tos, s, no noss Há décadas, diversas Escolas e Universidades do úl últi timo moss me mese sess ti tivvem emos os as seg egui uint ntes es no notí tíci cias as mund mu ndo o tê têm m ca caso soss de as asssas assi sina nato toss em ma mass ssa a divulga divulgadas das nos princip principais ais jornais e revist revistas as do país. caus ca usado adoss por jov jovens ens que “sofreram sofreram”” bul bullyi lying ng por 1. Dono de churrascaria usa Fac Facebook ebook e Twitter seus se us co cole legas gas.. In Infel feliz izmen mente te no Br Bras asilil titive vemos mos um da em empr pres esa a pa para ra xi xing ngar ar cl clie ient nte e qu que e nã não o de deu u caso ca so sim simililar ar.. Se o bul bully lying ing co contr ntra a es essa sass pes pesso soas as gorjeta - [1] [1];; realmente realmen te ocorreu ou não, é outra questão. Muitos fal Muitos falam am qu que e ant antiga igamen mente te es esse se tip tipo o de co cois isa a não acontecia, que isso é uma frescura e que as

2. Cyberbullying cresce mais que bullying comum - [2] [2];;



25 ARTIGO Segurança Digital 3. Apple demite funcionário funcionário por comentário comentário negativo no Fac Facebook ebook - [3] [3];; 4. Fac Face ebook é causa de um em cada três divórcios na Inglaterra - [4] [4].. Esses são apenas alguns exemplos de casos em que informações publicadas na grande rede podem caus ca usar ar bas bastan tante te es estr trag ago. o. Em al algun gunss ca caso soss ma mais is graves pessoas são mortas ou se suicidam devido à má receptividade de publicações ou por agressões sofridas. Mui uitto se fa falla em pr priv iva acidad ade e, mas todo doss se esquece esq uecem m del dela a quan quando do pos postam tam seus com comentá entários rios sobr so bre e se sent ntim imen ento tos, s, fe fest stas as ou am amig igos os,, qu quan ando do postam fotos de viagens lindas e maravilhosas (e o ladr la drão ão ap apro rove veita ita par para a inv invad adir ir e ro rouba ubarr su sua a ca casa sa), ), quan qu ando do el elog ogia iam m ou cr crit itic icam am es esta tabe bele leci cime ment ntos os comerciais e produtos. Opiniões, percepções, sentimentos e capacidade de decis dec isão ão e co comun munic icaç ação ão sã são o os que nos def define inem m como seres hu hum man ano os. Precisamo moss sim no noss expr ex pres essa sarr so sobr bre e o qu que e no noss ag agra rada da ou nã não, o, ma mass prec pr ecis isamo amoss es esta tarr pr prepa epara rados dos pa para ra as pos possí síve veis is consequências. Se você não quer ser avaliado por algo que pense, então não comente. OK, OK, OK, precisamos ficar atentos e minimizar possí pos síve veis is co confl nflito itos, s, mas co como mo ten tenta tarr ev evita itarr qu que e sejamos um possível alvo? - Evite causar a raiva ou conflitos com outras pessoas, pessoa s, o diálogo é sempre a melhor solução; solução; - Ative a segurança segurança da sua rede wi-fi; wi-fi; - Tenha softwares de segurança no seu comp co mput utad ador or (a (ant ntiv ivir irus us,, fi fire rewa wallll,, co cont ntro role le de conteúdo); - Controle o acesso a internet de crianç crianças; as; - Fiqu Fique e atendo a mudança mudançass de comport comportamento amento

de filhos e amigos; - Evite publicar informações de viagens durante a viagem, caso sua casa esteja vazia; - Ev Evitite e cr críti ítica cass a es estab tabel elec ecime imento ntoss enq enquan uanto to estiver neles ou sem possuir provas; - Fal Fale e com um advogado caso sofra ameaças ou ofensas constantes; - Registre um B.O. caso sinta que corre perigo real.

[1] Link http://www.techtudo.com.br/noticias/noticia/2012/ 01/dono-de-churrascaria-usa-facebook-e-twitterda-empresa-para-xingar-cliente-que-nao-deugorjeta.html [2] Link http://info.abril.com.br/noticias/internet/cyberbullyii http://info.abril.com.br/noticias/internet/cyberbully ng-cresce-mais-que-bullying-comum-2211201123.shl [3] Link http://g1.globo.com/tecnologia/noticia/2011/11/ap ple-demite-funcionario-por-comentario-negativono-facebook.html [4] Link http://idgnow.uol.com.br/internet/2011/12/30/face book-e-causa-de-um-em-cada-tres-divorcios-nainglaterra/



CONHEÇA AS SOLUÇÕES DE SEGURANÇA EXISTENTES E SAIBA COMO CO MO PR PREP EPAR ARAR AR UM AM AMBIE BIENT NTE E MAIS MA IS SE SEGU GURO RO..

POR: Thiago Fernandes Gaspar Caixeta Twitter: @tfgcaixeta E-mail: thiago.caixeta@gm [email protected] ail.com

As redes wireless são hoje amplamente utilizadas em ambientes corporativos e domésticos, devido á fato fa tore ress co como mo fl flex exib ibililid idad ade e e fá fáci cill ad adap apta taçã ção o ao ambiente, permitindo aos dispositvos se interco inte rconec nectar tarem em em div divers ersos os loc locais ais dent dentro ro de sua área de cobertur cobertura. a. Dis Disponi ponibil biliza iza novos novos pontos pontos de acesso onde inicialmente não existiam possibilidades possibil idades de conexã conexão o devido há impossib impossibilidade ilidade do alcan ancce dos fio ioss e deix ixa a o ambi bie ent nte e ma maiis organizado, além de serem relativamente fáceis de instalar. Mesmo Mesm o co com m fa fato torres van anta tajo joso soss qu quan anto to a su sua a utililiz ut izaç ação ão,, a te tecn cnol olog ogia ia wi wire relles esss tr traz az fa fato tore ress impor imp orta tante ntess qu que e de deve vem m se serr ob obse serv rvad ados os par para a que não nã o oc ocor orra ram m pr prob oble lema mass no fu futu turo ro.. Um de dess sses es fatores é justamente o que na maioria das vezes recebe rec ebe men menor or at atenç enção ão ou não re rece cebe be a ate atenç nção ão adequada dos administradores de rede ou usuários domé do mést stic icos os,, e é so sobr bre e el ele e qu que e ir irem emos os fa fala lar: r: a segur se guranç ança a em re redes des wir wirel eles ess. s. Co Confi nfigur guraç açõe õess de segurança básicas ou de fábrica já não suportam mais o momento pelo qual passamos e é necessária uma um a re refl flex exão ão ma maio iorr do qu quan anto to po pode demo moss es esta tarr

expostos e quais serão as perdas no caso de algum incidente de segurança. Nos úl Nos últi timo moss an anos os a qu ques estã tão o de se segu gura ranç nça a es está tá sendo muito discutida pelos profissionais do meio de TI.. As re TI rede dess wi wire rele less ss ta tamb mbém ém es estã tão o su suje jeit itas as a ataques e o protocolo 802.11 possui um nível de segurança baixo em sua configuração padrão, o que aume au ment nta a ai aind nda a ma mais is a pr preo eocu cupa paçção co com m es este te aspecto. Ataques como a exploração de conf co nfig igur uraç ação ão pa padr drão ão de fá fábr bric ica, a, ac acce cess ss po poin intt spoofing (um cracker se faz passar por um access point e o cliente pensa estar se conectando a uma rede wireless legítima), negação de serviço, WEP attack (ataque visando a quebra da chave WEP para accesso á rede), interceptação e monitoramento são alguns tipos de ataques e práticas utilizados com muita eficiência pelos crackers e podem resultar no acesso ou roubo de informações, acesso á redes priv pr ivad adas as,, in inva vasã são o de pr priv ivac acid idad ade, e, ob obte tenç nção ão de senhas, utilização indevida dos recursos da rede ou até mes mesmo mo ind indis ispon ponibi ibililidad dade e dos se serv rviç iços os,, o qu que e pode trazer grande dor de cabeça principalmente às empresas. Janeiro 2012 • segurancadigital.info

27 ARTIGO Segurança Digital Questões r–lativas a ataqu–s – roubos d– nform rmaç ações ões fic ficar aram am ain ainda da mai maiss ev evide idente ntess co com m a info onda de ataques de grupos como o LuzSec, com unidades distribuídas ao redor do mundo, causando pânico e medo ás grandes corporações e usuários, gerando dúvidas dúvidas se realmente realmente estão protegidos. protegidos. Os us usuár uário ioss ac acre redit ditav avam am es esta tare rem m se segu guro ross po pois is adqu ad quir irir iram am se seu u eq equi uipa pame ment nto o de um fo forn rnec eced edor or reno re noma mado do no me merc rcad ado o e se segu guir iram am or orie ient ntaç açõe õess básic bás icas as de in inst stal alaç ação, ão, ou si simpl mples esmen mente te ape apenas nas cone co nect ctar aram am e al alte tera rara ram m a se senh nha a de ac aces esso so ao harrdw ha dwar are e co conf nfig igur urad ado. o. Em am ambo boss os cas asos os,, contex con textual tualiza izandondo-os os ás rede redess wir wirele eless, ss, pode podemos mos nota no tarr qu que e a de desi sinf nfor orma maçã ção o qu quan anto to a qu ques estõ tões es rele re leva vant ntes es é ba bast stant ante e vi visí síve vell a es esta ta te tecn cnol ologi ogia. a. Assim, nosso objetivo aqui é mostrar soluções de segurança disponíveis para as redes wireless e suas princ pr incipa ipais is ca cara ract cter erís ístic ticas as,, bem co como mo or orie ientá ntá-l -los os quanto a uma configuração adequada.

específicos. Em seu processo criptográfico para o modelo de 64 bits, o algoritmo RC4 cria a partir da junção de sua chave fixa de 40 bits e uma sequência de 24 bits variável mais conhecida como vetor de inicialização - IV uma sequência de bits pseudoa pse udoalea leatór tórios ios que, atr atravé avéss de ope operaç rações ões XOR (Ou (O u Ex Excl clus usiv ivo) o) co com m os da dado dos, s, ge gera ram m os da dado doss criptog cri ptograf rafados ados a ser serem em tra transm nsmitid itidos. os. É impo importan rtante te ressal alttar que no envio dos da dad dos o vetor de inicialização também será enviado. O processo de descriptografi descri ptografia a por parte do recept receptor or ocorre de modo inverso, uma vez que este também conhece a chave fixa e o vetor de inicialização foi enviado junto ao pacote.

Como o padrão 802.11 não especifica como deve serr a cr se criaç iação ão e o fun funci ciona onamen mento to dos vetore vetoress de inicialização, dispositivos de um mesmo fabricante podem ter uma sequência igual ou constante destes vetores, dependendo dos critérios designados pelo fabricante. Desta forma os crackers ou usuários mal intencionados podem monitorar o tráfego da rede e WEP O protocolo de segurança WEP - Wired Equivalency an anal alis isan ando do um uma a de dete term rmin inad ada a qu quan anti tida dade de de Privacy foi desenvolvido por um grupo de pac pacotes otes,, pode poderá rá des descobr cobrir ir a cha chave ve util utilizad izada a para volu vo lunt ntár ários ios,, me membr mbros os do IEEE - Ins problemas. nsti titu tute te of acesso á rede sem maiores problemas. Electrical Electronics Engineers como proposta de se to torn rnar ar um me meca cani nism smo o de se segu gura ranç nça a pa para ra as WP WPA A redes 802.11, 802.11, com o objetivo que nenhum disposit dispositivo ivo Diante dos problemas de segurança apresentados conseguisse se conectar a rede sem uma pelo padrão WEP, a Wi-Fi Wi-Fi Alliance, Alliance, uma associação autor aut oriz izaç ação ão pr prév évia, ia, aut autor oriz izaç ação ão es esta ta ba base seada ada no sem fins lucrativos, formada em 1999 para certificar forn fo rnec ecim imen ento to de um uma a ch chav ave e (co comb mbin inaç ação ão de os produtos baseados no padrão 802.11 quanto a caracteres, como uma senha) pré-estabelecida que sua interoperabilidade, aprovou e disponibilizou em auto au tori riza zass sse e o di disp spos osit itiv ivo o a se co cone nect ctar ar a re rede de 2003 o protocolo WAP - Wired Protected Access, wireless. O protocolo WEP é baseado no método de que têm por base os conceitos do padrão WEP nos criptografia RC4, podendo ter o comprimento de 64 quesitos de autenticação e cifragem dos dados, mas bits ou 128 bits. Também se propôs a atender a os realiza de maneira mais segura, mantendo o bom outras necessidades necessidades de seguran segurança ça do padrão criado, de dessem empe penh nho o e a ba baix ixo o co cons nsum umo o de rec ecur urso soss visando garantir que as informações trafegadas não co comp mput utac acio iona nais is qu que e o WE WEP P já pr prop opor orci cion onav ava, a, fossem ouvidas por terceiros, não autenticados na se sendo ndo to total talmen mente te co compa mpatí tíve vell co com m o har hardw dwar are e já rede e também não sofressem alterações até chegar existente, bastando para sua utilização uma simples a seu destinat destinatário. ário. atualização de firmware. O grande problema deste padrão é que ele pode ser facil fa cilmen mente te que quebr brado ado ou cr craqu aquea eado, do, ou se seja, ja, su sua a chav ch ave e pa para ra ac aces esso so á re rede de po pode de se serr fa faci cilm lmen ente te desco des cober berta ta até me mesm smo o por us usuá uário rioss co com m po pouc uco o domínio de informática, com o auxílio de softwares

O WPA utiliza o IV com 48 bits visando melhorar sua segur se guranç ança a jun junto to a um pr proto otoco colo lo ch chama amado do TK TKIP IP Tempo emporal ral Key Int Integri egrity ty Pro Protoco tocol,l, que se pro propõe põe a mesmo mes mo qu que e o cr crac acke kerr co cons nsig iga a des desco cobr brir ir a ch chav ave e para acesso, seu acesso irá durar um tempo restrito, Janeiro 2012 • segurancadigital.info

28 ARTIGO Segurança Digital pois o TKIP aplica ao processo uma ch chav ave e temporária que irá expirar em poucos segundos e será necessária uma nova, ou seja, o invasor terá que invadir a rede novamente para que consiga uma nova chave uma vez que esta é alterada a cada pacote e sincronizada novamente entre o cliente e o access point da rede. 802.1x

recebe rece berr a id iden enti tida dade de,, es esta ta é re repa pass ssad ada a pe pelo lo auten aut entic ticad ador or ao se serv rvido idorr RA RADI DIUS US par para a que es este te autentique autentiq ue o suplicante, suplicante, devolv devolvendo endo ao autenticador autenticador uma mensagem de ACCEPT, ou seja, uma conf co nfirm irmaç ação ão que a au autor toriza izaçã ção o for fora a co conc ncedi edida. da. Assi As sim m o tr tráf áfego ego é liliber berad ado o pe pelo lo au auten tentic ticado adorr ao suplicante, que logo em seguida solicita a identidade ao servidor para que ele o autentique e assim o tráfego dos dados seja liberado.

O padrão 802.1x foi definido pelo IEEE e tem sido muito utilizado nas redes sem fio, porém demanda uma infraestrutura superior aos outros métodos para o seu bom funcionamento. O protocolo WPA citado anterior ante riorment mente e util utiliza iza est este e padr padrão ão par para a res resolv olver er os prob pr oble lema mass re rela lati tivo voss a au aute tent ntic icaç ação ão qu que e vi vier eram am incorporados do protocolo WEP.

Est ste e ti tipo po de au aute tent ntic icaç ação ão é ma mais is ut utililiz izad ada a em ambiente ambi entess empr empresa esariai riais, s, poré porém m pode ser util utiliza izada da em am ambie bient nte e do domés méstitico co,, co conf nfigu igura rando ndo-s -se e a red rede e para que o próprio suplicante assuma o papel do servidor RADIUS no processo descrito anterior ante riorment mente. e. Est Este e mode modelo lo pode ser enco encontr ntrado ado tamb ta mbém ém em al algu guns ns di disp spos osit itiv ivos os co com m o no nome me de Este Es te pro proto toco colo lo vi visa sa co cont ntro rola larr o ac aces esso so ás re redes des WP WPA A Enterprise ou WP WPARADIUS. ARADIUS. base ba sead ado o em po port rtas as,, se send ndo o po poss ssív ível el també também m o cont co ntrol role e bas basead eado o na aut autent entic icaç ação ão mút mútua ua en entr tre e o 802.11i/WPA2 cliente e a rede, através de servidores de O padrão O IEEE 802.11i, também conhecido com autenticação do tipo RADIUS - Remote WPA2, foi desenvolvido com o intuito de se obter um Auth Au thent entic icati ation on Di Dial al In Us User er Se Serv rvic ice e par para a que que,, de nível de segurança ainda mais aprimorado que o acordo com a Microsoft, "definir um padrão popular protoc ocol olo o WPA, qu que e mesmo ten end do div ive ersas usado us ado para para man manter ter e ge geren renci ciar ar autent autentic icaç ação ão de melhori melhorias as em relação ao WEP, WEP, ainda era desejo de usuário remoto e validaç validação". ão". todos ter um esquema de segurança mais forte e confiável. Uma grande inovação deste padrão é a Este Es te pad padrã rão o ut utililiz iza a um pr proto otoco colo lo de aut auten entic ticaç ação ão su subs bstit tituiç uição ão do mé métod todo o cr crip iptog tográ ráfic fico o do WP WPA, A, o chamado cha mado EAP EAP-Ex -Extens tensible ible Aut Authent henticat ication ion Pro Protoco tocol,l, TKIP, por outro método mais seguro e eficiente. O que realiza realiza o gerenci gerenciamento amento da autenticação autenticação mútua mútua mét métod odo o es esco colh lhido ido,, o AE AES S - Ad Adva vanc nced ed En Encr cryp yptio tion n no pro proce cess sso o de aut auten entic ticaç ação ão.. Ex Exis iste tem m al algum gumas as St Stan andar dard, d, co conh nhec ecido ido ta també mbém m po porr al algor gorít ítimo imo de possibilidades possibi lidades que podem ser usadas como métodos Rijndael, oferece chave de tamanhos 128, 192 e 256 de autenticação: uso de senha, certificado digital ou bi bits ts e é re resi sist sten ente te a vár ário ioss ti tipo poss de té técn cnic icas as token, o que aumenta significativamente o nível de co conh nhec ecid idas as de an anál ális ises es cr crip ipto togr gráf áfic icas as,, se send ndo o segurança. amplamen ampl amente te util utiliza izado do em sol soluçõe uçõess que vis visam am um nível de segurança mais sofisticado. A au auten tentic ticaç ação ão oc ocor orre re co com m a par partitici cipaç pação ão de tr três ês partes: o suplicante, que é o usuário que deseja ser Este novo padrão implementa um novo tipo de rede aute au tent ntic icad ado, o, o se serv rvid idor or RA RADI DIUS US,, qu que e re real aliz iza a a wireless denominado de rede robusta de segurança autenticação dos requisitantes e o autenticador, que ou RSN - Robust Security Network, que é composto é quem intermedia esta transação entre as partes por duas partes: o método de criptografia AES para citadas inicialmente, inicialmente, papel este designad designado o ao access a cr crip ipto togr graf afia ia do tr tráf áfeg ego o na nass re rede dess se sem m fi fio o e o point. O processo de autenticação se inicia com o pa padr drão ão IE IEE EE 80 802. 2.1x 1x pa parra a au aute tent ntic icaç ação ão e o suplicante e é logo detectado pelo autenticador, que ger gerenci enciamen amento to da cha chave ve cri criptog ptográf ráfica. ica. A util utilizaç ização ão abr bre e a po porrta pra o suplicant nte e. Em seg egu uid ida a o de dest ste e pa padr drão ão é ma mais is re reco come mend ndad ada a pa para ra qu quem em auten aut entic ticad ador or so solilici cita ta a ide identi ntidad dade e de ac aces esso so ao pos possu suii uma boa ca capac pacida idade de de pr proc oces essa samen mento, to, suplic sup licante ante,, que env envia ia a info informa rmação ção sol solicit icitada. ada. Ao equi equipame pamentos ntos compatív compatíveis eis e des deseja eja obter um nív nível el Janeiro 2012 • segurancadigital.info

29 ARTIGO Segurança Digital de segurança superior aos outros protocolos, sendo necessária necess ária uma avaliaç avaliação ão da infraes infraestrutur trutura a existen existente te a fim de se verific verificar ar se os dispos dispositi itivo voss ex exist isten entes tes suportam essa nova tecnologia. O papel dos filtros nas redes sem fio

Você pode ainda aumentar o nível de segurança de sua rede utilizando-se dos filtros de SSID, endereço MAC e protocolos.

SSID - Service Set Identifier, é o nome do ponto de acesso á rede sem fio configurada. Ocultar o SSID da rede pode torná-la torná-la "invisível" "invisível" perante perante terceiros terceiros e teoricamente só quem possuir o SSID da rede e as credenciais de acesso terão como acessá-la, porém com co m a ut utililiz izaç ação ão de um softwa software re especí específifico co (u (um m sniffer er)) é po posssív ível el descobrir o SSID de uma deter det ermin minada ada red rede. e. Is Isto to é pos possí síve vell po pois is os ac acce cess ss points enviam de tempos em tempos este SSID para que seus client clientes es possam se comunic comunicar ar,, quando não conf co nfigu igura rado doss ma manua nualm lment ente e na máq máquin uina a cl clie iente nte.. Assi As sim, m, co com m pou pouco co tem tempo po de mon monito itora ramen mento to se será rá posssí po síve vell de desc scob obri rirr o SSI SID, D, e pa para ra po poss ssív ívei eiss invasores invasor es este poderá ser o pontapé inicial inicial para sua tentativa de invasão.

rede,, se um di rede disp spos osit itiv ivo o de re rede de fo forr ro roub ubad ado o ou perd pe rdid ido, o, ca caso so o fa fato to nã não o se seja ja co comu muni nica cado do ao aoss admi ad mini nist stra rado dore ress da re rede de,, qu quem em po poss ssui uirr es este te dispositivo poderá se conectar á rede e ter acesso completo a ela , pois seu endereço MAC encontrase ca cada dast stra rado do no ac acce cess ss poi point. nt. Ou Outr tro o pr probl oblema ema,, assim como na filtragem por SSID, são a utilização de sniffers por invasores, que podem descobrir e utilizar um endereço MAC válido clonando-o em seu disp di spos osit itvo vo pa para ra ut utililiz izar ar a re rede de de dese seja jada da.. É um métod mét odo o que pod pode e aux auxililiar iar na se segur guranç ança a de re rede, de, poré po rém m se seu u us uso o é ma mais is vo volt ltad ado o pa para ra ambie ambient ntes es doméstic domé sticos os ou pequ pequenas enas red redes es cor corpor porativ ativas, as, uma vezz qu ve que e to todo do o pr proc oces esso so de deve ve se serr re real aliz izad ado o de forma manual tornando seu gerenciamento bastante complicado. Outra possibilidade visando aumentar a segurança de sua rede é utilizar filtros de protocolos, filtrando os pacotes que trafegam na rede. Existe a possiblidade de criar filtros para os protocolos HTTP, HTTPS, SMTP, FTP, etc. que iriam filtrar o tráfego desste de tess pr prot otoc ocol olos os,, re rest stri ring ngin indo do os de dema mais is e aument aum entan ando do as assi sim m o nív nível el de se segu gura ranç nça. a. Es Estas tas opções opç ões são inte interes ressan santes tes depe dependen ndendo do do tipo de ambiente, no entanto vale lembrar que são apenas opções auxiliares a um método de segurança mais completo, pois não oferecem a segurança necessária quando implementados individualmente, podendo deixar a rede expost exposta a e vulner vulnerável. ável.

Os endereços MAC - Media Access Control são númer núm eros os únicos únicos e ex excl clus usiv ivos os que ide identi ntific ficam am um dispositvo disposi tvo de rede. Fu Funcionam ncionam como a identidade do dispos dis posititivo ivo per peran ante te ao aoss inú inúme mero ross di disp spos ositi itivo voss de redes existentes em uma rede IP e muitas vezes são chamados de endereços físicos, atuando na camada Dicas para tornar seu ambiente wireless mais dois do modelo OSI. Com a utilização do filtro por seguro endereç ende reços os MAC, MAC, é possív possível el que que você você esp especif ecifique ique • A primeira coisa a fazer é ler o manual do quais dispositivos poderão acessar a sua rede ou em al algun gunss ca caso soss qua quais is dis dispo posit sitiv ivos os nã não o po poder derão ão fabricante. Ele contém informações importantes sobre a configuração e aspectos de segurança acessar a sua rede. Esta configuração é realizada dire di reta tame ment nte e no ac acce cess ss po poin intt da re rede de de fo form rma a da rede; man anu ual al,, e a cad ada a ten enttat atiiva de con one exão será • Instale fisicamente o access point verificado o MAC do solicitante a fim de constatar se pref efer erenc encial ialmen mente te lo longe nge de por portas tas e jan janel elas as.. este está ou não inserido na lista de MACs pr Faça alguns alguns testes com a intensidade do sinal e permitidos ou negados do access point, impedindo caso possível, regule o access point para que o ou não a sua comunicação com a rede. Em um primeiro momento parece ser um método sinal fique restrito apenas ao ambiente em que inte in tere ress ssan ante te de fi filt ltra rage gem, m, ma mass ta tamb mbém ém po poss ssui ui será utilizado; problemas que o inviabilizam como um método forte Atua ualilize ze o fi firm rmwa ware re do ac acce cess ss po poin intt pa para ra a de se segur guran ança ça.. Em qua qualq lque uerr tip tipo o de amb ambien iente te de • At


30 ARTIGO Segurança Digital versão mais recente. Poderá haver updates de segurança ou melhorias nessas atualizações;

• Altere as configurações padrões de fábrica de seu di seu disp spos osit itiv ivo, o, co como mo no nome me pa padr drão ão do SS SSID ID (coloque um nom ome e qu que e não ref efllit ita a gr gra ande importância ao local em que a rede está instala inst alada. da. Ex. Ex.:: Um banco nomear nomear a rede como "Rede "R ede Wi Wire rele less ss Ba Banc nco o X" pod pode e ch cham amar ar mai maiss aten at ençção ão), ), se senh nha a de ac aces esso so á in inte terf rfac ace e de admi ad mini nisstr traç ação ão (u (uti tilliz ize e se senh nhas as fo fort rtes es,, com números, letras maiúsculas, letras minúsculas e carac actter eres es espec ecia iais is com no mín íniimo oit ito o caracteres);

• Habilite um tipo de encriptação para a rede. Dê preferê prefe rênc ncia ia ao WP WPA A e se dis dispo ponív nível el o WP WPA2 A2.. Caso Ca so po poss ssua ua um am ambi bien ente te co com m um nú núme mero ro maiorr de clientes maio clientes e seja necess necessário ário um nível nível de segurança maior você pode habilitar um servidor RADIUS também; cert rtos os amb ambien ientes tes vo você cê pod pode e faz fazer er uma • Em ce combina combi naçã ção o de so solu luçõ ções es uti utililiza zando ndo os fifiltltro ros, s, como por exemplo filtros por endereço MAC + WPA/ WP A/ WP WPA2 A2,, et etc. c. + fil filtr tros os por pr proto otoco colo los, s, ou algu al gum m ou outr tro o ti tipo po de co comb mbin inaç ação ão co com m es esta tass soluçõ sol uções, es, torn tornando ando mais comp complet leta a sua sol solução ução de segurança para sua rede;

• Você pode também desabilitar o broadcast de SSID, mas fazendo isso você deve informar o SSID SS ID da re rede de ao clilien ente te e o me messmo de deve verá rá realizar a conexão informando o SSID de forma manu ma nual al.. Is Isso so po pode de de deix ixar ar su sua a red ede e me meno noss exposta a terceiros em um primeiro momento; Se disponível e compatível com os serviços que serão disponibilizados na rede, habilite o firewall do dispositivo;

• De Desa sabi bililite te a op opçã ção o pa para ra ge gere renc ncia iame ment nto o do access point através da rede sem fio, deixando-o gerenciável somente pela rede cabeada, assim como se existente, desabilitar a opção de gestão remota do dispositivo;

• Ca Caso so vi viáv ável el,, des desab abililite ite o se serv rviç iço o de DH DHCP CP.. Atribua endereços de IP fixos aos clientes. Assim possíveis invasores não irão conhecer a faixa de ips que sua rede trabalha, trabalha, conseg conseguindo uindo menores menores informações informaç ões sobre ela. Você pode também limitar número de endereços ips disponíveis á sua rede a quantidade exata que precisar; Monitore tore cons constant tantemen emente te sua red rede e wire wireles less. s. • Moni Os ac acce cess ss po poin intt po poss ssue uem m in inte terf rfac aces es pa para ra acompan aco mpanhar har em tem tempo po rea reall quai quaiss dis dispos positiv itivos os estã es tão o co conec nectad tados os a el ela, a, as assi sim m co como mo lo logs gs que registram o tráfego da rede contendo info in form rmaç açõe õess co como mo au aute tent ntic icaç açõe ões, s, ac aces esso soss autorizados autoriz ados e indevido indevidos, s, dentre outros. Desconfie se notar algo fora do comum em sua rede como por exemplo lentidão excessiva excessiva em determin determinados ados horários do dia ou qualquer outra situação que fuja do uso normal ao qual você já está acostumado; computacional sempre • Mantenha seu ambiente computacional atualizado com firewall e antivírus devidamente conf co nfigu igura rados dos e at atual ualiza izados dos.. Is Isto to é imp impor orta tante nte para todo o seu trabalho realizado no comp co mputa utador dor,, mas também também irá auxili auxiliar ar em su sua a proteção contra algo mal intencionado proveniente proven iente da rede.. Curiosidades: Wardriving e Warchalking

War ardr driv iving ing é uma pr prát ática ica que co cons nsis iste te em uma pess pe ssoa oa an anda darr pe pela lass ru ruas as da ci cida dade de mu muni nida da de disspos di osit itiivos com ac aces essso ás rede dess sem fio e soft so ftwa ware ress co com m o ob obje jeti tivo vo de te tent ntar ar lo loca caliliza zarr, ident ide ntifi ifica carr, e re regis gista tarr ca cara ract cter erís ístitica cass e po posiç sições ões desta des tass red redes es,, se seja jam m el elas as re rede dess co corpo rpora rativ tivas as ou domésticas. No caso de pessoas mal intencionadas, intencion adas, possivelmente possivelmente estas redes estarão sujei su jeita tass a in inva vasã são. o. A pr práti ática ca su surg rgiu iu nos Es Esta tados dos Unidos com Peter M. Shipley, um especialista em segur se guran ança ça de re rede de e te tele leco comun munic icaç ações ões qu que e em 2001 conseguiu interceptar e gerenciar um sinal de rede wireless entre o transmissor e receptor a uma distância distânc ia de quarenta quilômetros quilômetros entre eles. Para as empresas, pode ser de grande valia, pois Janeiro Ja neiro 2012 • segurancadigital.info

31 ARTIGO Segurança Digital seus profissiona nais is de se segu gurran ança ça po pode dem m sa sair ir a proc pr ocur ura a de fa falh lhas as ou vu vuln lner erab abililid idad ades es em su suas as próprias redes com o intuito de melhorá-las. Pode ser também considerado um passatempo ou hobby para algumas pessoas, seja por diversão ou apenas curiosidade técnica sem maiores intenções. Existe também a possibilidade da busca por acesso livre a inte in tern rnet et ou in invvas asão ão da dass red edes es com ob obje jeti tivvos diver div erso sos, s, o que pod pode e ac acar arre reta tarr pr probl oblem emas as le lega gais is para pa ra se seus us pr prat atic ican ante tess em ca caso so de ac aces esso so nã não o autorizado, que no Brasil é respaldado pelo Código Pena Pe nall Br Bras asililei eiro ro em su sua a Se Seçã ção o V - Do Doss Cr Crim imes es contra a inviolabilidade de sistemas informatizados, no Art. Art. 154 - A que diz que aces acessar sar,, inde indevida vidament mente e ou se sem m aut autor oriz izaç ação, ão, mei meio o el eletr etrôn ônic ico o ou sis sistem tema a info in form rmat atiz izad ado o po pode de ge gera rarr um uma a pe pena nallid idad ade e de detenção de três meses a um ano e ainda multa. No entanto a prática não é detectada facilmente, assim a apl aplica icaçã ção o de qua qualq lque uerr pun puniç ição ão to torn rna-s a-se e mu muito ito difícil. No Brasil existe um movimento chamado WardrivingDay, criado com o objetivo de "educar e alertar sobre a importância da área de segurança da informação, informaç ão, especia especialmente lmente em seu aspecto técnic técnico", o", ress re ssal alta tand ndo o fr freq eque uent ntem emen ente te a im impo port rtân ânci cia a da segurança da informação, principalmente nas redes em fio io.. O pr proj ojet eto o é com omp pos ostto de pesquis isa as realiz rea lizadas adas nas red redes es sem fios encontrada encontradass pel pelas as ruas, em que vár ário ioss dado doss são col ole eta tad dos e comp co mpar arad ados os co com m a pe pesq squi uisa sa an ante teri rior or vi visa sand ndo o veri ve rifi fica carr o ní níve vell de se segu gura ranç nça a an ante teri rior or e o qu que e mudou após determin determinado ado tempo, se foram tomadas tomadas medidas medi das obje objetiva tivando ndo uma mel melhori horia a na segu seguran rança ça das redes encontradas com falhas de segurança ou não, gerando dados estatísticos importantes para a área de segurança. O Warchalking também surgiu nos Estados Unidos, em 19 1929 29 com a cr cria iaçção de um uma a lin ingu guag agem em de marcas feitas de giz ou carvão criada por andarilhos com o objetivo de deixar marcado para tercerios o que estes poderiam encontrar naquele determinado luga lu garr, po porr ex exemp emplo lo de demon monst stra rarr que aqu aquel ele e lu lugar gar pode po deri ria a lh lhes es pr prov over er al algu gum m ti tipo po de al alim imen ento to.. O conceito estendeu-se ás redes sem fio e adeptos desta prática deixam marcas nas calçadas das ruas

indica indi cand ndo o a po posi siçã ção o de re rede dess em fi fio, o, se es esta ta é abert abe rta a (O (Open penNod Node) e),, se é fec fechad hada a par para a co conex nexão ão (Closed Node), qual a largura de banda utilizada ou utililiza ut izam m cr cript iptogr ografi afia a em as aspec pecto toss de se segur guran ança ça (WEP Node).

Conclusão

As redes sem fios são sem dú dúvvida bas asttan antte intter in ere essan anttes, sej eja a par ara a uso em amb mbie ien ntes domé do méssticos ou cor orp porativ ivo os. No entan antto é impor imp orta tante nte co conhe nhece cerr os as aspec pectos tos de se segur guran ança ça envolvidos em sua operação para que possa ser utiilizada com efic ut iciê iên ncia e de mod odo o segu gurro, dimi di minu nuin indo do os ri risc scos os co com m re rela laçã ção o a po poss ssív ívei eiss inva in vasõ sões es e/ e/ou ou va vaza zame ment nto o de in info form rmaç açõe õess qu que e possam poss am lhes tra trazer zer vár vários ios prob problem lemas. as. Não exi existe ste uma re rece ceita ita pr pron onta ta de se segu gura ranç nça a par para a as re redes des wireless, você deverá pensar qual a combinação mais adequad adequada a para sua situação situação,, de acordo acordo com os re recu curs rsos os di disp spon onív ívei eiss e o ní níve vell de pr prot oteç eção ão desejado.


32 ARTIGO Segurança Digital Bibliografia

AGUIAR, Paulo Améric AGUIAR, Américo. o. Disponível Disponível em: . >. Ace Acesso sso em: 17 de jan 2012. ANTI-INVASÃO. Disponível em: . >. Ace Acesso sso em: 16 de jan 2012. BATTISTI, Júlio. Disponível em: . Acesso Acess o em: 16 de jan 2012. BRADLEV, Tony. Disponível em: . >. Ace Acesso sso em: em: 18 de jan 2012. CERT BR. Disponível em: . >. Acess Acesso o em: 18 de jan 2012. 2012. COMPUTAMANIA. Disponível em: . wireless >. Acess Acesso o em: 17 de jan 2012. 2012. COMPNETWORKING. Disponível em: < http://compnetworking.about.com/cs/wireless/g/bldef_wardrive.htm http://compnetworking.about.com/cs/wireless/g/bldef_wardrive.htm>. >. Acesso Acess o em: 18 de jan 2012. FERREIRA, Rui Cardoso Cardoso Alexan Alexandre. dre. Disponível Disponível em: < http://www.fc.up.pt/fcup/contactos/teses/t_040370023.pdf http://www.fc.up.pt/fcup/contactos/teses/t_040370023.pdf>. >. Acesso Acess o em: 18 de jan 2012. PAULO, Márcio. Disponível em: . redes-sem.html >. Acesso em: em: 17 de jan 2012. 2012. PEREIRA, Hélio. Disponível em: . >. Ace Acesso sso em: em: 17 de jan 2012. LEOCADIO, Ricardo. Material didático, MBA em Gestão da Segurança da Informação. LINKSYS. Disponível em: . LApt >. Acesso em: em: 16 de jan 2012. 2012. LUCAS, Weverton. Disponível em: . proteger-sua-rede-wireless >. Acess Acesso o em: 09 de jan 2012. 2012. WARDRIVING DAY DAY. Disponível em: . >. Acess Acesso o em: 18 de jan 2012. 2012. WEBARTIGOS. Tecnologias em redes em fio. Disponível em: . em-redes-sem-fio/5440/ >. Acess Acesso o em: 16 de jan 2012. 2012. BRASIL. Disponível em: . >. Ace Acesso sso em: em: 18 de jan 2012.


VOCÊ PODE:

Copiar,, distribuir, criar obras d erivadas e exibir a obra. Copiar

a ç n e c i L

COM AS SEGUINTES SEGUINTES CONDIÇÕES: CONDIÇÕES:

Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto.


Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem autorização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impressa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercialização da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 - Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represente. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra qu ebra de direitos d ireitos autorais, por qualquer q ualquer colabora colaborador. dor.

|01

Março 2012 • segurancadigital.info

l a i r o t i d E

É, esse mês passou rápido. Até demais! Felizmente fechamos com chave de ouro mais uma edição da Revista Segurança Digital, que ganhou uma nova roupagem, um visual desenhado a partir do zero ze ro.. Co Como mo no noss ssoo ob obje jetiv tivoo é lev levar ar o me melh lhor or ma mate teri rial al at atéé os leitores, este atraso pode ser perdoado, assim acredito. Nessaa ediç Ness edição ão tive tivemos mos a inse inserçã rçãoo de um tut tutoria orial,l, prát prática ica que será levada adiante nas edições seguintes, nossa colaboradora Lígia Barroso escreveu um artigo muito interessante sobre a área de Direito Digital atendendo a pedidos de leitores. É válido relembrar que você pode nos enviar sugestões por email, fazer comentários no site e até mesmo nas redes sociais em que temos participação (Twitter (T witter e Facebook). LDAP Injection é o artigo destaque dessa edição, escrito por Brunoo Cesar Moreira de Souz Brun Souza. a. Em seu artigo o auto autorr em ques questão tão começa citando a vulnerabilidade chamada de "SQL Injection", muito utilizada por criminosos virtuais para conseguir acesso não autorizado a dados sensíveis ou até mesmo comprometer os dados em questão, mas não para por aí. Além dos ataques de "SQL Injec In jectio tion" n" te temo moss os se seus us ir irmã mãos os "X "XPa Path th In Inje ject ctio ion" n",, "L "LDA DAP P Injection", “SOAP Injection", "SMTP Injection" e muitos outros... Ainda falando sobre ataques de quem tem como objetivo realizar algu al gum m ti tipo po de in inje jeçã ção, o, é vá váli lido do re rele lemb mbra rarr qu quee em ed ediç içõe õess anteriores desta revista falamos sobre "SQL Injection" e "PHP Inje jeccti tioon". Volt ltan anddo ao as assu sunt ntoo prin inci cippal des essa sa ed ediç ição ão,, demo de most stra raçõ ções es de in inje jeçã çãoo a LD LDAP AP sã sãoo ef efet etua uada dass pe pelo lo au auto torr, garantindo desta forma um melhor entendimento e aproveitamento do artigo. Como mencionado logo no início dessa página, esta edição conta com um tutorial prático referente a servidores SSH, escrito por Fábi Fábioo Jâni Jânio. o. Aten Atendend dendoo a pedi pedidos dos de lei leitore toress o tut tutoria oriall em questão possui uma abordagem bem simples e direta, o mesmo apre ap rese sent ntaa um umaa fe ferr rram amen enta ta de se segu gura ranç nçaa ut util iliz izad adaa pa para ra ev evit itar ar ataq at aque uess do ti tipo po br brut utee-fo forc rcee e ou outr tros os at ataq aque uess do gê gêne nero ro,, es essa sa ferr fe rram amen enta ta at aten ende de mu muit itoo be bem m as ne nece cess ssid idad ades es de us usuá uári rio, o, administradores e profissionais de segurança que trabalham ou utilizam ambiente GNU/Linux.

DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira [email protected] EDITORES-CHEFE Johnantan Pereira johnantan.pereira@ johnantan [email protected] gmail.com Luiz Felipe Ferreira [email protected]

EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Augusto Pannebecker Fernandes [email protected] Thiago Fernandes Gaspar Caixeta [email protected] Ronielton Rezende Oliveira [email protected] Julio Carvalho julioinf [email protected] julioinfo@gmail. com Lígia Barroso [email protected] Bruno Cesar Moreira de Souza bruno.sou [email protected] bruno.souza@ablesecur ity.com.br Nágila Magalhães [email protected] Fernando Shayani [email protected] Yuri Diogenes

REVISÃO Andressa Findeis [email protected] Mauro Júnior [email protected] Raiana Pereira [email protected]

Sejam Seja m be bem m vi vind ndos os a ma mais is um umaa ed ediç ição ão Re Revi vist staa Se Segu gura ranç nçaa Digital... Na Internet

Por Fábio Jânio

|02

http://twitter.com/_SegDigital www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info Março 2012 • segurancadigital.info

e c i d n Í

Artigo

Data Security

49

Appliance de IDS/IPS ou Servidor com Snort?

05

HostDime

56

Classificação da Informação

07

Kryptus

57

Criptografia simétrica e assimétrica (parte 1)

11

CyberWar a realidade que você desconhece

16

Direito & TI - os desafios do "novo profissional do direito" em 2012

19

AbleSecurity

45

DNSSEC - O antídoto contra os ataques DNS

21

Data Security

46

LDAP Injection - Como Funciona o Ataque e Como se Proteger

25

Pericia Digital: Conheça a arte da investigação "digital"

30

OpenStack solução para contrução de nuvens

33

Otimização de Links WAN WAN

35

Segurança em Cloud Computing

37

Anuncios / Divulgação

04 - Age Agenda nda TI Confira o calendário dos profissionais de TI

58 - Coluna do leitor

Dica / Tutorial SSH - Proteção Com DenyHosts

41

44 - Notícias

Parceiros 4Linux

|03

Emails, sugestões e comentários. Envie o seu e, contribua para com o nosso projeto

48

Fique informado quanto ao que acontece no mundo virtual.


L i n ks : http://twitter.com/agendati http://www.facebook.com/agendati

[email protected] P er f i l R es p o n sá v e l :

Eduardo Fedorowicz http://twitter.com/fedorowicz

|04


u o S ? P t I r / o S n D I S e d m o c e c n r o a d i l i v p r p e A S

N

o universo de Segurança da Informação, entre muitos conceitos, está o de IDS/IPS. IDS (Intrusion Detection System) como seu próprio significado, faz uma detecção de intrusão e gera um alerta, já IPS (Intrusion Prevention System) vai além de detectar a tentativa de invasão, barra esta de maneira a bloquear o tráfego malicioso, protegendo o ambiente.

O SNORT é um software livre com o objetivo de realizar esta função de IDS/IPS. Pode ser utilizado em hardware proprietário (Appliance) ou em servidor dedicado, reduzindo seu custo de implantação. Com o crescente aumento do número de ataques e sua diversidade, cada vez mais as empresas vêem a necessidade de utilizar uma solução de IDS/IPS a fim de evitar que sejam exploradas vulnerabilidades existentes em seu ambiente, sejam elas em protocolos ou de softwares em uso. Com esta necessidade de segurança surge outra ques qu estã tãoo a se serr re resp spon ondi dida da:: ut utili iliza zarr um Applia Applianc ncee IDS/IPS de um fabricante ou utilizar um servidor dedicado rodando SNORT? Um appliance traz consigo a confiabilidade e o su porte que o fabricante f abricante oferece, muitas vezes a um custo ad adic icio iona nal, l, ma mass di disp spon onív ível el me mesm smoo as assi sim. m. Já a solução de um servidor rodando SNORT, tem como principal vantagem o custo, visto que o software SNORT é freeware e um bom servidor tem um custo

|05

relativamente baixo. Vale Vale lembrar que o SNOR SNORT T tam bém possui suporte do fabricant fabricante, e, tanto para o software quanto para novas ameaças que surgem no dia-a-dia. Porém este suporte também é ponto de discussão sobre uma solução ou outra, pois geralmente a resposta do suporte de um fabricante de um appliance é mais rápido do que da equipe do SNORT. SNORT. O objetivo deste artigo não é menosprezar uma ou outra solução, apenas apontar alguns pontos essenciais para a tomada de decisão, de um administrador de rede, para qual alternativa optar. A solução utilizando um appliance tem um custo alto que muitas vezes não atende aos objetivos de uma pequena ou média empresa. Para tomar a decisão sobre qual solução utilizar as empresas avaliam primeiramente primeir amente a relação custo benefício benefício.. Este appliance carrega consigo vantagens essenciais no desem penho da comunicação c omunicação de backbone de uma empresa, como por exemplo, ausência de latência na comunicação, o que para maioria das empresas é essencial nass su na suas as co comu muni nica caçõ ções es.. Ex Expl plic ican ando do,, o co conj njun unto to hardware e software de um appliance são construídos de maneira a não injetar latência na comunicação quando faz inspeção do tráfego. O hardware de um appliance geralmente é construído especialmente para este fim, uma arquitetura especial que não permite a injeção de atrasos na comunicação. Quando o tráfe Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

go é intenso e supera um limite pré-determinado, definido pelo fabricante ou administrador da rede, o mesmo entra em modo failover, ou seja, faz um by-pass nas suas portas, permitindo ao tráfego passar diretamente pelo seu hardware sem inspeção. Isto para muitos é uma falha de segurança, deixar o tráfego passar sem inspeção, mas vale ressaltar que não é fácil atingir este limite do equipamento, é a última alternativa do mesmo. Além disso, os administradores precisam ter atenção para filtros habilitados que não possuem tráfego inspecionado contabilizado no equipamento, ocupando memória/CPU e contribuindo para que este limite seja atingido. Já a solução de um servidor rodando SNORT, apesar do mesmo suportar arquiteturas RISC e CISC de hardware, dificilmente não inserirá latência na comunicação, devido ao hardware do servidor não ter sido fabricado para este fim, por melhor que este seja. Esta solução, na opinião deste, tem sua melhor aplicaçãoo em pe çã pequ quen enas as e mé médi dias as em empr pres esas as,, qu quee nã nãoo necessitam de tráfego externo livre de latência. Muitos fabricantes fazem uso do SNORT em seus appliances, a principal diferença entre suas soluções e aquelas implementadas com servidores, é o hardware proprietário propriet ário – com um conjunto de processadores em linha - fabricado especialmente para este fim. Um IDS/IPS, seja ele um appliance ou um SNORT, tem seu funcionamento semelhante ao de um software anti-vírus. Ambos se utilizam de uma base de dados de vulnerabilidades atualizada, para inspecionar o tráfego/arquivos a fim de detectar ameaças conhecidas, a diferença é que o IDS/IPS atua na camada 3 (rede) do modelo OSI e o anti-vírus na camada 7 (aplicação). Esta base de dados é atualizada sempre que uma vulnerabilidade se torna conhecida e passa pela análise de uma equipe especializada, seja do fabricante do ap pliance ou do SNORT SNORT.. Esta explicação ajuda a entender o porquê da necessidade de um hardware tão robusto para um IDS/IPS, pois o equipamento tem que ser capaz de gerenciar o tráfego ao mesmo tempo em que o inspeciona procurando por ameaças, isto tudo sem gerar a temida latência. Por fim, podemos concluir que ambas as soluções tem o mesmo objetivo, proteção do ambiente, porém com duas diferenças principais: custo e desempenho. Cabe aos CSO (Chief Security Officer) juntamente com os administradores, avaliarem qual solução utilizar, sempre levando em conta o escopo que desejam proteger e a melhor relação custo benefício para sua empresa.

|06

Figura 1 - Logo do Snort.

Um pouco ma is sobre o SNORT

O Snort, ferramenta criada por Martin Roesch é muito utilizada no meio corporativo para detectar tentativas de invasão. As chances de você ser um profissional profissi onal de segurança e não conhecer esta ferramenta são bem remotas. Hoje, além do Snort ser comercializado em forma de appliances de alto desempenho a Sourcefire possui uma linha de produtos também comerciali comerciali-zados da mesma forma, como por exemplo um anti-vírus que funciona na nuvem. Essa ferramenta possui uma solução open source (grátis). Segundo seu criador basicamente não existe quase nem uma diferença entre a solução paga e grauita do produto principal (Snort) (Snort),, todos os pré pré-pr -proce ocessa ssador dores, es, a lóg lógica ica de det detec ecção ção,, os complementos de saída são os mesmos. Site oficial: http://www.snort.org/

Augusto Pannebecker Fernandes Técnico em Eletrônica e Informática Industrial, superior em Análise e Desenvolvimento de Sistemas, pós-graduando em Es Esppecialização em Segurança da Informação 18 anos de experiência na área de TI atualmente atuand atu andoo em Sup Suport ortee de Red Redes/ es/T Tele ele-com, Administrador de IDS/IPS, Analista e consultoria de segurança. Email: [email protected] Twitter: @AugustoPan


Uma maneira eficiente de proteger suas informações e garantir o seu negócio

a - m r o f n I a d o ã ç a c i f i s s o a ã l C ç

ções, cds e dvds, pendrives, e-mails, sistemas, etc. e Definitivamente estamos vivendo vivendo a era da informa- saber classificá-las de forma correta garante que esção. Seja nas ruas, no trabalho ou em casa, para onde tas recebam a devida proteção de acordo com seu níolhamos somos inundados com as mais variadas infor- vel de criticidade durante todo o seu ciclo de vida, mações disponíveis nos mais diversos formatos: out- desde sua criação até o seu descarte. A informação é door do ors, s, li livr vros os,, re revi vist stas as,, jo jorn rnai ais, s, rá rádi dio, o, te tele levi visã são, o, um bem precioso das organizações, assim seu valor internet, etc. Muitas destas informações são úteis e se- deve ser reconhecido no nível mais apropriado e os rão utilizadas no nosso dia-a-dia, porém outras com colaboradores devem saber como protegê-las, para certeza terão pouca importância, devendo ser descon- que não ocorram acessos indevidos, sejam modificadas, excluídas por pessoas não autorizadas ou divulsideradas. Saber analisar o que realmente é importante para gadas sem prévia autorização, podendo gerar sérios neg ócio e à imagem da organização. organ ização. nós se torna um fato de extrema relevância, para não prejuízos ao negócio Á respeito disso a ISO/IEC 27002:2005 diz que “a perdermos o foco do que nos interessa de verdade. Este exercício deve ser feito por todos, principalmen- informação possui vários níveis de sensibilidade e te pelas organizações onde existe um ambiente em criticidade. Alguns itens podem necessitar um nível que a questão financeira será mais abrangente, podenpoden- adicional de proteção ou tratamento especial. Condo as informações se tornarem um diferencial compe- vém que um sistema de classificação da informação titi ti tivvo, alé lém m de otim timiz izaar o ca cappit itaal di disspon onív íveel seja usado para definir um conjunto apropriado de níaplicando-o onde é essencialmente importante. Nosso veis de proteção e determinar a necessidade de mediobjetivo aqui é fornecer o entendimento necessário, das especiais de tratamento”. Portanto a classificação para que você possa buscar a valoriza valorização ção e proteção das informações pode ser entendida como um mecados seus ativos de informação em sua organização da nismo para que as empresas identifiquem, definam critérios e níveis de proteção adequados às mais dimelhor forma possível. versas sas inf inform ormaç ações ões dis dispon poníve íveis is no noss mai maiss div divers ersos os Neste contexto, é interessa interessante nte entendermo entendermoss sobre ver a classificação das informações dentro das organiza- formatos. Assim garante-se a confidencialidade, inteções. As informações transitam dentro das empresas gridade e disponibilidade destas informações, além através dos mais variados canais, tais como publica- de melhorar a aplicabilidade dos recursos financeiros I n t r o d u ç ão

|07



disponíveis, provendo segurança na medida certa para seus ativos. É importante ressaltar que todo este processo deve ser periódico, ou seja, deve ser sempre revisto de tem pos em tempos de forma a reavaliar o que está em vigor a fi fim m de se cons nsta tata tarr no novvas pr prio iori riddade dess e criticidades, lembrando que uma informação que possui um determinado valor hoje pode não possuir o mesmo valor amanhã, podendo até mesmo se tornar dispensávell para a organizaçã dispensáve organização. o. Conc e it os

A classificação da informação deve ser constituída por uma política com normas e procedimen procedimentos tos a serem seguidos pelos colaboradores, constituindo em uma política que deverá fazer parte do projeto de segurança da informação. Para compreender melhor este contexto, é importante que tenhamos em mente alguns conceitos, buscando o entendimento necessário para iniciar o desenvolvimento da política de classifi si fica caçã çãoo da in info form rmaç ação ão.. Vam amos os di divi vidi dirr es este tess conceitos aqui em dois grupos principais: conceitos gerais e os atores, onde definiremos os papéis e as res ponsabilidades. ponsabili dades. Abaixo podemos ver alguns conceitos importantes quando falamos de classificação das informações:

Identificação: Toda informação deve estar devidamente identificada. Tranquilidade : A classificação de determinada informação não deve ser alterada sem prévia autorização. Classificação: É a atribuição de um nível de proteção da informação. Desclassificação: Remoção do nível de proteção da informação, rebaixando sua classe. Reclassificação: Altera o nível de proteção da informação. Right to Know: É o direito de saber as origens dos riscos a que estão expostas as informações. Need to Know: Compreende a real necessidade do usuário de acessar determinada informação. Least Privilege: Os usuários devem possuir possuir privilégios mínimos para cumprir sua função. Auditoria: Deve-se manter um log de alterações para fins de auditoria. System High Policy: A informação deve seguir o nível de proteção da classe mais alta. Com relação aos atores, no processo de classificação

|08

da informação temos vários colaboradores envolvidos, onde cada um deles irá assumir um papel importante no processo. Podemos agrupar estas responsabilidad responsabilidades es em quatro grupos principais:

1. Proprietários das informações : são colaboradores responsáveis pela classificação das informações, reclassificação e desclassificação e devem participar particip ar de todo o processo referent referentee à alteração da mesma. 2. Custodiantes: são os responsáveis pelo armazenamento e preservação das informações de terceiros. Um bom exemplo para estes profissionais seriam os colaboradores de infraestrutura que são responsáveis por servidores com informações que não lhes pertencem. 3. Gerentes: respondem pelo grupo de usuários sob sua responsabilidade e por terceiros (visitantes ou fornecedores) que utilizam informações da organização. 4. Usuários: em geral são os colaboradores que possuem mais contato com a informa informação ção e fazem maior uso dela. Definindo os ní veis de classificação

Os níveis de classificação são onde serão enquadradas as informações de acordo com prévia avaliação.. São mui ção muito to div divers ersifi ificad cados os e pod podem em var variar iar de acordo com cada contexto contexto em que está está inserido, mas no geral sua essência será sempre a mesma: definir uma escala de relevância com proteção adequada para os ativos de informação da organização. Assim vamos analisar cenários de culturas diferentes para que possamos entender melhor estes conceitos. O primeiro deles é o governo dos Estados Unidos, que adota uma classificação por três níveis:

Top Secret Devem ser classificadas neste nível as informações cuja divulgação não autorizada possa causar algum dano grave a segurança nacional.

Secret Enquadram-se neste nível as informações cuja revelação não autorizada possa causar algum dano sério a segurança nacional. Confidential Informações cuja divulgação não autorizada possa causar algum dano à segurança nacional. Março 2012 • segurancadigital.info


O segundo cenário, a classificação segundo o governo brasileiro, define em seu decreto nº 4.553/2002 os níveis de proteção em:

Ultra-Secretos

guido por todas as organizações. Portanto poderão sofrer alterações de acordo com a necessidade de cada instituição. Assim vamos abordar aqui um modelo exemplificando sua aplicabilidade no mundo corporativo:

Dados ou informações referentes à soberania e à integridade territorial nacionais, a planos e operações militares, às relações internacionais do País [...], cu jo conhecimento não-autorizado possa acarretar dano exc xcep epccio iona nalm lmeent ntee gra ravve à seg eguura ranç nçaa da sociedade e do Estado (4.553/2002, (4.553/2002, Art. 5º, § 1º). Secretos [...] Dad [...] Dados os ou inf inform ormaçõ ações es ref refere erente ntess a sis sistem temas, as, instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos di plomáticos e de inteligência [...], programas ou instalações estratégicos, cujo conhecimento não-autorizado possa acarretar dano grave à segurança da sociedade e do Estado (4.553/2002, (4.553/2002, Art. 5º, § 2º). Confidenciais [...] Dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não-autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade sociedade e do Estado (4.553/2002, Art. 5º, § 3º). Reservados [...] Dados ou informações cuja revelação não-autorizada possa comprometer planos, operações ou ob jetivos neles previstos ou referidos (4.553/2002, Art. 5º, § 4º). Podemos constatar que as diferenças sempre irão existir nas mais diversas culturas, mas o objetivo principal será sempre o mesmo: a proteção dos ativos de informação contra possíveis danos causados pela sua manipulaç mani pulação ão de forma incorreta incorreta.. É importante importante citar também que os ativos de informação i nformação deverão ser classificados de acordo com cada meio em que está inserido.. Po do Porr ex exem empl plo, o, o de desc scar arte te de um umaa in info form rmaç ação ão reservada possui características diferentes do descarte de uma informação ultra-sercreta assim como sua re produção, transmissã transmissãoo ou transport transportee e assim deve seguir para todos os níveis de classificação, meios ou recursos existentes. No âmbito corporati corporativo vo também não é diferent diferente. e. Deve existir uma classificação segundo o grau de sigilo das informações, que seguirá os mesmos princípios dos governos citados, mas não existe um padrão se-

|09

Na classifi classificação cação de informa informações ções como “Públicas”, exemplos comuns que se encaixam neste nível seriam catálogos de serviços, informações institucionais de portais corporativos, dentre outros, que não requerem um cuidado especial com relação á divulgação a terceiros, por possuir um conteúdo com baixa criticidadee par dad paraa a or organ ganiza ização ção e hav havend endoo mui muitas tas vez vezes es grande interesse na sua divulgação. Já as informações tidas com de “Uso Interno” são informações que devem transitar estritamente dentro das organizações. Podem estar neste contexto impressos, relatórios com informações de baixa criticidade para a empresa, etc. Informaçõ Infor mações es clas classific sificadas adas como “Res “Restritas tritas”” são informações mais sensíveis e, desta forma, devem ser manipu man ipulad ladas as com cu cuida idados dos esp especi eciais ais,, ge geral ralmen mente te com au autor toriza izaçã çãoo do pro propri prietá etário rio par paraa dem demais ais fin fins. s. Um bom exemplo são as informações relativas aos funcionários, como salários e promoções, que devem ser de conhecimento apenas dos participantes de tais processos na empresa. empr esa. Temos para o nível mais alto desta cadeia de classifica sif icaçã ção, o, inf inform ormaç ações ões que req requer uerem em alt altoo gra grauu de atenção com sua proteção e manipulação. Informações “Secretas” são informações onde poucos devem ter conhecimento, geralmente colaboradores com posições estratégicas estratégicas dentro das empresas. Aplicam-se neste cenário informações tais como chaves criptográficas, planos de lançamento de novos produtos, fusões ou novas aquisições e etc., que com certeza causariam um grande estrago para a organização caso tivessem seu conteúdo acessado por pessoas não autorizadas. Março 2012 • segurancadigital.info


É importante ressaltar que a classificação por níveis deve ser dividida em duas partes: meios digitais e meios não digitais. Informações presentes nestes dois meios possuem características diferentes, trafegam em locais diferentes e, portanto necessitam de cuidados diferentes em seu processo de classificação. Logo abaixo podemos visualizar um panorama geral da classificação da informação segundo o contexto retratado acima:

em: 10 de mar 2012. FERREIRA, João Carlos Peixoto; NETO, Ennisten Mudado; LEITE, Ricardo Ricardo A. C.. Classificação Classificação da Informação de acordo com normal ISO/IEC 17799:2005. Disponível https://www.jhcruvinel.com .jhcruvinel.com/index.php?option= /index.php?option=co co em:. Acesso em: 11 de mar 2012. Francisco Temponi, Fumec, 2011. Material didático. ISO/IEC 17799:2005. PIKE, Jonh. Security and Classification Disponível em: . >. Ace Acesso sso em: 11 de mar 2012.

C o n c l u sã o

Podemos constatar que a classificação das informações é um processo de extrema relevância para as organizações. Porém, para que alcance seus objetivos, deve-se seguir todas as etapas necessárias, desde o levantamento inicial das necessidades do negócio até o treinamento dos usuários para o bom cumprimento dos procedimentos originados da política de classificação das informações, o que será fator decisivo para que a política seja seguida conforme implantada e funcione de forma satisfatória. Deve ser acompanhada de forma constante pelos responsáveis, atualizada e otimiz oti mizad adaa se sempr mpree que nec necess essári ário, o, par paraa que ref reflita lita sempre o estado atual da organização e se constitua em mais uma importante ferramenta para a segurança das informações dentro do ambiente organizacional. organizacional.

SECURITY HACKER. Disponível em: . Aces Acesso so em: 12 de mar 2012. 2012. SILVA, Aldo. Disponível em: < http://herculesSILV now.com/2010/03/30/cla now .com/2010/03/30/classificacao-da-informa ssificacao-da-informacaocao>. Aces Acesso so em: 12 de mar 2012. 2012. %E2%80%93-parte-2/ >.

Thiago Fernandes Gaspar Caixeta

B i b l i o g r a f i as

Afonso Kalil, Fumec, 2011 2011.. Material didático. DECRETO Nº 4.553, DE 27 DE DEZEMBRO DE 2002. Disponível em: . Aces Acesso so em: 10 de mar 2012. 2012. ELETRONIC PRIVACY INFORMATION CENTER. Disponível em: http://epic.org/open_gov/eo_ g/open_gov/eo_12356.html 12356.html >. . Ace Acesso sso

|10

Graduado em Ciência da Computação e MBA em Gestão da Segurança da Informação pela Universidade Fumec, atua na área de TI como Analista de Sistemas e Segurança Segura nça da Inform Informação. ação. Entusia Entusiasta sta da forense computacional.

E-mail: [email protected] Twitter: @tfgcaixeta


Conheça os principais algoritmos de cifragem

a ) 1 c i e r t t r é a m p ( i s a a i c i f r a t r é g m o t i s p s i r a C e

Não se esqueça de ler a continuidade deste artigo na próxima edição da Revista Segurança Digital...

A

palavra criptogr criptografia afia provém dos radicai radicaiss gregos computacionais, estes que inseridos nos fundamentos kriptos (oculto) e grapho (escrita) e é o nome dada segurança da informação, são definidos pela dis ponibili dade, integrid integridade, ade, controle de acesso, autentido à ciência ou arte de codificar mensagens usan- ponibilidade, do uma fórmula, que também será utilizada depois para cidade, não-repudiação e finalmente a privacidade, decodificar a mesma mensagem. Na criptografia moderna, os quais devem ser de livre compreensão e facilmenesta fórmula é chamada de algoritmo. Usada há milênios te perceptíveis ao se efetuar transações computacio pela humanida humanidade, de, a criptogr criptografia afia se tornou essencial para nais: garantir a privacidade das comunicações no mundo atual, Disponibilidade - garantir que uma informação principalmente principa lmente em redes de computad computadores ores pública públicass como estará disponível para acesso no momento desejaa internet, por onde circulam dados pessoais, comerciais, do. bancárioss e outros. Conhecer, difundir e utiliza bancário utilizarr algoritIntegridade - garantir que o conteúdo da menmos criptográficos é essencial ao profissional de Tecnolosagem não foi alterado. gia da Informação que no mundo moderno, entre suas Controle de acesso - garantir que o conteúdo da atribuições deve proteger e garantir a privacidade das tranmensagem somente será acessado por pessoas ausações comerciais realizadas através de meios eletrônicos, torizadas. assim é fundamental o entendimento das técnicas, seus alAutenticidade - garantir a identidade de quem goritmos, protocolos e finalmente a maneira como estes liestá enviando a mensagem. dam com a informação a ser mantida segura. Não-repudiação - prevenir que alguém negue o

Palavras chave : Criptografia; Algoritmo; Segurança. 1 . I nt roduç ã o

Quando falamos de informação e transportamos este conceito para o meio digital, particularmente na utilização das redes públicas de computação como a internet, inter net, e dive diversos rsos são os serv serviços iços realizados realizados é rele rele-vante ao ser humano à credibilidade nos sistemas

|111 |1

envio e/ou recebimento de uma mensagem. Privacidade - impedir que pessoas não autorizadas tenham acesso ao conteúdo da mensagem, garantindo que apenas a origem e o destino tenham conhecimento. O exemplo clássico é uma compra pela internet, todos os requisitos são encontrados neste processo de troca de informações: A informação que permite a Março 2012 • segurancadigital.info


transação - valor e descrição do produto - precisa estar disponível no dia e na hora que o cliente desejar efetuá-la (disponibilidade), o valor da transação não pode ser alterado (integri (integridade), dade), somente o cliente que está comprando e o comerciante devem ter acesso à trans tra nsaçã açãoo (co (contr ntrole ole de ace acesso sso), ), o cli client entee que es está tá com ompr praando dev evee ser re reaalm lmeent ntee que uem m diz ser (aut (a uteent ntic icid idaade de), ), o cl clie ient ntee te tem m como pro rovvar o pagamento e o comerciant comerciantee não têm como negar o rece re cebi bime ment ntoo (n (não ão-re -repú púdi dio) o) e o co conh nhec ecim imen ento to do conteú con teúdo do da tra transa nsaçã çãoo fic ficaa res restri trito to ao aoss en envol volvid vidos os (privacidade). Assim é fundamental que técnicas computacionais sejam empregadas para que os requisitos de proteção da in info form rmaç ação ão se seja jam m at aten endi dido dos. s. Ne Nest stee ce cená nári rioo apresentam-se os dois tipos básicos de criptografia: a simétrica ou chave privada, e a assimétrica ou chave pública. 2. Criptogra fia simétrica ou cha ve priva da

O modelo mais antigo de criptografia, em que a chave, isto é, o elemento que dá acesso à mensagem oculta trocada entre duas partes, é igual (simétrica) para ambas as partes e deve permanecer em segredo (privada). Tipicamente, esta chave é representada por uma senha, usada tanto pelo remetente para codificar a mensagem numa ponta, como pelo destinatário para decodificá-la na outra. Essencia Esse ncialmen lmente, te, quan quando do a orige origem m (ALF (ALFA) A) cifra uma me mens nsaagem em,, ele uti tili lizza um alg lgor orit itmo mo de ciframento para transformar o conteúdo em claro da mens me nsag agem em em te text xtoo ci cifr frad ado. o. Qu Quan ando do o de dest stin inoo (BRA (B RAVO VO)) de deci cifr fraa um umaa me mens nsag agem em,, el elee ut util iliz izaa o algo al gorit ritmo mo de de deci cifr fram amen ento to co corr rres espo pond nden ente te pa para ra converter o texto cifrado de novo em uma mensagem cla lara ra.. Se um in intr trus usoo (C (CHA HARL RLIE IE)) con onhhec eceer o algori alg oritmo tmo de cif cifram ramen ento, to, ele pod poderi eriaa dec decifra ifrarr uma mensagem cifrada tão facilmente quanto o destino (BRAVO). A solução no uso da criptografia de chave privada propõe que quando a origem (ALFA) cifra uma me mens nsaagem em,, ele uti tili lizze um alg lgor orit itmo mo de ciframento e uma chave secreta para transformar uma mens me nsag agem em cl clar araa em um te text xtoo ci cifr frad ado. o. O de dest stin inoo (BRA (BR AVO) VO),, por su suaa vez vez,, ao de decif cifrar rar a men mensag sagem, em, utiliza o algoritmo de deciframento correspondente e a mesma chave para transformar o texto cifrado em uma mensagem em claro. O intruso (CHARLIE), por não possuir a chave secreta, mesmo conhecendo o algoritmo, não conseguirá decifrar a mensagem. A segurança do sistema passa a residir não mais no

|12

algoritmo e sim na chave empregada. É ela (chave privada) que agora, no lugar do algorit algoritmo, mo, deverá ser mantida em segredo pela origem (ALFA) e destino (BRAVO). A pr prin inci cipa pall va vant ntag agem em é a si simp mplic licid idad ade, e, es esta ta técnica apresenta facilidade de uso e rapidez para executar os processos criptográficos. Entenda que se as chaves utilizadas forem complexas a elaboração de um algoritmo de chave privada se torna bastante fácil, porém as possibilidades de interceptação são correlatas aos recursos empregados, entretanto sua utilização é considerável no processo de proteção da informação, pois quanto mais simples o algoritmo, melhor é a velocidade de processamento e facilidade de implementação implementação.. O principal problema residente na utilização deste sist si stem emaa de cr crip ipto togr graf afia ia é qu quee qu quan ando do a ch chav avee de ciframento é a mesma utilizada para deciframento, ou esta última pode facilmente ser obtida a partir do conh co nhec ecim imen ento to da pr prim imei eira ra,, am amba bass pr prec ecis isam am se ser r compartilhadas previamente entre origem e destino, ante an tess de se es esta tabe bele lece cerr o ca cannal cr crip ipto toggrá ráfi ficco desejado, e durante o processo de compartilhamento a senha pode ser interceptada, por isso é fundamental utilizar um canal seguro durante o compartilhamento, este es te in inde depe pend nden ente te do de dest stin inad adoo à co comu muni nica caçã çãoo sigilosa, uma vez que qualquer um que tenha acesso à se senh nhaa po pode derá rá de desc scob obri rirr o co cont nteú eúdo do se secr cret etoo da mensa men sagem gem.. Out Outras ras lac lacuna unass são int interp erpost ostas as a es este te sistema: Como cada par necessita de uma chave para se comunicar de forma segura, para um uma rede de n usuários precisaríamos de algo da ordem de n2 chaves, quantidade esta que dificulta a gerência das chaves; A chave deve ser trocada entre as partes e armazenada zena da de forma segura, segura, o que nem sempre é fácil de ser garantido; A criptografia simétrica não garante os princípios de autenticidade e não-repudiação.

Tabela 1 - Principais algoritmos de chave privada ou criptografia simétrica



Algoritmo

AES

DES

Bits

Descrição

128

O Advanced Encryption Standard (AES) é uma cifra de bloco, anunciado pelo National Institute of Standards and Technology (NIST) em 2003, fruto de concurso para escolha de um novo algoritmo de chave simétrica simétrica para proteg proteger er inform informações ações do govern governoo feder federal, al, sendo adota adotado do como padrão pelo governo dos Estados Unidos, é um dos algoritmos mais populares, desde 2006, usado para criptografia de chave simétrica, sendo considerado como o padrão substituto do DES. O AES tem um tamanho de bloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bits, ele é rápido tanto em software quanto em hardware, é relativamente fácil de executar e requer pouca memória.

56

O Data Encryption Standard (DES) foi o algoritmo simétrico mais disseminado no mundo, até a padronização do AES. Foi criado pela IBM em 1977 e, apesar de permitir cerca de 72 quadrilhões de combinações, seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "força bruta" em 1997 em um desafio lançado na internet. O NIST que lançou o desafio mencionado, recertificou o DES pela última vez em 1993, passando então a recomendar o 3DES.

3DES

O 3DES é uma simples variação do DES, utilizando o em três ciframentos suscessivos, podendo em112 ou 168 pregar uma versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser um algoritmo padrão.

IDEA

O International Data Encryption Algorithm (IDEA) foi criado em 1991 por James Massey e Xuejia Lai e possui patente da suíça ASCOM Systec. O algoritmo é estruturado seguindo as mesmas linhas gerais do DES. Mas na maioria dos microprocessadores, uma implementação por software do IDEA é mais rápida do que uma implementação por software do DES. O IDEA é utilizado principalmente no mercado financeiro e no PGP, o programa para criptografia de e-mail pessoal mais disseminado no mundo.

128

Blowfish

Algoritmo desenvolvido por Bruce Schneier, que oferece a escolha, entre maior segurança ou desem32 a 448 penho através de chaves de tamanho variável. O autor aperfeiçoou o no Twofish.

Twofish

É uma das poucas cifras incluídas no OpenPGP. O Twofish é uma chave simétrica que emprega a cifra de bloco de 128 bits, utilizando chaves de tamanhos variáveis, podendo ser de 128, 192 ou 256 bits. Ele realiza 16 interações durante a criptografia, sendo um algoritmo bastante veloz. A cifra Twofish não foi patenteada estando acessível no domínio público, como resultado, o algoritmo Twofish é de uso livre para qualquer um utilizar sem restrição.

RC2

CAST

128

Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e utilizado no protocolo S/MIME,

8 a 1024 voltado para criptografia de e-mail corporativo. Também possui chave de tamanho variável. Rivest também é o autor dos algoritmos RC4, RC5 e RC6.

128

É um algoritmo de cifra de bloco, sendo criado em 1996 por Carlisle Adams e Stafford Tavares. O CAST-128 é um algoritmo de Feistel, com 12 a 16 iterações da etapa principal, tamanho de bloco de 64 bits e chave de tamanho variável (40 a 128 bits, com acréscimos de 8 bits). Os 16 rounds de iteração são usados quando a chave tem comprimento maior que 80 bits.

3. Criptogra fia a ssimétrica ou cha ve pública

Modelo de criptografia criado na década de 1970 pelo matemátic matemáticoo Cliffor Cliffordd Cocks que trabalhav trabalhavaa no serviço secreto inglês, o GCHQ - na qual cada parte envolvida na comunicação usa duas chaves diferentes (assimétricas) e complementares, uma privada e outra pública. Neste caso, as chaves não são apenas senhas, mas arquivos digitais mais complexos (que eventualmente até estão associados a uma senha). A chave pú blica pode ficar disponível para qualquer pessoa que queira se comunicar com outra de modo seguro, mas a chave privada deverá ficar em poder apenas de cada titular. É com a chave privada que o destinatário poderá decodificar uma mensagem que foi criptografada para ele com co m sua respectiva chave pública. p ública. Para entender o conceito, basta pensar num cadeado comum protegendo um determinado bem. A men-

|13

sagem sage m é es este te be bem, m, e o ca cade dead ado, o, qu quee po pode de fi fica car r exposto, é a chave pública. Apenas quem tiver uma chave particular (privada) que consiga abrir o cadeado poderá acessar a mensagem. A principal vantagem deste método é a sua segurança, pois não é preciso (nem se deve) compartilhar a chave privada. Por outro lado, o tempo de processamento de mensagens com criptografia assimétrica é muitas vezes maior do que com criptografia simétrica, o que pode limitar seu uso em determinadas situações. situações. Essencialmente, o destino (BRAVO) e todos os que desejam comunicar-se de modo seguro geram uma chave de ciframento e sua correspondente chave de deciframento. Ele mantém secreta a chave de deciframento, esta é chamada de sua chave privada. Ele torna pública a chave de ciframento, esta é chamada de sua chave pública. A chave chave pública realmente condiz com seu nome. Qualquer pessoa pode obter uma Março 2012 • segurancadigital.info


cópia dela. O destino (BRAVO) inclusive encoraja is- (BRAVO), não pode decifrá-la agora. to, enviando-a para seus amigos ou publicando-a na A gra grand ndee van vantag tagem em des deste te sis sistem temaa é per permit mitir ir a internet. Assim, O intruso (CHARLIE) não tem ne- qualquer um enviar uma mensagem secreta, apenas nhuma dificuldade em obtê-la. Quando a origem (AL( AL- utilizando a chave pública de quem irá recebê-la. CoFA) de desseja envi viaar um umaa me mens nsaage gem m ao dest stin inoo mo a chave pública está amplamente disponível, não (BRAVO), (BRA VO), precisa primeiro encontrar a chave pública há necessidade do envio de chaves como feito no dele. Feito isto, ela cifra sua mensagem utilizando a modelo simétrico. A confidencialidade da mensagem chave pública do destino (BRAVO), despachando-a é garantida, enquanto a chave privada estiver segura. em seguida. Quando o destino (BRAVO) recebe a Caso contrário, quem possuir acesso à chave privada mensagem, ele a decifra facilmente com sua chave terá acesso às mensagen mensagens. s. privada. O intruso (CHARLIE (CHARLIE), ), que intercept interceptou ou a O óbice deste sistema é a complexidade empregamensagem em trânsito, não conhece a chave privada da no desenvolvimento dos algoritmos que devem ser do destino (BRAVO), embora conheça sua chave pú- capazes de reconhecer a dupla de chaves existentes e blica. Mas este conhecimento não o ajuda a decifrar a poder relacion relacionar ar as mesmas no momento oportuno, o acarre rreta ta nu num m gra grande nde pod poder er de pro proces cessam sament entoo mensagem. Mesmo a origem (ALFA), que foi quem que aca cifrou a mensagem com a chave pública do destino computacional.

Tabela 2 - Principais algoritmos de chave pública ou criptografia assimétrica Algoritmo Descrição

RSA

O RSA é um algoritmo assimétrico assimétrico que possui este nome devido a seus inventores: inventores: Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977 no MIT. Atualmente, é o algoritmo de chave pública mais amplamente utilizado, além de ser uma das mais poderosas formas de criptografia de chave pública conhecidas até o momento. O RSA utiliza números primos. A premissa por trás do RSA consiste na facilidade de multiplicar dois números primos para obter um terceiro número, mas muito difícil de recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Por exemplo, os fatores primos de 3.337 são 47 e 71. Gerar a chave pública envolve multiplicar dois primos grandes; qualquer um pode fazer isto. Derivar a chave privada a partir da chave pública envolve fatorar um grande número. Se o número for grande o suficiente e bem escolhido, então ninguém pode fazer isto em uma quantidade de tempo razoável. Assim, a segurança do RSA baseia se na dificuldade de fatoração de números grandes. Deste modo, a fatoração representa um limite superior do tempo necessário para quebrar o algoritmo. Uma chave RSA de 512 bits foi quebrada em 1999 pelo Instituto Nacional de Pesquisa da Holanda, com o apoio de cientistas de mais 6 países. Levou cerca de 7 meses e foram utilizadas 300 estações de trabalho para a quebra. quebr a. No Brasi Brasil,l, o RSA é utilizado pela ICP-Brasil, ICP-Brasil, no seu sistema de emissão de certi certificad ficados os digitais, e a partir do dia 1º de janeiro de 2012, as chaves utilizadas pelas autoridades certificadoras do país, passam a serem emitidas com o comprimento de 4.096bits, em vez dos 2.048bits atuais.

ElGamal

O ElGamal é outro algoritmo de chave pública utilizado para gerenciamento de chaves. Sua matemática difere da utilizada no RSA, mas também é um sistema comutativo. O algoritmo envolve a manipulação matemática de grandes quantidades numéricas. Sua segurança advém de algo denominado problema do logaritmo discreto. Assim, o ElGamal obtém sua segurança da dificuldade de calcular logaritmos discretos em um corpo finito, o que lembra bastante o problema da fatoração.

DiffieHellman

Também baseado no problema do logaritmo discreto, e o criptosistema de chave pública mais antigo ainda em uso. O conceito de chave pública, aliás foi introduzido pelos autores deste criptosistema em 1976. Contudo, ele não permite nem ciframento nem assinatura digital. O sistema foi projetado pr ojetado para permitir a dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave, muito embora eles somente troquem mensagens em público.

Curvas Elípticas

Em 1985, Neal Koblitz e V. S. Miller propuseram de forma independente a utilização de curvas elípticas para sistemas criptográficos de chave pública. Eles não chegaram a inventar um novo algoritmo criptográfico com curvas elípticas sobre corpos finitos, mas implementaram algoritmos de chave pública já existentes, como o algoritmo de Diffie-Hel Diffi e-Hellman, lman, usando curva curvass elípti elípticas. cas. Assim, Assim, os siste sistemas mas cripto criptográfic gráficos os de curva curvass elípti elípticas cas consi consistem stem em modificações de outros sistemas (o ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas, em ve vezz de tr trab abal alha hare rem m no do domí míni nioo do doss co corp rpos os fi fini nito tos. s. El Eles es po poss ssue uem m o po pote tenc ncia iall de pr prov over erem em si sist stem emas as criptográficos de chave pública mais seguros, com chaves de menor tamanho. Muitos algoritmos de chave pública, como o Diffie-Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos. Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública, o grande tamanho de suas chaves. Porém, os algoritmos de curvas elípticas atuais, embora possuam o potencial de serem rápidos, são em geral mais demorados do que o RSA.

|14



4. Certifica do digita l

JUS), Aut JUS), Autori oridad dadee Cer Certifi tificad cadora ora da Pre Presid sidênc ência ia da República (AC-PR) e Casa da Moeda do Brasil (ACCMB). Assi As sim, m, a AC-Rai AC-Raizz te tem m au auto tori rida dade de de em emit itir ir,, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu, sendo também encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de serviço habilitados na ICP-Brasil. Além disso, verifica se as autoridades certificadoras (ACs) estão atuando em conformidade com as dir diretr etrize izess e nor normas mas téc técnic nicas as est estabe abelec lecida idass pelo Comitê Gestor.

Com um sistema de chave pública, o gere ge renc ncia iame ment ntoo de ch chav aves es pa pass ssaa a te terr do dois is no novo voss aspectos: primeiro, deve-se previamente localizar a chav ch avee pú públ blic icaa de qu qual alqu quer er pe pess ssoa oa co com m qu quem em se deseja des eja co comun munica icarr e, seg segund undo, o, dev deve-s e-see obt obter er uma gara ga rant ntia ia de qu quee a ch chav avee pú públ blic icaa en enco cont ntra rada da se seja ja provenientee daquela pessoa. Sem esta garantia, um provenient intru in truso so po pode de co conv nven ence cerr os in inte terlo rlocu cuto tore ress de qu quee chaves públicas falsas pertencem a eles. Estab Est abele elecen cendo do um pro proces cesso so de con confia fiança nça ent entre re os interl int erlocu ocutor tores, es, o int intrus rusoo pod podee faz fazer er-se -se pa passa ssarr por ambos. Deste modo, quando um emissor enviar uma mensagem ao receptor solicitando sua chave pública, o int intrus rusoo pod poderá erá int interc ercept eptá-l á-laa e dev devolv olver er-lh -lhee uma chave pública forjada por ele. Ele também pode fazer o mesmo com o receptor, fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso, então este pode decifrar todas as mensagens, cifrá-las Continua na próxima edição... novamente ou, se preferir, até substituí-las por outras mensagens. Através deste ataque, um intruso pode Aguarde a próxima edição de nossa revista para causar tantos danos ou até mais do que causaria se continuidade ade deste artigo. Veja abaicons co nseg egui uiss ssee qu queb ebra rarr o al algo gori ritm tmoo de ci cifra frame ment ntoo poder conferir a continuid xo os pontos que ainda serão vistos: empregado pelos interlocutores. A ga gara rant ntia ia pa para ra ev evit itar ar es este te ti tipo po de at ataq aque ue é 5. Assinatura digital; repres rep resent entada ada pe pelos los ce certif rtifica icado doss de cha chave ve púb públic lica, a, comume com umente nte cha chamad mados os de cer certifi tifica cado do dig digita ital, l, tai taiss 6. Função hashing; certificados consistem em chaves públicas assinadas 7. Sistemas híbridos; por uma pessoa de confiança. Servem para evitar 8. Conclusão. tentativas de substituição de uma chave pública por outra. O certificado contém algo mais do que sua chave cha ve púb públic lica, a, ele ap apres resent entaa inf inform ormaç ações ões sob sobre re o nome, endereço e outros dados pessoais, e é assinado por alguém em quem o propriet proprietário ário deposita sua confiança, uma autorid idaade de certific icaação (certification authority - CA). Assim, um certificado Ronielton Rezende Oliveira digi di gita tall po pode de se serr de defi fini nido do co como mo um do docu cume ment ntoo eletrônic eletr ônico, o, assi assinado nado digit digitalmen almente te por uma terce terceira ira MBA Executivo Internacional pela Ohio parte confiável. University/ Univer sity/USA; USA; MBA Geren Gerenciame ciamento nto No Brasil, o órgão da autorida autoridade de certifi certificadora cadora raiz de Pro Projet jetos os pel pelaa FGV FGV;; pós pós-gra -gradua duado do é o IC ICPP-Br Bras asil il (A (ACC-Ra Raiz iz), ), el elee é o ex exec ecut utor or da dass Criptografia e Segurança em Redes pela UFF; graduado Ciência da Compu Computação tação políticas polític as de certifi certificados cados e normas técnicas e pela UninCor. Certificado PMP PMP,, CobiT, operacionais aprovadas pelo Comitê Gestor da ICPITIL.. Car ITIL Carrei reira ra dir direci eciona onada da em Gov GovererBrasil. São autoridades certificadoras no país: Serpro nança de TI, Segurança da Informação e (AC(A C-SE SERP RPRO RO), ), Ca Caix ixaa Ec Econ onôm ômic icaa Fe Fede dera rall (A (ACCGerenciamento de Projetos. CAIXA), CAIXA ), Sera Serasa sa Expe Experian rian (AC-S (AC-SERAS ERASA), A), Rece Receita ita Fed edeera rall do Bra rassil (A (ACC-RF RFB) B),, Cert rtssin ingg (A (AC CSite: http://www.ronielton.eti.br Certisign), Imprensa Oficial do Estado de São Paulo Email: [email protected] Twitter: @ronielton (AC-IOSP), Autoridade Certificadora da Justiça (AC-

|15


VOCÊ também faz parte do jogo!!! A Internet se tornou um verdadeiro tabuleiro de Xadrez. As nações são Reis e Rainhas, empresas empresas de seguran segurança ça são bispos e cavalos cavalos,, analistas de TI as Torres e os usuários são os Peões!!!

e d e c a e d h i l n a e r o c s a e d r a ê c W o r e v b y e u C q “Não sei como será a Terceira Guerra Mundial, mas poderei vos dizer como será a Quarta: com paus e pedras.” Albert Einstein Vírus, DDoS e CyberWar, há alguma relação entre No fim dos anos 90 e inicio dos anos 2000 tiveeles? Para respondermos a essa questão é preciso vol- mos o grande " BOOM" de propagação de vírus no tar um pouco na história da computação e entender co- mundo. Diversos Worms foram criados e milhões de mo tudo começou. sistemas foram infectados, prejudicados e até mesmo 1982 o vírus considerado como precursor de tudo inu inutili tiliza zados dos.. Alguns Alguns dos pri princ ncipa ipais is vír vírus us for foram am o o que vemos hoje, foi criado por um garoto de 15 "Chernobyl" de 1999, "I love You" de 2000, "Nimda" de 2001, "SQL Slammer" de 2003 e "Sasser" de anos... 1983 o pesquisador Len Eidelmen apresentou, em 2004. A principal característica entre eles? O poder um seminário de segurança computacional, o que se- de propagação e indisponibilidade de sistemas. ria o primeiro código de computadores com capacidaAproveitando a expansão dos vírus na internet, o de para se auto-replicar e no ano seguinte o termo email se tornou o principal meio de distribuição de VÍRUS foi definido como um programa com capaci- novas pragas, cerca de 67% de todos os emails que dade de alterar o código de outros programas replican- circulam na internet atualmente são SPAM e esse núdo assim seu código para outras partes do sistema. mero já chegou a 97% entre o fim de 2009 e inicio de 1986 o primeiro virus para PC foi descoberto e a 2010. Os ataques tem se tornado mais seletivos e ele deram o nome de Brain. Criado para infectar a complexos e não tem visado apenas usuários comuns, área de boot dos sistemas, o Brain era transmitido por mas executivos de grandes corporações, chefes milidisquetes e seu método de infecção foi bastante "po- tares e governantes governantes.. pular" até meado m eado dos do s anos 90. Com o aumento da capacidade de navegação e do 1988 o primeiro código malicioso transmitido pela uso dos smartphones, os códigos maliciosos começainternet ficou conhecido como Morris Worm e foi dis- ram a serem distribuídos diretamente pelos sites e tribuído acidentalmente para cerca de 60.000 compu- aplicativos. As vulnerabilidades presentes nas aplicatado ta dore ress con onec ecta tado doss que ti tive vera ram m seu sis iste tema ma ções e browsers e a falta de conhecimento do usuário operacional inutilizado. A propagação e eficácia do facilitam esse trabalho. Praticamente toda semana é Morris Worm foi ocasionada devido ao um erro no có- publicada uma matéria com o aumento dos códigos digo do programa. Ao tentar ser processado pelos sis- maliciosos desenvolvidos para o sistema Android e temas os mesmos acabavam sendo corrompidos. não faltam artigos do mesmo problema para o iOS.

|16



2006 crackers russos causaram a indisponibilidade de vários sites e serviços da Estônia. Os ataques ocorreram em represália à remoção de uma estátua de bronze de um soldado da 2ª Guerra Mundial na cidade de Tallinn. A estátua estátua era em homenagem ao triunfo soviético sobre as tropas nazistas. Os ataques foram tão intensos e por um período tão longo que especialistas da OTAN, União Européia e EUA se reuniram em Tallinn a fim de ajudar e tentar encontrar uma forma de lidar de forma efetiva com os ataques. Diversos outros países foram envolvidos nesse conflito e "felizmente" em 10 de maio de 2007 os ataques foram interrompidos abruptamente, isso só ocorreu porque o tempo de uso dos servidores "alugados" pelos crackers havia se esgotado. 2007 o governo chinês foi acusado de autorizar seus militares a tentarem invadir os sistemas americano, alemão, do reino unido e francês. De acordo com esses governos a finalidade do ataque chinês era o roubo de informações confidenciais militares. Por sua vez, o governo chinês afirmou que é totalmente contra qualquer tipo de ataques do tipo e que também era vítima do mesmo tipo de ataque e que seus sistemas foram bastante prejudicados com tais atos. 2008, a Rússia foi acusada pela Geórgia de atacar virtualmente seus sistemas enquanto o exército russo invadia o país. Infraestruturas tecnológicas da Geórgia foram indisponibilizados. O governo russo negou qualquer acusação e "oficialmente" divulgou que os ataques foram gerados por grupos crackers. 2010 o governo Iraniano acusa os EUA e Israel de plantar um vírus com código extremament extremamentee detalhado d etalhado e eficiente nos sistemas de energia nuclear do país e causar o sua interrupção. O vírus em questão é conhecidoo com cid comoo Stuxnet, su suaa di diss ssem emin inaç ação ão é gl glob obal al e EUA, Inglaterra, Alemanha, Australia, entre outros, já informa informaram ram que também tiveram seus sistemas infectados por ele. O que o torna tão especial e perigoso é o fato dele ter sido dese desenvol nvolvido vido para atacar um sistema desenvolvido especificamente pela Siemens (SCADA) que é utilizado para controle de equipamentos de tubulação de petróleo, centrais elétricas, aero portos, navios, etc. No caso em questão, as centrífugas de enriquecimento iranianas é que foram afetadas, mas nada impede que danos maiores possam ser causados, como a abertura ou fechamento de distribuição de gás ou água provocando danos físicos. Em 2010 foi divulgado pelo governo Norte Americano um relatório de Estratégia Internacional para o Cyberespaço (ISC na sigla em Inglês) aonde é sugeri-

|17

do que o tratado de agressões da OTAN vale também para o mundo virtual. “Todos os estados possuem um direito inerente de autodefesa, e reconhecemos que certos atos hostis realizados através do ciberespaço podem obrigar ações no âmbito dos compromis compromissos sos que temos com nossos parceiros de tratados militares”, afirma o documento. “Atividades realizadas no ciberespaço têm consequências para a nossa vida no espaço físico, e temos de trabalhar para a construção do estado de direito.” O relatório cita nominalmente a OTAN como exemplo desses tratados militares. Isso se deve ao fato de a maioria dos tratados e das leis não abrangerem a Internet como "campo de batalha". Nos últimos anos os ataques a taques DDoS tem se intensii ntensificado e passaram a ser utilizados não apenas por “hacktivistas” mas por nações. O grupo Anonymous se tornou mundialmente conhecido ao causar a indis ponibilidade ponibili dade de sites financeir financeiros os por retirar retirarem em seus patrocínios patrocín ios e bloqueio de contas con tas do d o Wikileaks. Visando aumentar o seu poderio, começou a distribuir um aplicativo DDoS para usuários que apoiem a “causa”. O mesmo grupo está agora alertando a seus “usuários” sobre alguns links aonde distribuíam a versão do seu aplicativo de ataque DDoS. Os links foram alterados por “ crackers” para baixar uma versão do Slowlo Slo wloris ris mod modific ificado ado qu quee con contém tém o Trojan Zeus. Zeus é responsável pelo roubo de dados pessoais e bancários nos computadores aonde está instalado e é considerado o TROJAN com maior número de infecções existentes atualmente.

Figura 1 - Grupo de hacktivistas que se especializou em atacar grandes organizações (Interpol, CIA, etc).

A CyberWar já é uma realidade, a todo instante Março 2012 • segurancadigital.info


milhares de ataques são disparados e a dificuldade em identificar a sua origem ou de punir os responsáveis é o maior facilitador para essa propagação. Diferentemente de um ataque presencial, a INTER NET nos proporcio proporciona na estar em contato com X pessoas e Y locais do mundo ao mesmo tempo. Com um pouco de conheciment conhecimentoo e disposição é possível fazer um grande estrago a alguém ou alguma empresa e até mesmo causar incidentes internacionais. Afinal, não há como provar que foi um indiv indivíduo íduo de forma indeinde pendente que invadiu a NASA e não o governo Chinês. Assim como não há como provar quem tirou do ar o site do partido Comunista. Mesmo que seja aceito que o ataque originado não foi militar, o porque do indivíduo não ter sido identificado e capturado sem pre levantará suspeitas de proteção e apoio de cada nação. Um estudo realizado pela empresa de segurança Northrop Grumman, aponta o aumento da preocupação Norte Americana com o avanço tecnológico chinês. nê s. A gr gran ande de co comp mple lexi xida dade de e di dist strib ribui uiçã çãoo do doss componentes microeletrônicos e de telecomunicações dificulta, e até impossibilita, que as empresas possam atestar a autenticidade desses componentes. Firmwares podem conter acessos secretos em seus códigos e um serviço de inteligência pode utilizar desse recurso para invadir os sistemas sem que seja identif identificado. icado. O Governo Chinês tem investido fortemente em pesquisas tecnológicas e de segurança nas Universidades do país. "Os líderes chineses adotaram a ideia i deia de que para vencer uma guerra é preciso ter controle externo das informações e sistemas, geralmente de forma preventiv ven tiva". a". "Co "Coman mandan dantes tes chi chine neses ses pod podem em es escol colher her usar o acesso profundo às redes norte-americanas de logística e controlar os dados para coletar informações de alto valor em tempo real ou corromper os dados sem destruir redes ou hardwares", diz o estudo. A prova de que mesmo aqui aqui no Brasil já há preocu pação quanto a Cyberwar é que o Exército brasilei brasileiro ro finalizou recentemente duas licitações para compras de softwares de antivírus e simulação e ataques virtuais que serão desenvolvidos exclusivamente por em presas brasilei brasileiras. ras. O investime investimento nto de cerca de R$ 6.000.000,00 é parte da estratégia militar para alcançar um alto nível tecnológico até 2015. Durante o período da Guerra Fria (capitalismo Norte Americano e socialismo/comunismo Soviético), o mundo viveu momentos de tensão durante alguns dias com o iminente início de uma 3ª Guerra Mundial com armamentos nucleares, alguns especialistas di-

|18

zem que uma guerra tecnológica pode ter danos superiores a uma guerra nuclear. nuclear. Se a 3ª Guerra Mundial ocorrer, as nações com maior poderio tecnológico são as que mais sofrerão com uma possível guerra por possuírem uma maior dependência da tecnologia, porém são elas mesmas que estão promovendo essa disputa “tecno armamentista”. Stuxnet

O Stuxnet foi o primeiro worm de computador a incluir um rootkit de CLP. Também é o primeiro worm conhecido a ter como alvo infraestrutura industrial crítica. Diversas mídias caracterizaram o Stuxnet como um vírus de computador sofisticado e complexo. Mobilida de

Não é de agora que os dispositi dispositivos vos móveis tem ganho a atenção da mídia e principalmente dos usuários. Cada vez menores e com mais recursos e velocidade de processamento, eles tem se tornado uma opção vantajosa para ter acesso a informações digitais. A tendência de crescimento é exponencial e a possibilidade de ter acesso ao ambiente e as informações empresariais faz com que muitas pessoas comecem a tê-los como “computador “computador”” principal em detrimen detrimento to do desktops e notebooks. Este é um trecho do artigo de Luiz Felipe 3ª edição novembro da Revista Segurança Digital. Cada vez mais utilizados e presentes no dia-a-dia os dis positivos moveis agora estão na mira dos criminosos virtuais, então não pense que só por ser um "celular/smartphone" você esta seguro ao utilizálo.

Julio Carvalho Graduado em Redes de Computadores e Pós Graduado em Auditoria e Segurança ran ça de Sis Sistem temas as pel pelaa Uni Univer versid sidade ade Estácio de Sá, Especialista em Códigos Maliciosos e Sistemas de Correio Eletrônico, com mais de 10 anos de experiência em Infraestrutura e Segurança de ambientes, com certificações em produtos da linha Lotus/IBM e Trend Micro. Linkedin: http://br.linkedin.com/in/julioinfo Email: [email protected] Março 2012 • segurancadigital.info

o v o 2 n 1 “ 0 o 2 d m s e o i ” f o a t s i e e r d i s o d o – d I l T a n & i o o s t s i i f e r o i r D p

CARREIRAS: DIREITO & TI O que você precisa saber para darr o po da pont ntap apéé ini nici cial al na su suaa carreir carr eiraa de adv advoga ogado do atu atuant antee com co m as qu ques estõ tões es de Tec ecno nolog logia ia da Informação

L

ogo que a 4ª edição da Revista Segurança Digital foi lançada, em janeiro passado, fui surpreendida com pedidos de leitores para elaboração de um artigo sobre o profissional de Direito Digital, os caminhos que devem ser trilhados, as dificuldades encontradas e a obtenção de informações a respeito.

O domínio do conhecimento no assunto ainda passa longe do alcance da grande maioria dos profissionais, isso ocorre por alguns motivos: O primeiro deles, é o acesso acadêmico à matéria. A grande maioria dos cursos de Direito não aborda a disciplina do Direito Eletrônico, ou preferencialmente chamado por algums por Direito de Informática, ou por outros como Direito Digital, Direito da Sociedade da Informação, Direito da Tecnologia da InforInformação, dentre outras denominações. Além disso, a produção doutrinária, que já foi escassa, tem crescido bastante no tocante à matéria, mas ainda não percebe-se uma formação doutrinária uniforme, que fundamente a existência ou criação de um novo ramo do Direito. Existe, sim, influência das tecnologias em diversos ramos clássicos do Direito. Porém, ainda não está consolidada a doutrina que trate de maneira uniforme a matéria do “Direito material Eletrônico” e do “Direito Processual Eletrônico”, o que não significa di-

|19

zer que para a matéria ser reconhecida como um ramo autônomo do Direito, deva ser estudada seguindo a mesma linha de pesquisa que as outras matérias tradicionais seguem. A verdade é que reconhecendo ou não como ramo autônomo do Direito, o Direito Eletrônico encontrase tão intrinsecamente ligado a outros ramos do Direito, que não estudá-lo com mais profundidade culminaria na negligência de considerações essenciais ao Direito e aos ramos do Direito atingidos pelas tecnologias, o Direito Penal e o Direito de Autor como exemplos. Enquanto profissional que abraçou a matéria do Direito Eletrônico no desempenho das atividades la borais diárias, reconheço inúmeras dificul dificuldades, dades, dentre elas a busca em desenvolver a matéria na região Nordeste do Brasil, que já é nacionalmen nacionalmente te reconhecida como pólo tecnológico, com suas empresas de Tecnologia da Informação. O grande desafio é trazer este reco reconhec nhecimen imento to tamb também ém para os profis profission sionais ais que atuam nas questões que envolvem Direito e Tecnologia na região. São Paulo e Rio de Janeiro já contam com grandes bancas de advogados especiali especializados zados na influênci influênciaa das tecnologias sobre o Direito. Mas o que de fato constitui o diferencial destes



profissi onais que se dedicam ao estudo de uma maté profissionais ria tão pouco divulgada diante de tantas outras oportunidad nid ades es que o Dir Direit eitoo pos possui sui?? A pos possib sibili ilidad dadee de inovar e de fazer parte da criação de uma doutrina nacional sobre o assunto. Poucas são as áreas do Direito que ainda possuem espaço para absorverem tal nível de inovação. Ao mesmo tempo, inovação exige um perfil empreendedor do profissional, que aposta num ramo ainda em desenvolvimento no mercado nacional, e que se mostra bastante promissor promissor.. Por isso, aproveitando a oportunidade que tenho para falar de minhas próprias experiênci experiências as no ramo, indico que os interessados busquem, além da leitura doutrinária, essencial à formação científica do pesquisador, cursos especializados na área do Direito e Tecnologia da Informação. Estes cursos acabam por dar o impulso inicial na formação forma ção cien científica tífica do profi profissio ssional, nal, esta estabele belecend cendoo contato com professores que além de doutrinadores no assunto, são profissionais de sucesso da área, além de pôr o aluno em contato com o que há de produção doutrinária no assunto. Dentre os cursos especializados em Direito e Tecnologia da Informação existentes no Brasil, seguem algumas sugestões:

Pós Graduação em Direito da Tecnologia Tecnologia da Informação – Fundação Getúlio Vargas FGV (mais informações em: http://www5.fgv.br/fgvonline/Interna http://www5.fgv .br/fgvonline/InternaInternaCurso. InternaCurso. aspx?prod_cd=DTIEAD_00 ) aspx?prod_cd=DTIEAD_00 ) Mestrado Científico em Direito Intelectual – Universidade de Lisboa FDUL (mais informações em: http://www.fd.ul.pt/CursosAlun http://www .fd.ul.pt/CursosAlunos/MestradoCientifi os/MestradoCientifi co/201112/DireitoIntelectual.aspx ) co/201112/DireitoIntelectual.aspx ) Mestrado em Direito das Telecomunicaç elecomunicações ões e Tecnologia da Informação – Universidad Carlos III de Madrid (mais informações em: http://www.uc3m.es/portal/pa http://www .uc3m.es/portal/page/portal/postgrad ge/portal/postgrado_ o_ mast_doct/masters/Master_en_Derecho_de_las_Tel ecomunicaciones_y_TI ) Para os curiosos do assunto e que desejam ler mais a respeito do assunto Segurança e Internet, segue link com uma lista de vários blogs especializados no assunto, fornecidos pelo leitor Moises de Oliveira Cassanti: http://sseguranca.blogspot.com/2011_10_01_archiv e.html

Especialização em Direito e Tecnologia da InEspecialização formação – Escola Superior da Advocacia ESA – SP (mais informações em: http://esaoabsp.edu.br/Curso.a http://esaoabsp. edu.br/Curso.aspx?Cur=22 spx?Cur=2299 ) Curso de Curta Duração em Direito da TecnoTecnologia da Informação – Universidade de Fortaleza UNIFOR (mais informações em: http://www.unifor.br/index.php?option=com_conte nt&view=article&id=3385&Itemid=1408 ) Lígia Barroso

MBA em Direito Eletrônico – Escola Paulista de Direito (mais informações em: http://www.epd.edu.br/cursos/pos-graduacao/mbaem-direito-eletronico ) em-direito-eletronico ) Especialização em Direito Eletrônico e InteliEspecialização gência Cibernética – Faculdade Especializada Especializada em Direito FADISP (mais informações em: http://www.fadisp.com.br/posgraduacao.php?pagin a=cursos_direito_eletronico ) a=cursos_direito_eletronico )

|20

Advogada, atuante em Direito Eletrônico e Propriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Universidade de Lisboa (FDUL), Especialista em Direito Eletrônico e Tecnologia da Informação pelo Centro Universitário Universitário da Grande Dourados (UNIGRAN). Email: [email protected] Twitter: @ligiaabarroso


S N o t D o d s e í t u n q a t a O a - s o C E a r S t S n N D o c

ponto central com as informaçõ informações es de d e todos t odos dos domíO DNS é um dos principais serviços de infraestru- nios do planeta, o que facilitaria ataques direcionados tura da internet. Entretanto, na época que foi criado visando um “apagão” da internet. A descoberta dos servidores que respondem por não havia uma preocupação com a segurança, tornando-o vulnerável a vários tipos de ataques, que usam um domínio é chamado de resolução do nome ou resolução ção de domín domínio. io. Resu Resumida midamente mente inicia-se por dados falsos para redirecionar o tráfego da Internet pa- solu ra sites fraudulentos fraudulentos e endereços indesejados. A exten- um servidor DNS primário que aponta outro secunsãoo DN sã DNSS SSEC EC pr prov ovêê a se segu gura ranç nçaa ne nece cess ssár ária ia pa para ra dário e assim sucessivamente. mitigar esses ataques. Introdução

Servidor ra iz O que é DNS?

Antes, precisamos conhecer o DNS (Domain Name System). É um sistema usado em redes TCP/IP para a organização e identificação de domínios. Ele fornece um nome para um ou mais endereços IP de um domínio, facilitando a memorização de URLs e endereços de e-mail. Sem o DNS, seria necessário digitar números para cada visita a um site, pois os com putadores e outros dispositi dispositivos vos usam endereços IP para se comunicarem e se identif identificarem icarem na rede mundial. O DNS armazena um registro de cada domínio existente, definindo o IP (ou vários IP’s) do servidor de hospedagem. Por questões de segurança e também devido ao crescente tráfego da internet, decidiu-se que a es estru trutur turaa ser seria ia hie hierár rárqui quica ca e des desce centr ntrali aliza zada da (distribuída globalmente). Não há somente um único

|21

O servidor DNS que está no topo da internet é o servidor raiz, conhecido também como root server. Possui uma pequena tabela que indica qual DNS será responsável pela resolução dos domínios para cada extensão de domínio (Top Level Domain) diferente. Os Top Level Domains são de dois tipos: gTLDs (Generic Top Level Domains – domínios genéricos como .edu, .com, .org, etc.. ) e ccTLDs (Country Code Top Level Domains – extensões de domínios admini mi nist stra rado doss pe pelo loss pa país íses es). ). Co Como mo ex exem empl ploo de ccTLDs, a Registro.br responde pelos domínios .br, já para gTLDs podemos citar a Verisign como res ponsável pelos domínios .com Existem 13 servidores DNS raiz lógicos (conhecido por uma letra do alfabeto, de A a M), e centenas de servidores físicos no mundo todo (inclusive no Brasil) controlados por várias empresas e organiza Março 2012 • segurancadigital.info


ções como a Verisign Verisign e a ICANN. A figura figura abaixo mostra a localização deles ao redor do planeta. detectáveis, detectáv eis, valid validanando os dados e garantind ti ndoo a or orig igem em da dass informações. Note no gráfico abaixo que não é de agora que essa extensão vem sido discutida. Em 2010 o DNSSEC DNS SEC foi imp imple le-men enta taddo no noss ro roootserve se rvers. rs. Alg Alguns uns do do-míni mí nios os ch chav avee co como mo .gov, .org, .edu e .net passaram a estar aptos para utilizar a ext e n s ã o . U m a b oa notícia é que a Registro.br já iniciou a imLocalização dos Root Servers no mundo. Photo by Google Maps. Taken plementação nos FROM www.root-servers.org domínios jus.br e b.br. Para P ara esses, o DNSSEC é de uso obrigatór obrigatório, io, paDNSSEC Infelizmente o sistema DNS apresenta determina- ra os demais ainda é opcional. Você pode testar o uso das vulnerabilidades usadas principalmente em ata- digitando a URL www.seubanco.b.br ques de phishing, desviando a navegação para um domí do míni nioo ma mali lici cios osoo sem o consentimento (e o co conhe nhecim cimen ento) to) do usuário. Os dois exem ex empl plos os ma mais is re re-correntes de ataques são o DNS Spoofing (também (tamb ém conh conhecido ecido com omoo DNS Ca Cacche poisoning) e o ManIn-The-Mid In-Th e-Middle. dle. Um dos maior maiores es prob problelemas existentes é que esses ataques são extremament trema mentee difíc difíceis eis de serem detectados e na pratica impossível de serem prevenidos. Histórico do DNSSEC. Photo by VeriSign. O DNSSEC (Domain Name System Security Extension ) é uma extensão criada pelo IETF (Internet O DNSSEC utiliza a famosa tecnologia de criptoEngineering Task Force) que adiciona recursos de se- grafia assimétrica que utiliza um par de chaves, uma gurança ao DNS com o intuito de tornar esses ataques pública e uma privada. Cada zona retorna as consul-

|22



tas DNS com assinaturas digitais. A confiança do cliente nessas assinaturas é baseada numa cadeia de confiança (chain of trust) estabelecida através da raiz até o topo da hierarquia. Assim, é possível que toda a cadeia com acesso a chave pública verifique a integridade do doss dado doss tr tran anssfe feri riddos os.. A fi figu gura ra a segu guir ir exemplifica melhor o funcionamen funcionamento: to:

http://registro.br http://regis tro.br/suporte/faq/faq8.html /suporte/faq/faq8.html http://webinsider.uol.com.br/2007/10/13/o-que-e-dnse-dnssec-bem-explicadinho/ http://www.networkworld.com/news/2012/011812dnssec-outlook-255033.html?page=1

Como funciona o DNSSEC. Photo by F5 Networks. O DNSSEC funciona melhor quando implementado em toda a cadeia. Embora a infraestrutura do DNS já esteja preparada, a adoção ao DNSSEC tem sido lenta pelas ISP’s e empresas. No momento, na área de e-commerce somente o PayPal já começou a assinar seus domínios. A Verisign estima que há somente 5.500 domínios .com assinados e 2.000 domínios .net de um total de 112 milhões de domínios registrados, o que é muito pouco. Nem mesmo as agências americanas aderiram totalmente ao DNSSEC.. É possível testar se determinado site já usa o DNSSEC SE C us usan ando do o DN DNSS SSEC EC An Anal alyz yzer er da Ver eris isig ignn http://dnssec-debugger.verisignlabs.com/ Referência s

http://en.wikipedia.org/wiki/Domain_Name_System_S http://en.wikipedia.org/wiki/Domain_Name_ System_S ecurity_Extensions http://www.isc.org/software/bind/dnssec http://www.verisigninc.com/pt_BR/whyhttp://www.verisigninc.com /pt_BR/whyverisign/innovationinitiatives/dnssec/overview/index.xhtml?loc=pt_BR

|23

Luiz Felipe Ferreira - (Editor Chefe) No mercado da TI há 9 anos, trabalhando com co m Se Segu gura ranç nçaa da In Info form rmaç ação ão de desd sdee 2006. Atualmente trabalha no setor de IT Secu Se curi rity ty da TV Gl Glob obo. o. Gr Grad adua uado do em Processamento de Dados pela UniverCidade e com MBA de Gestão de Projetos e Negócios de TI pela UERJ. Possui certifi ti fica caçõ ções es ITI ITIL, L, VC VCP P, LP LPII Le Leve vell 1 e MCP. Email: [email protected] Blog: br.linkedin.com/in/luizfelipeferreira Twitter: @lfferreiras


|01


- r o e i g c e n t u o F r P o e m o s o C m – o C n o e i t e c u e j q a n t I P A A o a DL n

1 . I nt roduç ã o

A maioria das organizações organizações de médio médio e grande porte possui uma grande quantidade de informações críticas, sensíveis e até mesmo confidenciais armazenadass em bancos de dados. Apesar de os serviarmazenada dores de banco de dados estarem geralmente na rede interna destas organizações, protegidos por firewalls e out outros ros mec mecan anism ismos os de def defesa esa,, mui muitas tas apl aplica icaçõ ções es acessíveis pela Internet possuem acesso a estes servidores. Estas aplicações recebem entradas de dados e as utilizam para realizar consultas nos servidores de BD. Quando a aplicação não valida ou trata corretamente a entrada de dados, um atacante pode conseguir modificar as consultas realizadas pela aplicação para realizar diversas atividad atividades es maliciosas, mal iciosas, incluind incluindoo burlar o controle de acesso, obter dados sensíveis e até mesmo alterar dados armazenados. Este tipo de fragilidade em aplicação é conhecido como “Injection”, e sem dúvida as falhas do tipo “SQL Injection” estão entre as mais divulgadas e exploradas. Vulnerabilidades de “SQL Injection” têm sido am plamente exploradas há alguns anos por atacantes e recebido há muito tempo destaque em sites, livros e revistas de segurança. O que muitos profissionais de TI e até mesmo alguns de segurança desconhecem é que as falhas de “Injection”, ou de injeção de código, não se resumem a SQL, podendo existir em diversos

|25

protocol os e linguagens de programação. Só para ci protocolos tar alg alguns uns ex exemp emplos los mai maiss do docum cumen entad tados os exi existe stem: m: “XPath Injection”, “LDAP Injection”, “SOAP Injection” e até mesmo “SMTP Injection”. Neste artigo, iremos abordar as falhas de “LDAP Injection” devido à criticidade que este tipo de vulnerabilidade está ganhando nos sistemas corporativos. As organizações estão cada vez mais utilizando os serviços LDAP para diversos propósitos, funcionando co como mo um re repo posi sitó tório rio ce cent ntra rall de in info form rmaç açõe ões. s. Existe, especialmente, uma forte tendência do uso de serviço LDAP para autenticação de usuários e para suportar ambientes com “single sign-on”. Devido ao crescente uso de LDAP para autenticação e para armazenar outros tipos de dados, provavelmente os ataques utilizando LDAP Injection tenderão a aumentar. Para que os profissionais de TI e de segurança este jam devidamente preparados para evitar este tipo de fragilidade e se proteger deste tipo de ataque é vital entender como os ataques de LDAP Injection funcionam. 2 . C o m o F u n c i o n a o A t aq u e

O LDAP (Lightweight Directory Access Protocol) é um protocolo para realizar consultas e modificações em serviços de diretório através do protocolo TCP/IP. Os serviços de diretório LDAP armazenam e Março 2012 • segurancadigital.info


organizam informações que possuem atributos em comum. A estrutura de armazenamento utiliza o conceito de árvore de entradas de diretório. Nesta estrutura hierár hie rárqui quica, ca, as ope operaç raçõe õess de lei leitur turaa são rea realiz lizad adas as com maior velocidade com prejuízo para as operações de escrita. Baseia-se em orientação a objetos, no qual cada entrada no serviço de diretório corresponde a uma instância de um objeto e precisa compartilhar os mesmos tipos de atributos deste objeto. Ao se utilizar LDAP, a operação mais comum é a consulta por entrada de diretório através de filtros. A RFC 4515 define os filtros utilizados no LDAP, que podem incluir, especialment especialmente, e, expressões lógicas (AND - &, OR - |, NOT - !) e tipos de filtros (igual =, aprox. ~=, maior ou igual >=, me meno norr ou igu igual al =<), bem como o caractere car actere * para aceitar múltiplos caracteres em um filtro. A RFC 4526 define as strings (&) e (|) como verdadeiro ( TRUE) e (FALSE), respectivamente. Caso ainda não esteja familiarizado, veja um exemplo básico de consulta LDAP:

número de telefone e departamento. Veja como poderia ser esta requisição LDAP:

(&(cn=admin)(userPassword=senha))

O atacante pode melhorar o ataque e obter uma listagem das senhas de todos os usuários da aplicauserPassword,mail,cn;;. ção: *); userPassword,mail,cn

[a query acima, por por exemplo, seria utilizada para valivalidar um usuário e senha] O conceito básico de uma exploração de LDAP In jection é manipular m anipular os o s parâmetros parâmetr os enviados pelo pel o cliente para a aplicação, os quais serão utilizados para construir a consulta (query) LDAP. Quando a aplicação é vulnerável, a entrada de dado não sofre validação ou tratamento para impedir que os dados entrados possam modificar a estrutur estruturaa ou lógica da query LDAP. Os estudos de caso nos próximos itens irão exemplificar este tipo de ataque. É importante destacar que as diversas implementações LDAP validam e tratam a sintaxe LDAP de forma ligeiramente diferente. Algumas implementações toleram até mesmo sintaxes inválidas. Isto influencia diretamente nos ataques de LDAP Injection e o atacante precisa levar isto em consideração para ter sucess ce sso. o. Is Isto to si sign gnifi ifica ca qu quee um umaa si sint ntax axee LD LDAP AP qu quee funciona em uma aplicação pode não ser funcional em outra aplicação vulnerável. 3 . E s t u d o d e C a so 1 : M an i p u l an d o P e sq u i s a de Us uá rio

Considere uma aplicação que permite digitar o nome de um único usuário (ex. MARCOS) e retorna somente as seguintes informações: nome do usuário,

|26

(givenName=MARCOS);cn,telephoneNumber,de partment O resultado desta query poderia retornar as seguintes informações:

Imagine que o atacante deseja obter a senha do usuário “MARCOS”. Ele poderia utilizar o seguinte ataque: MARCOS); userPassword,cn; . Isto resultaria na seguinte requisição LDAP: (givenName=MARCOS); userPassword,cn;);cn,telephoneNumber,department

(givenName=*); userPassword,mail,cn;);cn,telephoneNumber,depar tment

4 . Es t u d o d e C a s o 2 : B u r l a n d o A u t e n t i c a ção

Considere uma aplicação que realiza autenticação em uma base LDAP. Esta aplicação solicita informação de usuário e senha para autenticação, construindo a seguinte query LDAP: (&(uid=username)(userPassword=pwd)) Um atacante poderia inserir os seguintes dados: Usuário: admin)(&) Senha: qualquercoisa A quer queryy LDAP final final seria: (&(uid= admin)(&))(userPassword=qualquercoisa)) Março 2012 • segurancadigital.info


Apenas o primeiro filtro será processado e como a constante (&) significa absolutamente verdadeiro, esta query sempre será verdadeira. Neste caso, o atacante poderia se autenticar como o usuário “ admin” na aplicação. Existem outras formas de realizar ataques para burlar autenticação. Veja outro exemplo: Usuário: *)(uid=*))(|(uid=* Senha: qualquercoisa A query LDAP LDAP final final seria: (&(uid=*)(uid=*))(|(uid=*)(userPassword=qualque rcoisa)) Esta query terá uma sintaxe correta e será sempre verdadeira, permitindo que o atacante se autentique como o primeiro usuário da árvore LDAP. LDAP.

guinte filtro seria processado: (&(directory= finance)(security_level=*)). Assim, o atacante conseguiria acessar todos os documentos financeiros, incluindo os marcados como “confidenciais “confidenciais”. ”. 6 . E s t u d o d e C a s o 4 : E f et u a n d o B l i n d L D A P I n j e ct i o n

Muitas vezes a aplicação não retorna mensagens de erro detalhadas mostrando a sintaxe LDAP em uso. Nestes casos, o atacante precisa utilizar técnicas de inferência para determinar a existência de atributos e valores. Considere uma aplicação que permite listar informações de ativos de TI da organizaç organização: ão: http://appvulneravel.intranet.com/lista_servidores.a spx?idserver=sysxpto A seguinte query seria utilizada pela aplicação: aplicação: (&(idserver=sysxpto)(objectclass=server))

5 . E s t u d o d e C a so 3 : A c e ss a n d o D o c u m e n t o s R es t r i t o s

Imagine uma aplicação que oferece acesso a documentos de diferentes departamentos da organização e que permite apenas consulta de documentos classificados como “públicos” para usuários com permissão “public” e permite consulta de documentos classificados como “confidenciais” para usuários com permissão “confidential”. Por exemplo, a seguinte URL é utilizada para acessar documentos:

Após realizar esta consulta LDAP, a aplicação retorna informações sobre o servidor como endereço IP e administrador responsáve responsável.l.

Imagine que um atacante estivesse interessado em descobrir atributos adicionais para obter mais informações sobre o servidor, que não são reveladas pela aplicação, como, por exemplo, sistema operacional e http://appvulneravel.intranet.com/lista_documentos. localização física. Neste caso, o atacante teria que faaspx?caminho=finance zer testes de inferência para descobrir nomes de atri butos adicionai adicionais. s. Como um teste inicial inicial,, o seguinte Consi Co nsider deree que est estaa ap aplic licaçã açãoo uti utiliz lizaa a se segui guinte nte valor poderia ser colocado no parâmetro “idserver”: query LDAP para listar os documentos de acordo sysxpto)(invalido=*). A seguinte consulta LDAP secom a permissão de acesso: ria formada: (&(directory=finance)(security_level=public)) Para acessar os documentos confidenciais, o atacante poderia colocar os seguintes dados na URL: finance)(security_level=*))(&(directory=finance Isto resultaria na seguinte query LDAP: (&(directory=finance)(security_level=*))(&(direc tory=finance)(security_level=public)) O servidor LDAP processaria apenas o primeiro filtro, ignorando o segundo. Neste caso, apenas o se-

|27

(&(idserver=sysxpto)(invalido=*))(objectclass=ser ver)) A aplicação provavelmente apresentaria uma página sem informações ou apresentaria alguma mensagem de erro. Em seguida, o atacante poderia testar um atributo mais provável: sysxpto)(ipaddress=*), para formar a seguinte segui nte consulta: (&(idserver=sysxpto)(ipaddress=*))(objectclass=s erver))



Assumindo que o nome de atributo ipaddress existe, a aplicação retornaria normalmente as informaçõe õess so sobbre o se serv rvid idor or sysxpto. Pa Para ra de desc scob obri rir r atributos adicionais, o atacante poderia utilizar um script que automatize tentativas utilizando um dicionário de possíveis atributos, interpretando a resposta como VERDADEIRA quando a aplicação retorna informações e FALSA quando a aplicação não retorna informações. (&(idserver=sysxpto)(location=*))(objectclass=serv er)) (&(idserver=sysxpto)(system=*))(objectclass=serve r)) (&(idserver= sysxpto)(os=*))(objectclass=server)) ...

atributo location: (&(idserver=sysxpto)(location=*j*))(objectclass=se rver)) Estes exemplos não deixam dúvida de que atacantes não precisam necessariamente de mensagens de erro ou de informações detalhadas da aplicação para extrair informações através de LDAP Injection. 7 . C o m o E v i t ar

Para evitar falhas de LDAP Injection, deve-se tratar todas as entradas de dados da aplicação, especialmente, as entradas de dados que serão utilizadas em consultas LDAP. É importante destacar que a melhor abordagem de validação de entrada de dados é a abordagem “white-list”, onde apenas os tipos de daE o que dizer de valores de atributos? Um atacante dos estritamente necessários são aceitos. Isto pode pode extrair valores através de buscas por conjuntos ser feito através de expressões regulares de negação de caracteres (pode até mesmo utilizar a tabela AS- por padrão. Por exemplo, pode-se aceitar apenas vaCII). Imagine que o atacante deseja extrair o valor do lores numéricos ou alfanuméricos em uma entrada de atributo location do servidor sysxpto. Um script pode- dado. ria começar testando a primeira letra do atributo faDeve-se, sempre, validar e tratar a entrada de dazendo uma busca alfabética: dos no lado servidor (exs. código .NET, Java ou PHP), não apenas no lado cliente (ex. através de Ja(&(idserver=sysxpto)(location=a*))(objectclass=se vaScri vaS cript) pt).. Em esp especi ecial, al, pa parên rêntes teses es )(, ast asteri erisco sco *, rver)) operadores lógicos (&, |, !) e operadores relacionais (&(idserver=sysxpto)(location=b*))(objectclass=se (=, ~=, >=, =<) devem ser ser rejeitados ou ou tratados pela pela rver)) aplicação. Em alguns casos, pode ser necessário in(&(idserver=sysxpto)(location=c*))(objectclass=se cluir estes caracteres em consultas LDAP. Se este for rver)) o caso, utilize a técnica de “escaping” para evitar que … o interpretador LDAP considere estes caracteres como parte da query LDAP. O OWASP (Open Web ApO mesmo teste anterior se aplica aqui. Quando a plicati plication on Security Project) mostra como realizar aplicação retorna uma resposta com informações, o “escaping” destes caracteres em Java: script determina que o caractere testado está correto, https://www.owasp.org/index.php/Preventing_LDA e quando a aplicação não retorna informação, o script P_Injection_in_Java va determina que precisa continuar a busca. Veja Veja agora o P_Injection_in_Ja exemplo abaixo: Como medida de proteção adicional, é importante (&(idserver=sysxpto)(location=ri*))(objectclass=s realizar configurações de controle de acesso no servierver)) dor LDAP. A aplicação web deve ter o mínimo de privilégio privil égio requerid requeridoo ao se conectar no servidor Se o script receber uma resposta com informações, LDAP e permissão de escrita deve ser concedida apea localização certamente começa com “ri” e a busca nas quando estritamente necessário. pode continuar a partir pa rtir da 3ª posição. É possível p ossível utilizar uma técnica conhecida como “charset reduction” para aumentar a velocidade de obtenção de valores. Por exemplo, o seguinte teste pode ser utilizado para verificar se a letra “j” existe em alguma posição no

|28



8 . R e f e r ên c i as

LDAP Injection & Blind LDAP Injection in Web Applications - Chema Alonso, Rodolfo Bordón, Antonio Guzmán y Marta Beltrán LDAP Injection – Are your web applications vulnerable? vulnerable? – SPI Dynamics The Web Application Hacker’s Handbook – Discovering and Exploiting Security Flaws – Dafydd Stuttard and Marcus Pinto OWASP OW ASP (The Open Web Web Application Security Project) - Testing Testing for LDAP Injection RFC 4515 - Ligh Lightweig tweight ht Directory Acce Access ss Protocol Protocol (LDAP (LDAP): ): String Represent Representation ation of Sear Search ch Filters RFC 4526 - Lightweight Lightweight Directory Access Protocol Protocol (LDAP) Absolute True True and False Filters

Bruno Cesar Moreira de Souza Sócio e Diretor Técnico da Able Securi cu rity ty,, CI CISS SSP P de desd sdee Ja Jan/ n/20 2007 07,, OSCP, GCFE, Bacharel em Sistemas de Informação pela PUC-Rio, com mais de 11 anos de experiência em segurança da informação, especialista em testes de intrusão e perícia for forens ensee com comput putaci aciona onal. l. Tem pre presta stado do con consul sultori toriaa par paraa organizações de diversos segmentos, no Brasil e no Reino Unido. E-mail: bruno.souza@ablesecurity [email protected] .com.br Site: http://www.ablesecurity.com.br http://www.ablesecurity.com.br

|29


a d e t r a a a ç e l h " a n t i o g C i : d " l a t o i g ã ç i D a g a i t i s c i e r v e i n P

Quando o assunto é buscar evidências eles são uns verdadeiros experts no assunto

m r é u d e g n n i n c o e s e s l d e a a t o a d r e P m n t e

Em edições passadas da Revista Seguranç ra nçaa Dig igiita tal, l, tiv ivem emos os ca caso soss rea eais is de forense, e até mesmo um artigo refer referente ente ao curs cu rsoo de fo forren ense se di digi gita tall of ofer erec ecid idoo pe pela la 4L 4Lin inux ux.. Recomendo a leitura das edições passadas...

S

e você é ligado em seriados policiais, filmes envol- combate aos crimes cibernéticos requer a existência vendo investigações ou coisa parecida, até mesmo de evidências e provas de sua existência, que permio CSI já deve ter visto profissionais fazendo análi- tem o pleno convencimento do suposto ato e com isses e outros procedimentos minuciosos em busca de infor- so possibilitando punição das condutas criminosas. A profissional onal em pericia maçõ ma ções es e ex extr trai aind ndoo da dado doss im impo port rtan ante tess qu quee ne nem m se partir disso surgi a figura do profissi imaginava que pudesse encontrar, essa extraordinária ciên- digital sendo responsável por descobrir evidências cia é chamada de pericia. Apesar de muita coisa não pas- em sistemas computacionais, em periféricos e dispositivos de armazenamen armazenamento. to. sar de ficção, há alguns casos espelhados na vida real.

Mas sim vamos sair um pouco da ficção e entrar “O perito digital será a função indispenna realidade dos fatos, bem até então dei a ideia do sável a justiça, tal como o advogado, que é termo pericia, como você deve saber existem pois através dele inocentes não serão vários tipos de pericias e nesse caso a ser abordado condenados e culpados não serão absolvidos.” aqui é a pericia digital ou como é conhecida também de forense computacional onde esta se faz cada vez Pois bem para realizar essa missão eles fazem uso mais conhecida e de suma importância devido o aumento de crimes praticados por meio do uso dos rede diversos equipamentos especiais. Conheça agora um pouco do muito que esses procursos curs os comp computac utaciona ionais is pela próp própria ria disp disponib onibilida ilidade de de uma conexão à Internet e o uso de programas de fissionais são capazes de fazer. Bem-vindos à polícia computador, além do suposto anonimato encontrado, da era digital. Você acha que ao apagar qualquer informação coem muitos casos, é suficiente para permitir a qualquer indivíduo experimentar variadas condutas crimi- mo fotos, conversas do chat, páginas acessadas na intern rnet et ou fo form rmat atar ar o HD es estã tãoo de defi fini niti tiva vame ment ntee nosa no sass qu quee vo você cê ce cert rtam amen ente te já es está tá ca cans nsad adoo de te observar pela mídia. Dentre os casos mais comuns es- excluídos e as mensagens confidenciais do celular e tão roubo de informações confidenciais, ataque de ne- também esconder ou proteger com senha as informagação de serviços, espionagem, transmissão de fotos ções, você pensa que ninguém vai conseguir ter acesso. É pensando assim para pessoas comuns isso tudo e vídeos de pedofilia entre outros. Portanto assim como no caso de crimes comuns, o pode fazer parte da realidade delas. Mas para um pe-

|30



rito digital as coisas são completamente diferentes, perto deles ninguém tem nada a esconder. Veja algumas das suas tarefas a seguir. Nota: Primeiramente cabe lembrar que peritos digitais só podem extrair dados com a autorização prévia do dono ou com mandado judicial, pois caso contrário é crime.

te, que tem mais de cem cabos integrados e organizadoss em um do umaa ma male leta ta,, co comp mpat atív ívei eiss co com m di dive vers rsos os equipamentos móveis como mostrado logo abaixo.

R ec u p e r a ç ã o e e x t r a çã o d e d a d o s HD

Foi se o tempo que formatando o HD não fosse possível recuperar nada. Na verdade um arquivo só é apagado quando uma nova informação é escrita em cima do espaço que ele ocupava antes no disco. Mas, mesmo assim, para que não seja possível recuperar as tais preciosas informações, os peritos dizem que seria necessário regravar ou formatar um disco por 25 vezes, utilizando técnicas variadas. Em computadores, existe uma série de ferramentas que ajuda na perícia digital. Umas já cumprem o pa pel de vários recursos durante todas as fazes dos examess fo me fore rennses es,, pos osssib ibil ilit itaando fa fazzer um ra raio io-x -x completo da máquina como recuperação de arquivos, e-mails, visualização de vários formatos diferentes de arquivos, programas que já foram instalados entre outras funcionalidades. Entre as ferramentas podemos citar o Encase, FTK e o Helix. M e mó r i a R A M

A memória RAM, sabemos que ela é volátil, isto é, todo o seu conteúdo é perdido ao desligar o computador, o que muitos não sabem é que todo tipo de informação passa por ela desde senhas digitadas, uma conversa no chat e assim por diante, mas mesmo após o desligamento ou reiniciar a máquina ainda sim é possível ter acesso a essas informações inf ormações que podem fazer toda diferença sobre o delito questionado. Entre as técnicas utilizadas para conseguir ter acesso às informações está no que eles chamam de Dump (Cópia integral) da memória, umas das ferramentas que cumprem esse papel pode-se citar o Computer Online Forensic Evidence Extractor (COFEE). C e l u l ar

Em uma pericia quando o assunto é celular existem diversas ferramentas que possibilitam ter acesso a todas as informações do celular desde mensagens, fotos, músicas, agendas e até mesmo aquilo que já foi apagado pelo usuário. Umas das soluções é o Cellebri-

|31

Outra sol Outra soluç ução ão é o sof softwa tware re Mob Mobile iledit dit For Forens ensic ic que pode realizar extrações dos dados do celular. Da do s oc ult os

Já faz parte dos artifícios dos cibercriminosos cada vez mais experientes não deixar informações acessíveis, em muitos casos é comum o perito encontrar dados criptografados ou ainda um pouco mais avançados utilizarem a técnica de esteganografia que já dei uma base sobre esse assunto na 3ª edição da revista. O processo de acesso a informações nesses tipos de estados é possível através da análise do hexadecimal do arquivo e identificar caracteres que não correspondem a uma imagem e com base nisso descobrir onde foi lançada a senha da esteganografia e então zera-la em hexadecimal e, portanto descobrindo o conteúdo oculto sem precisar descobrir qual é a senha de fato. E falando sobre senhas hoje existem muitos programas para quebra de senha, vale lembrar quanto mais fácil for a senha mais rápida será que brada. M u d a n d o d e a ss u n t o

Você sabia? Que todo dispositivo USB US B co como mo o pe penn dr driv ivee po poss ssui ui uma identificação única e esta informação fica registrada nos com putadores quando é plugado. Por exemplo, se o pen drive foi conectado a um computador Windows e depois em um Linux, em uma análise será encontrado a mesma identificação do pen drive nos dois equipamentos. Um exemplo de ferramenta que permite ver essa identificação é o software USB Deview. Março 2012 • segurancadigital.info


Já em contagem regressiva este artigo está chegando ao fim, aqui apenas passei um pouco do que é a pericia digital. Pela qual é uma área que está sendo bem mais procurada devido as infinitas irregularidades praticadas por meio dos recursos computacionais e a procuraa por pro cur profis fissio sionai naiss cap capaze azess de en encon contra trarem rem as pistas e provas necessárias nece ssárias para pa ra condenar os responsáveis por estes crimes é urgente. Gostou da área? Logo abaixo estão algumas instruções para ser um profissional. É claro que existem muitas outras em nível de especialização e treinamento, agora nível de mestrado não, pelo menos aqui no Brasil. Ní vel Pós Graduação Lato Sensu:

-Pericia Digital na UCB (Universidade Católica de Brasília) -Computação Forense na Mackenzie. M e st r ad o :

Engenharia Elétrica, área de concentração: Informática Forense e Segurança da Informação na UNB (Universidade de Brasília). Treinamento:

Legaltech-Consultoria,Pericia Legaltech-Co nsultoria,Pericia Digital e Treinam Treinamenento. L i v r o r e c o m en d ad o :

Desvenda Desve ndando ndo a Com Compu putaç tação ão Fo Foren rense se de Ped Pedro ro Eleutério e Marcio Machado, Peritos Criminais Federais da Policia Federal. É uma ótima obra e de linguagem clara sobre o assunto. R e f er ên ci as

ELEUTÉRIO, Pedro. M.S; MACHADO, Márcio. P. Desvendando a computação forense. São Paulo: Novatec, 2010.

Vídeo - A arte da pericia digital

R e su m o

Em resumo a pericia digital ou forense computacional tem como principal objetivo identificação, preservação, coleta, interpr interpretação etação e documentação de evidências digitais.

Evidência digital, pode ser compreendida pela informação armazenada e/ou transmitida em formatos ou meios digitais. Na sua grande maioria o “conteúdo” de uma evidência, é frágil e volátil, o que requer à atenção de um especialista certificado ou capacitado a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos de forma correta e licitamente. Uma pericia mal executada pode comprometer todo o processo, desde, a coleta dos dados até apre ap rese sent ntaç ação ão e do docu cume ment ntaç ação ão de dest stes es.. Pa Para ra exem ex empl plifi ifica carr, va vamo moss pe pega garr o ex exem empl ploo de um Dump de memória. Um perito tem como objetivo coletar informações de uma possível cena de crime digital, este por sua vez executa diversos softwares na máquina antes mesmo de realizar o Dump de memória. Qual o problema disso? Este “perito” provavelmente provavelme nte esta “sobrescreve “sobrescrevendo” ndo” partes da memó me mória ria RA RAM M (v (vol olát átil il)) qu quee po pode deri riam am co cont nter er informaçõe inform açõess esse essencia nciais is a inve investiga stigação. ção. Em uma cena como esta o Dump de memória é a primeira atividade a ser executada executada..

Crescimento - A pericia forense é uma área que tem crescido muito nos últimos anos. E com o surgimento cada vez mais acelerado de novas tecnologias, este crescimento será sempre ascendente. Nágila Magalhães Gradua Grad uada da em Tec ecno nolo logi giaa em Re Rede dess de Computadores pela FCAT. Apaixonada por tecnologia e ciberespaço, com conhecimento nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colaboradora das Revistas Segurança Digital e Espírito Livre. E-mail: [email protected] Twitter: @netnagila

|32


TENHA SUA a r PRÓPRIA NUV NUVEM EM a s p n

e o v ã u ç n u e l o s d o k ã c ç a u t S r t n s e n p O o c

Nunca foi tão fácil construir uma nuvem. A comunidade OpenStack é um grupo global de desenvolvedores que trab tr abalh alhaa de fo form rmaa co colab labor orat ativ ivaa em prol de um SO baseado em código aberto para nuvem.

R

esumindo em poucas palavras, o OpenStack é um software para construção de nuvens públicas e privadas, de fácil implementação, massivamente escalável e rico em recursos. Este, por sua vez, é uma iniciativa do Hackspace e NASA, criada em julho de 2010.

As qualidades e características do OpenStack são tantas que não dá para transcreve-las aqui neste artigo, sendo assim vou frizar alguns pontos importantes ao decorrer deste conteúdo, havendo interesse basta realizar pesquisas na web sobre a ferramenta aqui abordada. Ca ra cterí stica s da ferra menta

Desenvol Desen volvim viment entoo abe aberto rto sob sobre re uma lic licenç ençaa Apache 2; Código fonte disponível publicamente; Comunidade aberta, processos e documentação transparentes; Desenho modular para distribuição flexível via API; Padrão emergente suportado por grandes ecossistemas; Projetado para escalar de forma econômica; Pode ser processado em 100 ou até mesmo mil servidores, ou seja, possui uma escalonabilidade que

|33

outros sistemas não possuem para este nível de processamento. Recursos da ferra menta

Controla e automatiza conjunto de recursos; Aloca recursos com eficiência; Capacita admins & usuários via portal de autogestão; Capacita desenvolvedores para escrever aplicações conscientes da nuvem via APIs. O objetivo deste artigo não é pontuar todas as características e recursos do OpenStack, mas sim dar uma visão geral do que este sistema é capaz. Sendo assim a lista anterior não pode ser considerada com pleta. Crescimento do OpenSta ck a v i t a r t s u l i m e g a m I



Mesmo sendo um projeto relativamente “novo”, este conta atualmente com o apoio e contribuição de mais de 150 empresas e dois mil e trezentos partici pantes. Vale ressaltar ainda que este número continua crescendo. O OpenStack é uma opção viável, eficiente e de qualidade para a nuvem. Sem dúvida, outro fator que contribui em muito para o rápido crescimento deste sistema, é o fato de ele ser uma solução de código aberto, isso garante uma flexibilidade incrível para um sistema que já é considerado a melhor opção de SO para criação e gerenciamen gerenciamento to de nuvens.

Na edição passada da Revista Segurança Digital foi publicado um conteúdo intitulodo " Segurança da Informação: Previsões para 2012 " onde a questão da cloud é rapidamente revista e pontos importantes são mencionados. Recomendo fortemente a leitura deste conteúdo.

Nota

Durante a conferência OpenStack, que aconteceu em Boston, a CEO da Canonical, Jane Silber, anunciou que a Hewlett-Packard escolheu o Ubuntu como distribuição Linux para ser o seu sistema base de nuvem pública. Silber disse ainda que o Ubuntu é uma boa escolha para as nuvens OpenStack, devido à sua extensa flexibilidade e escalabilidade, além de ser um sistema host seguro. Recursos incorpora dos à pla ta forma

OpenStack Compute - os novos recursos incluem um scheduler distribuído, permitindo que máquinas virtuais virtu ais sejam implantadas, implantadas, um modo de rede de alta disponibilidade para evitar tempo de inatividade, se um servidor primário falhar, suporte para um novo sistema de autenticação, além de um sistema OpenStack Identity Management (gerenciamento de identidade OpenStack). OpenStack Object Storage - um novo multi-cluster container sync permite que um usuário escolha contêiner por contêiner com base nos dados para replicação de clusters situado em múltiplas localizações geográficas. OpenStack Image Service - Atualizações para o serviço de imagem incluem um processo de filtragem e busca novas capacidades através da API, uma característica muito requisitada pelos prestadores de serviçoss qu ço quee ap apoi oiam am um gr gran ande de nú núme mero ro de cl clie ient ntes es globais. Sugestão - Leitura sobre cloud...

Mesmo a cloud computing se ap apre rese sent ntan ando do co como mo um umaa solu so luçã çãoo be bené néfi fica ca ao fu futu turo ro das empresas e negócios como um todo, é preciso tomar cuidado quanto ao seu uso.

|34

Figura 1 - Logo do OpenStack.

Clo ud Com put in g

O conceito de cloud computing (em português, computação em nuvem) refere-se à capacidade de se utilizar recursos de processamento e armazenamento que se encontram externos a sua máquina. Os computadores/servidores que oferecem este recurso chamado cloud, geralmente estão interligados por meio da rede mundial de computadores (int (i nter erne net) t),, es esta ta in inte terc rcon onec ecti tivi vida dade de en entr tree as máquinas que formal a cloud é chamada de com putação em grade e as vezes alguns a chamam de computação distribuída. Em resumo os benefícios oferecidos pela cloud são, disponibilidade de recursos conforme necessidade (escalabilidade), acessibilidade e disponibilidade.

Fábio Jânio Lima Ferreira - (Diretor e Diagramador) Analista de suporte técnico, administrador de redes, programador, ativista e defensor do software livre. Sem sombra de dúvida o campo da segurança computacional on al me se sedu duzz co como mo ne nem m um umaa ou outr traa área. Apaixonado por tecnologia e fascinado pela cultura hacker hacker.. Email: [email protected] Blog: www.fabiojanio.com Twitter: @_SDinfo


s k n i L e d o ã ç a z i N m A i t O W

Q

cial os vídeos, como YouTu YouTube, be, por exemplo. Para minimizar esta utilização em demasia, é comum que empresas bloqueiem estes sites através de servidores Proxy ou filtros de conteúdo, mas é muito comum que estes sites tenham que ser utilizados para fins de trabalho também, além, é claro, de proporcionar momentos de relaxamento durante as horas de expediente, o que pode também ser produti tivvo para o Para entendermos melhor os conceitos que serão funcionário. Bloquear ou não estes sites que consodescritos, imaginemos o seguinte cenário: uma empre- mem muita banda não é ponto em questão aqui, mas sa de advocacia possui escritórios em três grandes ca- sim administra-los. O gráfico abaixo demonstra um exemplo de utili pitais, como São Paulo, Rio de Janeiro e Brasíli Brasília. a. Esta empresa possui um sistema online de controle de zação de um link WAN de 2Mbps de uma filial para processos, no qual o servidor fica na matriz em São a matriz, no qual é compartilhado o acesso à Internet, Paulo, assim como as pastas de documentos diversos assim como às aplicações desenvolvidas para o funcompartilhadas entre todas as filiais. Diariamente os cionamento da empresa. Nota-se que em momentos funcionários acessam o sistema para consulta e entra- de acesso à YouTube, por exemplo, o consumo de sacrificada cada a banda que seda de dados e compartilham arquivos. Para minimizar banda é bastante alto e é sacrifi os custos e por segurança, o acesso à Internet das fili- ria necessária para as aplicações. ais também é feito exclusivamente através da matriz. Neste suposto cenário fica claro que a utili utilização zação dos links entre todos os escritório é largamente utilizado e vital para o bom funcionamento da empresa, porém, nesta utilização dos links está incluído o acesso à Internet de forma geral: sites de notícias, governamentais, blogs, vídeos e até redes sociais. Estes sites ocupam parte significativa da banda do link, em espeuando pensamos em links WAN (links de dados de longa distância), normalmente associa-se com a relação entre custo e velocidade. Quanto mais rápido for o link, maior o custo. Como usufruir da melhor maneira o investimento nessa tecnologia indispensável para em presas que possuem escritórios escritóri os distribuídos distribuí dos geograficamente, e ainda assim manter a segurança deste link?

|35



Torna-se necessário, portanto, para garantir a boa performance performan ce das aplicações mais essenciais, esse nciais, primeir primeiraamente, visualizar e entender quais tipos de dados estãoo se tã send ndoo tr tran ansm smit itid idos os no lin link. k. Pa Para ra ta tall ex exis iste tem m ferramentas no mercado que fazem este tipo de análise e geram gráficos semelhantes ao descrito. Uma vez analisada a utilização do link, o próximo passo é bloquear a transmissão de dados que não são relevantes, como por exemplo, pacotes de dados de jogos online, sites ilícitos ou que ferem a política de utilização dos recursos da empresa, etc. Este tipo de procedimento fornece à equipe de segurança um maior controle so bre o que se passa dentro da rede das filiai filiaiss e através do link WAN e deveria ser aplicado sempre que possível. Uma vez limpo o tráfego no link para que transitem somente os dados realmente necessário, deve ser feito o controle da quantidade de banda designada para cada tipo de aplicação. Por exemplo: pode ser decidido que, neste link de 2Mbps, acesso à sites como YouTube ou conteúdo de vídeo, poderá ser utilizado somente 512Kbps da banda total. Isso garantirá a boa velocidade e tempo de resposta das aplicações mais importantes e ao mesmo tempo permitir que os usuários tenham acesso ao conteúdo da Internet. Porém, como o objetivo é otimizar a utilização do link e usufruir da melhor forma possível o investimento feito, esta solução não é suficiente. Imagine a situação que, em um determinado momento a empresa está es tá uti utiliz lizand andoo pou pouco co o lin link, k, so somen mente te 1Mb 1Mbps ps do doss 2Mbps contratados. Ainda assim, o acesso à sites de vídeo continuam limitados aos 512Kbps configurados pelo sistema de controle controle.. O restante da banda não está sendo utilizado e assim, desperdiçado. A solução é aplicar políticas que controle o acesso à aplicações incluindo o fator "prioridade". Seguindo nosso exemplo anterior e aplicando essa nova política, o aces acesso so à sites de vídeos terá permissão permissão de utilizar 512Kbps como antes, porém ela poderá utilizar até 100% do link caso não concorra com outras aplicações mais prioritárias, como as aplicações empresariais ou compartilhamento de arquivos. Uma vez que uma aplicação mais prioritária deseje utilizar o link, ela terá um espaço na banda determinado para o bom funcionamento e quem irá ceder espaço, desta vez são as aplicações menos prioritárias, como o YouTu be, no nosso exemplo. e xemplo. O gráfico abaixo mostra o fluxo de dados transmitido pelo menos link, porém agora com controle de banda por aplicações. Nota-se que em determi determinado nado

|36

momento, quando as aplicações empresariais não requerem muita banda, outras aplicações que eram limitadas, agora podem utilizar mais espaço no link, não desperdiçando a banda contratada.

Por fim, uma vez analisado os tipos de tráfego que são transmistidos pelo link e controlar sua utilização de banda para otmizar a performance das aplicações mais essenciais, pode-se também fazer uso de tecnologia de deduplicação de dados, ou seja, evitar que o mesmo dado seja transmitido mais de uma vez através do link, como por exemplo arquivos, imagens, vídeos ou até mesmo anexo de emails, quando este é enviado à diversos funcionários da mesma filial. Quando se trata de utilizar links WAN para comunicação, devemos ter em mente sempre a visualizaçãoo dos ti çã tippos de dad adoos que são tr traansm smit itid idos os,, administrar o consumo de banda por tipo de aplicações, definindo o que é mais prioritário e por fim otimizar o consumo deste link. Com a aplicação destes conceitos, as empresas poderão usufruir da melhor forma possível todo o benefício do investimento nesta tecnologia de transmissão. t ransmissão.

Fernando Shayani Empresa: criTTeria Serviços de TI Site: www www.critteria.com.br .critteria.com.br E-mail: [email protected]


Identificando as oportunidades e mitigando os riscos da adoção da computação na nuvem

d u o l C m e g a n ç i n t a u r p u m g o e S C

Introdução

Muitas empresas no Brasil já começam a entender a importância deste novo paradigma de computação nas nuvens (cloud computing). Porém em um recente estud es tudoo rea realiz lizad adoo pel peloo Bus Busine iness ss Sof Softwa tware re All Allian iance ce (BSA), chamado de BSA Global Cloud Computing Scorecard1, divulgado no último dia 22 de Fevereiro de 2012, foi externado à posição do Brasil no ranking dos países que estudam a adoção de computação na nuvem. O estudo baseia-se na atual agenda de iniciativas para desenvolver e adotar o conceito de computação na nuvem. nuvem. Resu Resultado ltado:: o Brasil ficou ficou em último lugar. Este estudo leva em consideração uma série de parâmetros de avaliação, porém, para o contexto deste artigo é importante salientar os seguintes: Segurança, Crime Cri me Cib Cibern ernéti ético co e Pri Privac vacida idade de dos Dad Dados. os. Pa Para ra mensurar o quão preparado o país estava para lidar com tais temas, uma série de questionamentos foram realizado reali zados2. s2. No tópico de Privacid Privacidade ade dos dados dados o Brasil falhou em quatro de dez perguntas. No tópico de Segurança o Brasil falhou em três de cinco perguntas. No tópico de Cribe Cibernético o Brasil falhou em duas de quatro perguntas.

O objetivo deste artigo é de mostrar as vantagens da computação na nuvem do ponto de vista do negócio, levantar os principais riscos que devem ser mitigados durante o planejamento da migração e por fim enumerar pontos importantes da migração. É importante salientar que o artigo não tem como objetivo tratar as questões legais da adoção da computação na nuvem em território Brasileiro. As Va nta gens são Muita s

Antes mesmo de saber o motivo que leva a com putação na nuvem ser tão atrativa para os negócios, é importante entender o que de fato é a computação na nuvem. Para isso eu vou recomendar a leitura do Ca pítulo 17 do d o Livro Li vro de Security+ S ecurity+ (de minha autoria em parceria com Daniel Mauser)3. Neste capítulo você vai ter a definição de computação na nuvem uma série de consideraçò consideraçòes es sobre sua adoção. Partindo do pressuposto que estamos agora falando o mesmo idioma no que tange o conceito de com putação na nuvem, torna-se mais claro o impacto que tal tecnologia terá em diferentes áreas do mercado. A lista de vantagens podem e são bem mais extensas que a que apresentarei abaixo, porém quero enfatizar

http://portal.bsa.org/cloudscorecard2012/assets/PDFs/BSA_GlobalCloudScor ecard2012/assets/PDFs/BSA_GlobalCloudScorecard.pdf ecard.pdf Relatório completo em http://portal.bsa.org/cloudscor Ver página 12 do relatório citado na nota 1. 3 Você pode baixar o capítulo 17 no site do livro, em www.securityplusbr.org 1 2

|37



os três principais fatores de motivação para migração para nuvem:

Demandas Econômicas : com a premissa de que você só vai pagar pelo que você usa há uma tendência natural de redução de custo. Junto com a redunção de custo vem a capitalização em cima do uso do serviço sobre demanda. O modelo de licensiamento fica simplificado e com um custo benefício mais atraente. Redução de Gerenciamento: a partir do momento que se passa a consumir o software como um serviço, a redução do gerenciamento da plataforma (principalmente do lado do servidor) é reduzida. A abstração do que está por trás do serviço que esta sendo consumido leva a uma redução geral de gerenciamento. As implementações tendem a ficarem mais ágeis, tendo em vista que os upgrades da plataforma BackEnd ficam por conta do fornecedor de serviços da nuvem. Aumento da Produtividade : os usuários vão ter mais exposição a trabalhar com as versões mais novas do software devido a agilidade de migração existente na plataforma. Se antes as empresas precisavam disponibilizar sua própria plataforma de acesso remoto para que o usuários pudessem cola borar de forma remota, agora o usuário só precisa ter acesso a web para acessar os softwares corporativos.

vem publica, a operacionalização dos servidores que fornecem os serviços são realizadas pelo provedor da nuvem. Porém, tais profissionais precisaram se readequar a esta realidade e começar a usar desta mudança uma oportunidade de agregar valor ao negócio. O profissional de TI/Segurança que antes era 90% reativo e 10% proativo, precisará agora inverter os papeis. Os profissi profissionais onais de Segurança vão ter mais tempo para trabalhar mais nas políticas de segurança, treinamentos de segurança (security awareness training), acessar os fatores de vulnerabilidade da em presa, fazer testes de penetração, fazer levantament levantamentoo de risco, liderar o programa de segurança na computação na nuvem dentro da empresa. Veremos mais na frente que migração para nuvem não é uma transferência de risco de segurança para o fornecedor dos serviços da nuvem. Já os profissionais de TI vão ter mais tempo para planejar o uso de TI como uma forma de alavancar negócios para a empresa, alinhar TI com os objetivos da empresa, fazer com que o departamento de TI não seja visto apenas como um local que “conserta o computador”, mas sim o departamento que faz o negócio acontecer, traz valor ao negócio através da adoção de novas tecnologias e automação de processos. Torna-se essencial neste novo modelo que os profissionais de TI tenham conhecimento mínimo de gerencialmento de projetos (recomendo no mínimo a certificação Project+ da CompTIA, o ideal é obter a certificação PMP) e serviços/operacionalização de TI (recomendo a certificação ITIL V3 Foundations).

Do ponto de vista do negócio os atrativos da com putação na nuvem n uvem são inumeros, porém também existe o “medo”, principalmente pelo lado do profissional de TI que esta migração signifique o fim do emprego E os Riscos? dele na empresa. Assim como toda e qualquer mudanConforme Conf orme menc mencione ioneii ante anteriorme riormente, nte, muda mudança nça é ça, a migração para nuvem traz oportunidades e ris- composta de riscos e oportunidades. Ao passo que cicoss pa co para ra os pr prof ofis issi sion onai aiss qu quee di dire reta tame mene ne se sera ram m tei algumas oportunidades que giram em torno da miafetados por isso. O tradicional profissional de TI/Se- gração para nuvem, os riscos também são grandes. gurança que está acostumado a trabalhar de uma for- Porém a boa notícia é que os riscos podem ser mitima mais reativa (apagando incêndio) vai realmente gados. A tabela abaixo enumera o risco e as possíveis sentir que sua existência na empresa pode estar em perguntas que devem ser questionada questionadass ao provedor risco. Isso devido ao fato de que na migração para nu- de serviço de nuvem:

Risco

Perguntas Frequentes

Confiar no modelo de segurança - Quais as garantias que tenho para confiar no seu modelo de segurança? - Seu datacenter tem alguma certificação relevante do âmbito de segurança? do provedor de soluções Lidar com audito auditoria ria de dado dadoss

|38

- Posso Posso ter ter acesso acesso aos aos dados dados para para fazer fazer auditoria auditoria no sistema sistema que eu eu uso? uso? - O que é preciso para auditar o manuseamento dos meus dados?



Obter suporte para fins de investigação de incidentes

- Caso eu precise fazer uma investigação forense, como obtenho dados dos servidores que eu utilizo?

Desenvolvimento não seguro de - As aplicações que minha minha empresa vai consumir consumir no seu serviço de nuvem aplicações foram desenvolvidas com algum modelo de segurança para nuvem?

Ameaças internas

- Quais as garantias que tenho que o seu pessoal (operacional) não vai sabotar meus dados? - É feito algum tipo de “background check” nos profissionais que sua empresa contrata para operar os serviços da nuvem?

Tecnologia compartilhada

- É possível que o meu concorrente tenha dados armazenados no mesmo servidor que eu uso, tendo em vista que estamos em uma plataforma virtualizada. Como é feito o isolamento dos dados em descanso (data resting) e em trânsito?

Vazamento de informações

- Que tipo de penalização/multa esta prevista caso exista vazamento dos meus dados pessoais localizados no datacenter da sua empresa?

Localização Geográfica*

- Onde fica o datacenter que vai armazenar meus dados?

* Este questionamento é importante para fins de regulamentação. Em alguns países e para alguns tipos de transações, é mandatório que o dado fique localizado dentro das premisas físicas do país.

Tais questionamentos fazem parte apenas do reconhecimento das políticas de segurança do provedor de serviços da nuvem. O trabalho não acaba por aí, na reallidade está apenas começando. O documento 800-1444 do Instituto Nacional de Padrões e Tecnologias (NIST – National Institute of Standards and Technolo no logy gy)) do doss Es Esta tado doss Un Unid idos os de defi fine ne um umaa sé série rie de diretrizes para segurança e privacidade em uma núvem pública.

metida, ela poderá tornar-se a porta de entrada para o acesso malicioso a dados que estejam localizados na nuvem. Como o acesso das premissas do cliente para o provedor de nuvem é válido e autenticado, torna-se difícil mitigar um acesso que aparentemente é válido. Por este motivo, os recursos localizados no ítem 1 são de responsabilidade do cliente. A segurança destes ativos é de responsabilidade do contratante. Quando o dado está em trânsito é necessário que o mesmo esteja criptografado. Com os recentes ataques Prepa ra ndo-se pa ra Migra ção tendo Segu- a certificados SSL, tornou-se ainda mais necessário ra nça como Premissa ter um dispositivo de perímetro (Firewall) que seja Um dos aspectos que geralmente não é endereçado capaz de não apenas analisar o tráfego, mas que tamcom a devida atenção é a segurança de perímetro. bém possa fazer validação SSL. Através da inspeção Muitos gestores têm a idéia errada que a contratação SSL realizada pelo firewall você estará adicionando de um serviço de núvem significa a transferência de uma camada a mais de proteção. O conceito de seguresponsabilidade da segurança dos dados para o pro- rança em profundidade aplicado na prática torna-se vedor de serviços, porém isso não é verdade. Os da- mais importante que nunca. doss po do pode dem m es esta tarr em lo loca cais is di dife fere rent ntes es du dura rant ntee a Ao chegar à rede do provedor de serviços da transação e dependendo de onde ele esteja à responsa- nuvem, a responsabildiade passa a ser do provedor. bilidade é de partes diferent diferentes. es. Vejamos no diagrama Os questionamentos que relacionados a proteção desda Figura 1. tes dados (como os exemplos que mencionei anteri Neste diagrama podemos notar que os recursos lo- ormente) precisam ser endereçado endereçados. s. calizados na rede interna são críticos também. Até mesmo porque se uma estação de trabalho for compro4 Documento completo em

|39

http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf



Figura 1 - Trajeto do dado.

C o n c l u sã o

Neste artigo você aprendeu um pouco sobre as questões relacionadas a segurança na nuvem publica e alguns fatores que devem ser considerados durante esta es ta mi migr graç ação ão.. As re refe ferê rênc ncia iass ab abai aixo xo po pode dem m se ser r utilizadas para um aprofundamento maior no tema. Referência s

Protec Prot ectin tingg yo your ur Wea eake kest st Po Poin int: t: On On-P -Pre remi mise se Resources (ISSA Journal/Maio 2011 2011)) www.yuridiogenes.com.br/issa/WeakestPoint_ISSA 0511.pdf TechE echED D 201 20111- Segu Seguranç rançaa de Perím Perímetro etro dura durante nte Migração para Nuvem (SIA302) http://yuridiogenes.wordpress.com/2011/10/04/tech ed-2011-segurana-de-permetro-durante-migrao-paranuvem-sia302/ Capítu Capí tulo lo 17 do Li Livr vroo de Se Secu curi rity ty+ + (E (Edi dito tora ra NovaTerra) http://www.securityplusbr.org Guidel Guid elin ines es on Se Secu curi rity ty an andd Pr Priv ivac acyy in Pu Publ blic ic Cloud Computing http://csrc.nist.gov/publica http://csr c.nist.gov/publications/nistpubs/800tions/nistpubs/800144/SP800-144.pdf

|40

Yuri Diogenes (CISSP,, EC| (CISSP EC|CEH CEH,, E|C E|CSA, SA, Com CompTIA pTIA Cloud Essen Essentials tials Certif Certified, ied, CompTI CompTIA A Secu Se curi rity ty+, +, Netw Ne twor ork+ k+,, Micr Mi cros osof oftt MCITP,, MCTS, MCSA/M MCITP MCSA/MCSE+Se CSE+Secucurityy, MC rit MCSE+ SE+In Inte tern rnet et,, MC MCSA SA/MC /MC-SE+M SE +Mes essa sagi ging ng,, me memb mbro ro da IS ISSA SA North Texa Texass e da American Society of Digitall Forens Digita Forensics ics & eDis eDiscovery covery). ). Mestrando em Cyber Cybersecur security ity Intell Intelligenc igencee and Forensics Investigation pela UTICA College nos Estados Unidos, é autor de vários livros na área de segurança da informação e ex membro do grupo de engenharia de suporte a produtos da linha Microsoft Forefront Edge Security. Security. Atual Atualmente mente Yuri Yuri trabalha no grupo Windows IT PRO Security da Microsoft. Yuri também escreve no seu blog em inglês. Em ingles: http://blogs.technet.com/yuridiogenes Em Português http://yuridiogenes.wordpress.com Twitter @yuridiogenes Twitter @yuridiogenes


Este tutorial mostra como proteger o servidor SSH e não a conexão...

m o C o ã ç e s t t o o s r P - H y HS n e S D

M

Servidores que necessitam de acesso remoto por meio de senha, como o SSH, acabam ficando vulneráveis por estarem expostos à Internet. Estes, por sua vez, podem sofrer ataques de força bruta (dicionário), que visam “encontrar” a combinação de senha que permita ao meliante se logar com algum usuário valido no sistema alvo. Diferentes técnicas podem ser empregadas para Conheço casos de hospedagem web onde o fornecedor não libera acesso FTP para seus clientes e, ao minimizar os riscos de acesso não autorizado. Uma invés disso, a parte contratante da hospedagem tem autenticação por chave pode ser uma das soluções fortalecer er o nível de segurança e endureciment endurecimentoo de enviar os arquivos para os responsáveis pelo servi- para fortalec dor e só então estes fazem fazem o upload. Alguém se esqueesque- (hardening) do sistema, mas de fato esta abordagem ceu de avisar a estes “indivíduos” que estamos em não impede ataques de força bruta de serem realizados contra o servidor alvo, apenas torna inviável esta pleno século XXI. Este tutorial trata basicamente de como conseguir tática de “guerra”. Tenho plena certeza que muita gente pensa o semanter seu servidor com acesso SSH fora do alcance de indivíduos mal intencionados, mas lembre-se, na- guinte: “vou fortalecer o sistema ao máximo e desta da na informática é 100%. Estou apenas mostrando forma indivíduos mal intencionados não poderão me como adicionar uma camada de segurança bem efici- causar danos, pois não conseguirão acesso ao sistema”. Este pensamento pode ser considerado antiquaente. do e até irresponsável pelo simples fato de que não é necessário conseguir acesso ao sistema para causar Dic io ná rio do m a l Este subtítulo é um tanto irônico, mas acho bem “prejuízos”. Se você, por exemplo, permitir que indiapropriado para o tema aqui abordado. Este título re- víduos realizem ataques de dicionário, existe a possisobrecarregar gar o presenta para par a mim um conjunto conjunt o de “palavras computacom puta- bilidade de estes conseguirem sobrecarre ciona cio nais” is” que podem podem ser uti utiliz lizad adas as par paraa con conseg seguir uir servidor ao inundar o sistema com requisições inválidas de acesso. acesso não autorizado a um sistema informático. ais cedo ou mais tarde iremos necessitar de acesso remoto a algum servidor servidor,, seja para realizar alguma configuração, manutenção, procediment me ntos os de ro roti tina nass ou qu qual alqu quer er ou outr traa ta tare refa fa.. Al Algu guns ns administradores de rede, sistemas, entre outros, ficam de cabelos em pé ao ouvir algo como “preciso de acesso remoto”.

|41


DICA / TUTORIAL Segurança Digital

v e r e m o s o ut r a f o r ma de b a i xa r e i ns t a l a r o O DenyHosts pode ser apresentado como uma das DenyHosts, mas lembre-se: se você utilizou um gemelhores formas de proteger seu servidor contra ata- renciador de pacotes como aptitude ou yum não será ins talação do tar.gz. t ar.gz. ques como fo forrça bruta ta.. Em outras palavras preciso fazer a instalação DenyHosts é uma ferramenta/script que monitora os arquivos de log /var/log/secure e /var/log/auth.log, Configurando Após o processo de instalação nos resta apenas rerespectivamente respectivamen te para Red Hat/Fedora e Debian/Ubun Debian/Ubun-alizarr as confi configura gurações ções finais finais,, conf configura igurações ções esta estass tu. A partir deste monitoramento, esta ferramenta adi- aliza ciona entradas em /etc/hosts.deny, arquivo que tornarão o DenyHosts funcional. Caso você teresponsável por negar pedidos de requisições vindas nha instalado esta ferramenta por meio de gerenciados hosts listados em seu interior, vale ressaltar ainda dores de pacotes em distros baseadas no Debian, o que as entradas são adicionadas a este arquivo seguin- arquivo de configuração se encontra em /etc/d c/deny enyhos hosts. ts.con conf, f, já no ca caso so de Red RedHa Hat/F t/Fedo edo-do parâmetros determinados pelo administrador, co- /et mo, po porr ex exemp emplo, lo, núm número ero de req requis uisiçõ ições es ne negad gadas as ra/CentOS o arquivo em questão fica em dentro de um intervalo de tempo. Ressalto ainda que /etc/hosts.deny. Tanto na instalação por meio de gerenciadores de DenyHo Den yHosts sts po pode de se serr ins instal talad adoo em qua qualqu lquer er dis distro tro GNU/Linux, neste tutorial levaremos em conta a ins- pacotes como por meio do arquivo tar.gz as configutalação em ambiente Fedora e Debian, lembrando ain- rações são basicamente as mesmas. Relembrando que da que com poucas ou nenhuma modificação este se você fizer a instalação via tar.gz será preciso criar links simbólicos para diretórios do sistema e renome pode ser instalado em outras ou tras distri distribuições. buições. ar o arquivo de configuração, ou seja, você terá tra balho dobrado. Editando o arquivo de configur configuração, ação, Mã os à obr a Chega de conversa e vamos fazer a instalação do você deverá ficar atento às informações relacionadas DenyHosts. Basicamente, Basicamente, esta instalação pode ser fei- aos endereços de arquivos de logs da distribuição na ta de duas formas, por meio de gerenciadores de paco- qual o DenyHosts foi instalado: te como apt-get/ap apt-get/aptitude titude em distribuiçõe distribuiçõess Debian e yum em distribuições como Fedora. Outra forma de # Arqui Arquivo vo de LOG a ser verificado verificado fazer a instalação é baixando o pacote tar.gz no endeSECURE_LOG = /var/log/secure reço [1] Neste tutorial irei instalar o DenyHosts em # Arquivo que contém contém hosts bloqueados bloqueados um ambiente Debian 6 (squeeze) e Fedora 16, utiliHOSTS_DENY = /etc/hosts.deny zando gerenciadores de pacote. # Limpar o arquivo /etc/hosts.deny a cada 3 dias PURGE_DENY = 3d I n s t a l a n d o vi a a p t i t u d e y u m # Especifica o serviço a negar acesso Aqui utilizarei o comando aptitude para fazer a insBLOCK_SERVICE = sshd talação do DenyHosts mas, caso você prefira utilizar # Quantos logins inválidos de usuário inexistentes o apt-get, fique à vontade. A primeira linha do quadro indica uma tentativa de ataque abaixo se refere ao comando que deve ser utilizado DENY_THRESHOLD_INVALID = 3 em distribuições Debian e derivadas, já a segunda li# Quantos logins inválidos de usuário existente nha é utilizada em distribuições Fedora e derivadas: indica uma tentativa de ataque DENY_THRESHOLD_VALID = 5 # aptitude install denyhosts # Quantas tentativas invalidas de login como root # yum install denyhosts caracterizam uma tentativa de ataque DENY_THRESHOLD_ROOT DENY_THRESHO LD_ROOT = 1 Utiliz Uti lizar ar ge geren rencia ciador dores es de pac pacote otess com comoo apt aptitu itu-# Denunciar logins inválidos vindos de máquinas de/yum apresenta diversas vantagens, como, por exválidas emplo, não ser necessário fazer um download manual SUSPICIOUS_LOGIN_REPORT_ALLOWED_ do pacote, não ser preciso descompactar nem mover HOSTS=YES arquivos dentro do sistema, pois estes já são enviados ###Parâmetros opcionais para envio de e-mails de para seus devidos diretóri di retórios os e, por po r último, últ imo, não ser prealerta ciso criar links dentro do sistema. No tópico seguinte D e n y H o s ts

|42



ADMIN_EMAIL = adm@enderec [email protected] o.com.br SMTP_HOST = mail.endereco mail.endereco.com.br .com.br SMTP_PORT = 25 SMTP_FROM = DenyHosts SMTP_SUBJECT SMTP_SUBJE CT = Relatorio DenyHosts ### Parâmetros para o modo daemon DAEMON_LOG = /var/log/denyhos /var/log/denyhosts ts # Intervalo de tempo para verificação do arquivo de log. DAEMON_SLEEP = 30s # Intervalo para limpeza da lista de bloqueados. DAEMON_PURGE DAEMON_PURG E = 1d Valores de tempo

Unidade de tempo s m h

Descrição Segundo Minuto Hora

d w

Dia Mês

y

Ano

Caso você especifique algum valor e não indique a unidade de tempo, o valor a ser considerado será em segundos. D e n y H o s t s f u n ci o n a n d o

Ao realizar a instalação por meio dos gerenciadores de pacote, o DenyHosts irá funcionar em modo Daemon , ou seja, rodará constantemente em segundo plano, não sendo necessário que você solicit solicitee sua execução. Toda vez que um host identificado como potencial atacante for detectado, uma entrada será adicionada ao arquivo especificado na variável HOSTS_DENY. Os valores adicionados seguem mais ou menos este padrão: sshd: 123.456.78 123.456.7899 sshd: 234.567.89 234.567.8900 sshd: 345.678.90 345.678.9011 D e f es a c o l a b o r a t i va

Resumidamente, o DenyHosts possui uma lista glo bal contendo hosts potencialm potencialmente ente agressivos, sendo assim você não precisa esperar que um ataque seja realizado contra sua máquina para poder adicionar estes hosts a lista de máquinas bloqueadas. Para ativar o recurso de lista colaborativa, basta descomentar as se-

|43

guintes linhas no arquivo de configuração: # caso você utilize algum firewall, certifique-se que a porta 9911 pode ser utilizada pela ferramenta: SYNC_SERVER SYNC_SER VER = http://xmlrpc. denyhosts.n denyhosts.net: et: 9911 # permitir ou negar download da lista colaborativa: SYNC_DOWNLOAD SYNC_DOWNLOA D = yes # permitir ou negar upload da lista de bloqueios realizado pelo seu server: SYNC_UPLOAD = yes Mas existe um problema em utilizar esta abordagem. Um servidor com DenyHosts mal configurado pode bloquear um host que não apresenta perigo algum, para evitar isso você pode descomentar a seguinte linha: SYNC_DOWNLOAD_THRESHOLD SYNC_DOWNLOA D_THRESHOLD = 6 Esta, por sua vez, tem a função de fazer download somente daqueles hosts que tiverem sido bloqueados em pelo menos 6 servers diferentes, com certeza esta abordagem tornará a lista de hosts mais fidedignas. Outro recurso interessante que pode aumentar ainda mais a veracidade da sua lista é: SYNC_DOWNLOAD_RESILIENCY SYNC_DOWNLOA D_RESILIENCY = 2d Este, por sua vez, tem como objetivo considerar apenas os hosts que estiverem bloqueados a pelo menos dois dias. Lembrando que você pode editar este valor val or uti utiliz lizand andoo out outras ras un unida idades des de tem tempo po ou até mesmo outros valores para esta mesma unidade. [1] - http://sourceforge.net/projects/denyhosts/files/ denyhosts/ Fábio Jânio Lima Ferreira - (Diretor e Diagramador) Analista de suporte técnico, administrador de redes, programador, ativista e defensor do software livre. Sem sombra de dúvida o campo da segurança computacional me seduz como nem uma outra área. Apaixo Apa ixonad nadoo por tec tecnol nologi ogiaa e fas fascin cinado ado pela cultura hacker. Email: [email protected] Blog: www.fabiojanio.com Twitter: @_SDinfo Março 2012 • segurancadigital.info

NOTÍCIAS Violação de e mail sí rio indica guerra digital

ker Anonymous afirmaram que a infiltração da Interpol na organiA divulgação de dezenas de ezação foi o que levou à prisão de mails reveladores do presidente 25 ha hacckt ktiv ivis ista tass na Eur uroopa e Bash Ba shar ar el el-A -Ass ssad ad apon aponta ta pa para ra Amér Am éric icaa La Latin tina. a. O gr grup upoo af afir ir-uma nova era de guerra de informaçõ ma ções es -- te tenh nhaa si sido do el elaa aç ação ão mou que quase todos os integrantes presos haviam participado pado em um mesmo site da rede usado pelo dos próprios rebeldes sírios, resultado de ajuda de partici agências de espionagem do Ocidente ou de hackers Anonymous. >> http://migre.me/8k8rc ativistas. >> http://migre.me/8k8bk

13 empresas de TI são processadas por roubo de dados Um grupo de norte norte-amer -american icanos os processou várias empresas empresa s de tecnologia por elas terem violados seus dados pessoais em smartp sma rtpho hones nes.. Ele Eless ale alegam gam no pro pro-cesso que os apps (das empresas Facebook, Beluga, Yelp, Burbn, Instagram, Foursquare Labs, Gowalla, Foodspotting, Path, Twitter, Apple, Hipster, LinkedIn, Rovio, ZeptoLab, Chillingo, Electronic Arts e Kik) acessam, sem autorização, os dados pessoais – como lista de contatos telefônicos e de e-mails – para compartilhar informações ou mesmo montar uma base de dados. >> http://migre.me/8k8gj

Assange, do WikiLeaks, estuda virar polí tico O fundador e líder do WikiLeaks, Julia Juliann Assange, Assange, plan planeja eja se candidatar a uma cadeira no Senado na do da Austrá Austrália lia,, anu anunc nciou iou o grupo anti-sigilo no Twitter neste sábado. Os comentários não puderam ser imediatamente confirmados. O australiano Assange, 40, está atualmente em regime de prisão domiciliar no Reino Unido e luta contra a extradição para a Suécia para ser interrogado sobre acusações de crimes sexuais. >> http://migre.me/8k8lR

Em entrevista, fundador do Megaupload compara site ao Google O alemão Kim Dotcom, o fundador da dor do Meg Megaup auploa load, d, co conce nce-deuu na qu de quin inta ta-f -fei eira ra (1 (1°) °) su suaa primeiraa entrevist primeir entrevistaa para TV neozelandesa depois de ser solto da prisão. Ao jornalista John Campbell, o empresário, que é acusado de facilitar a pirataria e causar um prejuízo de US$ 500 milhões, disse que o site estava protegidoo pela lei do Digital Millenn protegid Millennium ium Copyright Act (DMCA), a mesma que protege sites como o YouTube e o Google. >> http://migre.me/8k8uj

Linus Torvalds critica distros que pedem senha de root para tarefas comuns Opinião pessoal não deve ser levada em conta na hora de generalizar sobre sob re de deter termin minado ado sis sistem tema, a, mas quan qu ando do es essa sa op opin iniã iãoo ve vem m de al al-guém gu ém co com m gr gran ande de in influ fluên ênci ciaa na origem do mesmo, não dá para deixar o caso passar despercebido. Linus Torvalds desa bafou no seu Google+ sobre as políticas pol íticas de segurança seg urança do OpenSUSE. >> http://migre.me/8k8xk

Contribua com nosso projeto? Anonymous: Interpol se infiltrou no grupo para prender membros

Envie um email para nossa equipe!

Pessoas identificadas como membros do grupo hac-

[email protected]

|44


www.ablesecurity.com.br

|45 ANÚNCIO AbleSecurity


ANÚNCIO Data Security

|46


s o r i e c r a P

Venha fazer parte dos nossos parceiros, que apoiam e contribuem com o Projeto Segurança Digital. Digital.

|47


PARCEIRO 4Li 4Linux nux

»

O

Pen test Teste de Invasão em Redes Corporativas

Alunos, que já concluíram o curso 415, serão cacurso é totalmente prático e aborda métodos, técvulnerabilidades lidades exisnica e ferramentas utilizadas por Hackers, utili- pacitados a analisar e explorar vulnerabi zando-as para a realização de Testes de invasão tentes que podem ter sido deixadas mesmo após um profissional onal precisa conhe(Pen Tests). Todo conteúdo é transmitido de forma prática processo de hardening. O profissi e dinâmica, apresentando desafios para serem resolvidos cer como um processo de hardening é realizado, para ao longo do curso. Dessa maneira, o aluno se deparará saber o que e onde testar se o processo foi realizado com cenários reais que simularão contextos específicos on- com sucesso. No relatório final, o profissional estará de precisará realizar um Teste de invasão, onde no final do capacitado, com a visão de um possível invasor, à indicar onde as brechas estão e quais os procedimentos curso um relatório final deverá ser apresentado. Esse é o segundo curso da formação em segurança, onde o aluno, após aprender a proteger seu servidor (através do curso 415), aprenderá técnicas ainda mais avançadas para descobrir e explorar vulnerabilidades, avaliando seu grau de risco e ameaça, oferecendo no relatório final o resultado de seu trabalho e como mitigar as falhas e vulnerabilidades encontradas.

que devem ser realizados para se executar uma sintonia fina no hardening do sistema.

Q u em d e v e f a z e r e s t e cu r s o e p o r q u ê

Consultores de Segurança, Analistas de segurança e Administradores de Redes que queiram entender o funcionamento das intrusões feitas pelos Crackers. Os profissionais de TI serão capacitados para realizar Testes de Segurança, permitindo que identifiquem vulnerabilidades e qualifiquem ameaças, conseguindo conseguindo assim quantificar os riscos e nível de exposição dos ativos da empresa, tendo o conhecimento para identificar comportamento hostis em suas redes no caso de necessidadee de Resposta a Incidentes de Segurança. necessidad Além disso, também serão capacitados a validar seus mecanismos de segurança por meio de Pen-Test (Teste de invasão de Rede). Este curso é baseado em metodologias internacionais para avaliações avaliações e testes de segurança, onde cada item de uma rede ou servidor é testado, levando em consideração os vários ti pos de ataques possíveis e ameaças ameaça s existentes. exi stentes. Alunos, que já concluíram o curso 415, serão capacitados a analisar e explorar vulnerabilidades existentes que podem ter sido deixadas mesmo após um processo de hardening. O profissi profissional onal precisa conhecer como um processo de hardening é realizado, para saber o que e onde testar se o processo foi realizado com sucesso. No relatório final, o profissional estará capacitado, com a visão de um possível invasor, à indicar onde as brechas estão e quais os procedimentos que devem ser realizados para se executar uma sintonia fina no hardening do sistema.

|48

Para mais informações acesse: http://www.4linux.com.br/cursos/cursos seguranca.html#curso-406 seguranca .html#curso-406


PARCEIRO Data Security

»

Aplicação de técnicas forenses na investigação e

prevenção a fraude (parte 1)

nais que apresentam como objetivo a identificação de A fraude, segundo o dicionário Aurélio, traz em incidentes de segurança. Sabendo que a segurança da uma de suas definições do termo a falsificação, adul- informação é uma das bases do processo investigatiteração tendo como uma de suas características a má vo, torna-se necessário conhecer um pouco sobre este fé. Neste contexto, o artigo tem como escopo o uso termo, principalmente no que tangem os processos de téc técnic nicas as inv inves estig tigati ativas vas a fra fraude udess pra pratic ticada adass em investigativos, para isto será introduzido o conceito meios eletrônicos, tais como dispositivos de computa- do controle em segurança. E neste caso há hoje uma ção pessoal, como estações de trabalho, dispositivos norma que determina a necessidade de controles em segura urança nça qu quee sã sãoo con conhec hecido idoss com comoo fam famíli íliaa ISO portáteiss como telefones celulares e demais elemen- seg portátei tos que visam contribuir com a aplicação de metodo- 270002. No Brasil, esta família de normas é materialogias investigativas. Este artigo não tem a pretensão lizada como NBR ISO/IEC 27001 3, NBR ISO/IEC ISO O/I /IE EC 2700 00445, NBR ISO/IEC de indicar softwares ou soluções específicos, pois em 270024, NBR IS se tratando de uma metodologia, considera-se que 270056, NBR ISO/IEC 27011 7. Este artigo não visa qualquer ferramenta que se destina a produzir o resul- explorar o significado de todas estas normas, nem tado desejado atenderá as necessidades propostas pe- sua relação com o processo investigativo, entretanto, consideramos importante que qualquer metodologia las metodologias apresentadas neste documento. investigativa, tenha como base o processo de tratamento de resposta a incidentes 8 atenda os controles C o n t e x t u al i z a ç ã o d a F r a u d e Considerado como ardil, a fraude visa ludibriar ví- definidos pela NBR ISO/IEC 27002. É possível perceber em um grupo de resposta de timas, com o objetivo de ganhos por parte do fraudador. O contexto apresentado neste artigo traz como incidentes de uma empresa diversos profissionais de escopo a experiência do autor Prof. Msc. Marcelo diversas áreas, não somente limitados a profissionais Lau indicando a atuação prática, baseada na adoção de tecnologia ou segurança da informação. Esta obde metodologias que foram construídas ao longo de servação é identificada por este autor em sua experiênci ciaa em in inst stitu ituiç içõe õess fi fina nanc ncei eira ras, s, qu quee ta tamb mbém ém estudos de caso 1, apresentados ao longo de sua carrei- ên carreira,, similar similaridades idades da ra até o momento, indicando cuidados importantes percebeu ao logo de sua carreira que devem ser tomados pelo perito no processo de re- adoção deste modelo no restante do mercado. Esta composição de profissionais possibilita uma sinergia alização de perícia forense. O primeiro contato do autor ao contexto investiga- no atendimento de crises que podem levar a perda de tivo surgiu ainda em um período de atuação deste pro- confidencialidade, integridade e disponibilidade dos fissio fis sional nal em ins instit tituiç uição ão fin financ anceir eiraa bra brasil sileir eira, a, por ativos9. O autor resume em poucas palavras que o meio do trabalho realizado em um grupo de resposta termo confidencialidade visa manter o sigilo dos atia incidentes. Um grupo de resposta a incidentes se ca- vos, enquanto que a integridade visa manter o estado racteriza como um grupo especializado de profissio- completo dos ativos e a disponibilidade, visa manter I n t r o d u ç ão

Consideram estudos de caso neste texto, as experiências práticas vividas pelo autor. família ISO 27000 com a norma ISO 27000 que contêm uma visão geral e vocabulário da norma. Para isto, recomendamos uma visita ao site da ISO/IEC 27000:2009, indicado nas referências deste artigo. 3 Esta norma pode ser adquirida no site da ABNT no endereço Web: Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1492 http://www.abntcatalogo.com.br/norma.aspx?ID=1492.. 4 Esta norma pode ser adquirida no site da ABNT no endereço Web: Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1532 http://www.abntcatalogo.com.br/norma.aspx?ID=1532.. 5 Esta norma pode ser adquirida no site da ABNT no endereço Web: Web: http://www http://www.abntcatalogo.com.br/norma.aspx?ID= .abntcatalogo.com.br/norma.aspx?ID= 58103 58103.. 6 Esta norma pode ser adquirida no site da ABNT no endereço Web: Web: http://www http://www.abntcatalogo.com.br/norma.aspx?ID= .abntcatalogo.com.br/norma.aspx?ID= 1575 1575.. 7 Esta norma pode ser adquirida no site da ABNT no endereço Web: Web: http://www http://www.abntcatalogo.com.br/norma.aspx?ID= .abntcatalogo.com.br/norma.aspx?ID= 56448 56448.. 8 O tratamento de resposta a incidentes é definido pela NBR ISO/IEC 27002 por meio do objetivo de controle Gestão de Incidentes de Segurança da Informação. 9 Entendem-se como ativo qualquer coisa que tenha valor para uma organização. Os ativos podem ser classificados como ativos tangíveis e ativos intangíveis. Exemplos de ativos podem ser: edificações, equipamentos, serviços, processos, pessoas e demais elementos que apresentam valor para uma organização. 1

2 Não se deve confundir a

|49



acessíveis os ativos a quem têm direito. Retornando a questão da fraude, há aspectos im portantes a serem considerados quando alinhados ao processo de resposta a incidente incidentes, s, pois o tratament tratamentoo pode ocorrer em função de eventos ou incident incidentes. es. Consideram-se eventos um ou uma série de ocorrências que geram a suspeita da perda de integridade, dis ponibilidade ponibili dade ou integrid integridade ade de um ativo. Somente depois da confirmação de um incidente é que podemos afirmar que este realmente é um incidente de seguran gur ança. ça. O pro proces cesso so inv invest estiga igativ tivoo de fra fraude ude pod podee abranger tanto análise de eventos, quanto de incidentes, pois em diversos momentos, antes de um atacante ou fraudador obter sucesso à aplicação de fraude, este tenta insistentemente realizar tentativas que podem ser registradas em sistemas e serem investigadas de forma apropriada. Este processo não será detalhado com profundidade neste artigo, por não ser o objeto principal deste documento, pois o objetivo é informar ao leitor a metodologia investigativa adotada em incidentes de segurança segurança.. Considerandoo que a experiência inicial do autor esConsiderand tá relacionada à atuação de processos investigativos relacionados à prevenção a fraude na atuação em uma equipe de resposta a incidentes, devemos entender a metodologia apresentada neste artigo, reflete o resultado de uma análise crítica da atuação em forense por meio de processo empírico analítico 10 adotado pelo autor e o resultado das observações sobre os fatores de sucesso nestes processos investigativos. Com isto, traçamos um paralelo entre a metodologia e as observações realizadas em campo pelo autor que são materializados pelo parágrafo seguinte deste artigo. Os primeiros incidentes tratados pela equipe de resposta a incidentes presenciados pelo autor estavam relacionados à fraude financeira e eram relacionados

às tentativas de envio de arquivos anexados em correio eletrônico a vítimas. Neste momento eram ainda utilizados utiliz ados como tema temass das mens mensagen agenss eletr eletrônica ônicas, s, nomes e conteúdos que se faziam passar por instituições financeiras. Este tipo de ardil 11 hoje é muito difundido no mundo inteiro, onde se consideram alguns elementos que corroboram a insistência sobre este método até os dias atuais. O primeiro elemento é o fato de se considerar que a fraude em meios eletrônicos pode ocorrer em princípio por meio de três elementos: o emissor, o meio e o receptor. O emissor é em nosso caso o provedor do serviço eletrônico, muitas vezes disponibilizados em canais como a Internet, entretanto não devemos esquecer que demais serviços eletrônicos12 nã nãoo di disp spon onív ívei eiss so some ment ntee ne nest stee me meio io de comunicação13. O meio trata da infraestrutura de comunicação entre o emissor e o receptor. Este meio pode ser a Internet ou qualquer q ualquer outro meio que possi bilite a conectivid conectividade ade destes elementos. Por fim o receptor que é em nosso caso o cliente que deseja acessar os serviços eletrônicos disponíveis. Hoje o ponto mais suscetível à fraude é o receptor, e por meios dos parágrafos seguintes deste artigo, o autor traz a base científica para esta afirmação. Quando contextualizamos neste artigo o emissor no processo investigativo e de prevenção a fraudes, identificamos como ponto focal os serviços disponi bilizados por instit instituições uições financeir financeiras. as. Se tomarmos como base a comparação da robustez dos mecanismos de proteção e controles entre o emissor e receptor, percebemos que o emissor apresenta mecanismos de proteção que são mais robustos comparados aos mecanismos e controles apresentados pelo receptor, isto se deve pelo fato do emissor adotar arquiteturas de segurança não adotados em geral pelo receptor.

O processo empírico analítico se baseia na condução de diversas ações, baseadas em uma hipótese. Uma vez que a ação resulte em validação da hipótese para formulação de uma metodologia, para que esta possa ser utilizada com restrições em algumas generalizações. Estas restrições estão relacionadas às similaridades dos eventos observados e sua aplicação prática no processo investigativo forense. 11 As técnicas em parte são similares às presenciadas nos primeiros incidentes, entretanto há algumas variações quanto à aplicação de fraude em meios eletrônicos, dentre eles a não obrigatoriedade do envio de anexos em mensagens eletrônicas, que foi substituído pelo envio de links que possibilitam o download de arquivos maliciosos, que uma vez instalados permitem a captura e envio de informação de dados coletados da vítima ao fraudador por meios de comunicação disponíveis. Outro ponto evolutivo das ameaças é a existência de temas de mensagens eletrônicas que não utilizam necessariamente temas de instituições financeiras, podendo se passar por outros temas que visam ludibriar a vítima. 12 Estes serviços eletrônicos mencionados trazem em seu significado, o uso de qualquer mecanismo ou sistema eletrônico que permita realizar uma operação computacional. Neste caso, podemos incluir como exemplo os sistemas de pagamento por cartão de crédito, podendo também ser tão simples como as operações realizadas em telefones celulares como o envio de SMS (Short (S hort Message). 13 Estes demais meios de comunicação são caracterizados como comunicações em link de dados, que podem estar restritos as redes corporativas e demais outras denominações como intranets e extranets. 10

|50



Neste caso ca so fazem parte dos itens it ens desta dest a arquitetura arqui tetura ele- serviço acessado, possibilitando pelo embaralhamenmentos de filtragem e monitoramento em segurança to a imp implem lement entaç ação ão da con confid fidenc encial ialida idade de sob sobre re o da informação, tais como Firewall 14, IDS15/IPS16, An- meio de comunicaçã comunicação. o. 17 18 tivírus , Hardening e demais elementos que posCom esta descrição comparativa existente nos pasam contribuir com a segurança do emissor por meio rágrafos anteriores deste artigo se percebe que o elo da implementação destes mecanismos em camada 19. mais fraco em termos de segurança da informação é Destes mecanismos de proteção mencionados, em ge- o receptor, neste caso o usuário do serviço que deve ral o receptor conta com proteções apenas baseadas adotar mecanismos de controle para sua proteção. em Antivírus, não possuindo as mesmas camadas de Estes controles podem ser caracterizados pela exis proteção hoje existentes no emissor. emi ssor. tência de Antivírus atualizado constantemente e conO meio, que é algo ainda não foi mencionado com fig iguuração segura do sis isttema operacional e detalhes neste artigo, é considerado como um meio aplicativos, processo similar às técnicas de Harde bem protegido, pro tegido, principal principalmente mente quando estamos est amos consicons i- ning. Baseado neste cenário, identificaremos algumas derando dera ndo comu comunica nicação ção cifra cifrada, da, ou cript criptogra ografada fada.. A técnicas e metodologias investigativas para o procescriptografia neste caso é a implementação de tecnolo- so de confirmação da existência de fraude e proposigia que permite o embaralhamento de informações, ção de metodologias investigativas, disponíveis nos sejam destinadas ao armazenamento ou transmissão próximos capítulos deste artigo. de dados. Em no escopo deste artigo, o meio utilizado em comunicações para transações financeiras, em Metodologia de Identificação da Fraude geral é a Internet, quando tratamos de contextualizar Deve-se considerar que nem toda fraude identifia fraude em meios eletrônicos envolvendo clientes e cada como bem sucedida sistemicamente (ou seja, instituições financeiras. Neste caso é padrão o uso de identificado nos sistemas seja por denúncia ou filtros SSL20 (Security Socket Layer) como camada de emba- de detecção de fraude), indica imediatamente a vítiralhamento destes dados. O SSL na prática é a adoção ma da fraude. Neste aspecto, é necessário o investide certificado digital no serviço que se deseja disponi- mento de tempo e conhecimento investigativo para bilizar. Neste caso o certifi certificado cado digital é representad representadoo realizar o processo de confirmação na identificação por um conjunto de bits bit s21 gerados pelo sistema de cer- do fraudador e a vítima, ou as vítimas de uma fraude. tificação digital que provê a certeza da identidade do Há situações que se identifica a vítima como frauFirewall é uma implementação de filtro de pacotes que permite a inspeção de seu conteúdo de acordo com o protocolo de comunicação, em geral baseado em TCP/IP (Transmi (Transmission ssion Control Protocol/ Protocol/ Intern Internet et Protoc Protocol). ol). O Firewa Firewall ll pode ser implementado implementado através de equipamentos especializados para o desempenho desta função ou configurados em software que podem ser utilizados sobre um sistema operacional de livre escolha do responsável pela implementação, isto é, se o software tiver suporte adequado para ser instalado na base operacional desejada. 15 Intrus Intrusion ion Detection Detection System. É um sistema de detec detecção ção de intrus intrusão ão que pode ser baseado na imple implementaç mentação ão host ou rede. Em geral estes sistemas são configurados apenas para alertar os responsáveis pela segurança da existência de eventos ou incidentes de segurança, não envolvendo uma resposta do sistema aos ataques por meio do envio de pacotes TCP/IP. 16 Intrusion Prevention System. É um sistema que além de detectar a intrusão, tem como objetivo o envio de pacotes TCP/IP possibilitando a ação de contramedidas contra ataques identificados no meio de comunicação originada pelo sistema. 17 Sistema de detecção de vírus, programas de computador que tem o objetivo de identificar demais ameaças conhecidas como malware (Malicious Software). 18 Hardening é um procedimento realizado para fortificar o sistema operacional e aplicativos por meio da configuração segura do mesmo. Este procedimento se baseia na configuração de permissionamentos restritos ao sistema, assim como a aplicação de correções de segurança segur ança e insta instalação lação apenas dos aplica aplicativos tivos e servi serviços ços necessários, necessários, evitando que o sist sistema ema seja expos exposto to de forma desne desnecess cessária ária às ameaças tratadas em segurança da informação. 19 A arquitetura em camada consiste na aplicação aplicação de sucessivos mecanismos de proteção proteção que visam proteger os ativos contra a perda de confidencialidade, integridade e disponibilidade. 20 Recomendo aos interessados em se aprofundar mais sobre o tema a leitura do livro SSL and TLS: theory and practice, referenciado na bibliografia deste artigo. 21 Bit é a menor unidade binária utilizada no processo de armazenamento e transmissão de informações em sistemas informatizados, sugiro como aprofundamento a leitura de um livro que aborda os princípios da Eletrônica no livro Introduction to Digital Electronics, referenciado na bibliografia deste artigo. 14

|51



dador, onde este simula a ocorrência de fraude, visando ganho financeiro. Isto é conhecido como auto fraude.. A au de auto to fr frau aude de po pode de se serr il ilus ustr trad adaa em se serv rviç iços os como seguros, onde a suposta vítima, desejando ter o valor correspondente de seu veículo simulado, providencia den cia o des desapa aparec recime imento nto de seu pró própri prioo veí veícul culo, o, com o objetivo do recebimento do prêmio do seguro. Em meios eletrônicos, uma suposta vítima também pode vir a transferi t ransferirr valores financei financeiros ros ou mesmo m esmo realizar resgates em sua conta corrente, alegando a existência de fraude. Neste contexto, é importante antes de qualquer adoção de metodologia investigativa, considerar o processo de confirmação do incidente ou da fraude. Este processo de confirmação inclui a análise de alguns elementos externos ao equipamento do receptor 22, co comp mple leme ment ntad adoo pe pela la an anál ális isee de ev evid idên ênci cias as disponíveis no equipamento da suposta vítima. Este processo formal 23 visa confirmar a existência da ocorrência da fraude. Caso seja confirmada a ocorrência de uma fraude, considera-se importante a preservação de evidências que possibilite a identificação de provas disponíveis no meio eletrônico, em geral, um computador pessoal24, que possa responder alguns pontos importantes relacionados ao incidente. Estes pontos são derivados da metodologia 5W1H 25 (What, Where, When, Why, How e Who), que traduzidos 26 são respectivamente (O que, Onde, Quando, Porque, Como e Por Quem):

O que aconteceu: Identificação de evidências e ações realizadas de programas maliciosos, ou vulnerabilidades exploradas sobre o sistema afetado que podem ter levado a ocorrência da fraude; Onde ocorreu a fraude: Confirmação do computador ou computadores que podem ser sido utilizados para a ocorrência

da fraude; Quando ocorreu: Visa delimitar a linha de tempo sobre o conjunto de evidências identificadas nos dois itens anteriores do 5W1H; Porque ocorreu a fraude: Em geral as fraudes que ocorrem neste meio visam com comoo ben benefí efício cio o fra frauda udador dor,, ent entret retant anto, o, podemos considerar o benefício de outros envolvidos que podem ser descobertos no processo investigativo; Como ocorreu a fraude: Visa organizar em linha l inha de tempo as evidências identificadas nos itens anteriores do 5W1H; e Quem cometeu a fraude: Este item visa revelar a identidade de quem colaborou com a ocorrência da fraude. Vale ressaltar que esta é uma proposta metodológica recomendada pelo autor e que esta pode ser aplicável em alguns processos investigativos, entretanto não se têm como pretensão a generalização desta metodologia sem a devida validação dos mesmos por meio do método científico. Esta metodologia ainda deve estar atrelada ao processo ces so for formal mal em for foren ense se co compu mputac tacion ional, al, que vis visaa 27 atender alguns princípios em forense computacional28, tais como:

Identificação da Evidência : Método utilizado para identificar a evidência a ser coletada e analisada; Preservação da Evidência : Método utilizado para assegurar a integridade por meio da realização de procedimentos de coleta, transporte e armazenamento seguro da evidência identificada;

Dentre estes elementos externos estão a análise de registros gerados pelo emissor pelas transações financeiras. A formalização formalização é neces necessária sária,, pois todo documento gerado pelo proce processo sso investigativo investigativo deve ser realiz realizado ado de acord acordoo com a lei e somente um processo documentado, pode subsidiar as partes em uma disputa legal, onde o perito será base de decisões do magistrado por meio do laudo pericial. 24 Consi Consideradera-se se um compu computador tador pessoal, pessoal, pois a vítima de uma fraude, em geral utiliza um compu computador tador,, seja este de uso particular particular ou pertencente à empresa que a vítima trabalha. 25 Metodologia também identificada no livro Advances in hybrid information technology, referenciado na bibliografia deste artigo. 26 Esta não é uma tradução literal somente, é a interpretação e contextualização dada pelo autor quanto ao significado desta metodologia. 27 Os significados fornecidos pelo princípio foram fornecidos pelo autor deste artigo. 28 Estes princípios são considerados pelo autor os mais adequados no processo metodológico com computação forense, sendo considerados por muitos os processos clássicos, entretanto não podemos deixar de lado outros processos que possam ser adotados pelo perito, que de alguma forma ou outra devem seguir uma sequência estruturada e ordenada de ações. 22 23

|52



sequenciais e dependentes a execução de tarefas que Análise da Evidência: possibili tam a aplicação prática destes modelos no Método adotado para interpretar e identificar possibilitam processo de investigaçã investigaçãoo de fraudes, as quais podem provas contidas nas evidências preservadas; e ser lidas ao longo da continuação deste artigo. Apresentação dos Resultados da Análise Forense: Método adotado para a geração de documentos Aplicação Investigativa da Metodologia que possibilitem a interpretação dos fatos iden- de Identificação da Fraude O perito ao se deparar com uma evidência deve tificados na etapa de análise de evidência, deviser capaz de tratar este conteúdo de forma adequada damente contextualizados à fraude. a fim de manter a integridade sobre a mesma, isto gaEstes princípios em forense computacional tam- rantirá a obtenção dos dados definidos pelo modelo bém respeitam um padrão estabeleci estabelecido do em 2002, co- 5W1H, assim como assegura a certeza do perito so29 nhecido como RFC 3227 , intitu intitulado lado Guidelines Guidelines for bre as conclusões de uma evidência analisada sem Evidence Collection and and Archiving, sendo um conjunconjun- contaminações que possam ter sido adicionadas pelo to de boas práticas destinadas às práticas forenses, perito ou processo adotado pelo perito, de acordo possibilitando possibili tando ações de identif identificação, icação, preservação, com os princípios forenses já explorados no item ananálise e apresentação dos resultados de uma análise terior deste artigo. forense, apesar do autor considerar que estas práticas Em nosso modelo, relacionado à fraude, em geral mencionadas são incipientes comparadas com as téc- a evidência estará relacionada a dispositivos analisanicas hoje conhecidas e praticadas pelos profissionais dos da vítima 33, entretanto considera-se importante em investigações. Algumas das práticas adotadas no avaliar nesta mesma metodologia investigativa a ne próximo item deste artigo visam aprofundar alguns cessidade de se adotar procedimentos similares no dos princípios trazidos por este padrão. processo de análise de evidências coletadas de frauEm termos de padrão, vale mencionar que está em dadores suspeitos, que pode não se limitar somente a desen des envol volvim vimen ento to uma no norma rma int intitu itulad ladaa com comoo ISO equi equipame pamentos ntos de uso pess pessoal oal como comp computad utadores ores,, 30 31 27037 , que deve complementar a RFC . Este docu- dispositivos de armazenamento, podendo se estender mento intitulado como Evidence Evidence Acquisition ProceduProcedu- também com a análise de evidências disponíveis em 32 re for Dig Digita itall For Forens ensics ics , de deve ve co comp mpor or as vá vári rias as sistemas de correio eletrônico, navegação entre ou práticas hoje adotadas pelos profissi profissionais onais que hoje tros disponíveis em outros ambientes e/ou provedoatuam no âmbito investigativo i nvestigativo de evidências digitais. res que podem assegurar a rastreabilidade da ação do A partir da adoção destes princípios e modelos me- fraudador sobre uma vítima. todológicos, considera-se importante entender a apliO primeiro procedimento a ser adotado pelo perito cação prática deste modelo no processo investigativo ao se deparar com a vítima de uma fraude é identifirelacionado à identificação de fraudes. Esta materiali- car por meio de depoimento 34 o dispositivo ou equização da metodologia ocorre por meio de atividades pamento 35 ut util iliz izad adoo pe pela la ví víti tima ma re rela laci cion onad adoo ao O conteúdo da RFC 3227 pode ser acesso na íntegra em: http://www.ietf.org/rfc/rfc3227.txt O autor desconhece uma fonte confiável que disponibilize uma versão preliminar desta norma. 31 RFC tem como acrônimo, as palavras Request for Comments. Hoje as RFCs são padrões aceitos pelo mercado de tecnologia. 32 Esta norma está sendo desenvolvida por um fórum Intitulado FIRST, dentro de um grupo denominado SIG (Special Interest Groups). Mais dados podem ser obtidos no site http://www.first.org/. 33 Outros elementos poderiam ser escolhidos na aplicação desta metodologia, entretanto, escolheu-se identificação de evidências de vítimas, pois este em geral é o ponto inicial gerador de uma investigação, sendo que as evidências, neste caso, se encontram na maioria das vezes disponíveis ao processo investigativo. 34 Não é somente por depoimento que esta identificação é realizada, pois a identificação de evidências por meio de registros gerados por sistemas permite também a identificação de evidências. Quando se menciona depoimento, isto não significa que o processo tamt am bém se baseará em algo somente descritivo. Há espaço neste depoimento o informe de detalhes da vítima informando detalhes que possam ser acessíveis aos sistemas informatizados apontados pela vítima e acessíveis no momento da prestação deste depoimento. 35 Apesar de estes termos estarem no singular, isto não significa que os itens são excludentes, ou apenas um dos equipamentos devem ser considerados no processo pericial. Deve-se considerar todo e qualquer equipamento ou dispositivo que tenha sido informado pela vítima. Na prática, a maioria dos usuários de meios informatizados, utilizam equipamentos em ambiente de trabalho e outro equipamento para uso de atividades particulares, mesmo que em muitos momentos estes equipamentos sejam disponibilizados por estabelecimentos públicos como cybercafés. 29

30

|53



serviço acessado, relacionado à ocorrência de fraude. Dentre os cenários 36 que podem ser apresentados a vítima pode identificar dispositivos como:

neste conjunto equipamentos como smartphones 38 e demais dispositivos portáteis com a capacidade de conectividade,, navegabilidad conectividade navegabilidadee e processame processamento. nto. Nem sempre a vítima saberá identif identificar icar os dispoComputadores pessoais de uso exclusivamente sitivos utilizados e nem sempre os dispositivos idenpessoal: tificad tifi cados os pod podem em ser per perici iciad ados, os, poi poiss alg alguns uns del deles es Caracterizam-se por meio de computadores de podem não terem autorizaçã autorizaçãoo de seu propriet proprietário ário pauso doméstico residencial ou uso profissional ra realização da coleta, algo que pode ocorrer quando em ambiente de trabalho que tem como caracidentificado que uma das evidências se encontra disterística o uso por apenas um usuário, neste ca ponível em ambiente de trabalho e não autorizado autorizadoss so uso exclusivo da vítima; e 39 pelo propriet proprietário ário do disposit dispositivo ivo ; ou mesmo imposComputadores pessoais de uso compartilhado : sibilitados de se realizar a coleta em função do custo Caracterizam-se por meio de computadores de que pode ser proibitivo 40, relac relaciona ionado do ao desl desloca oca-uso com compar partilh tilhado ado.. Em amb ambien iente te res reside idenci ncial al mento41 do perito ao local que se encontra a evidêneste dispositivo pode ser compartilhado entre ci ciaa a se serr co cole leta tada da,, ou me mesm smoo a in inex exis istê tênc ncia ia de seus familiares, em ambiente corporativo, com- meios42 para fazer a extração das evidências como partilhado entre outros colegas de trabalho. pode ocorrer o correr em sistemas si stemas que o perito não possui po ssui tec43 Ainda podem surgir demais outros equipamen- nologia para a remoção das evidências em processo tos compartilhados como aqueles disponibiliza- de coleta. doss em am do ambi bien ente te co comu muni nitá tário rios, s, se seja jam m el eles es Na prática, diversas atividad atividades es investig investigativas ativas relaambientes acadêmicos, hotéis, cybercafés e de- cionadas à fraude e alguns outros ilícitos não requemais esta estabelec beleciment imentos os37 qu quee de dest stin inam am se seus us rem que o perito realize esta tarefa, pois a evidência equipamentos para uso comum. muitas vezes apresentada pelo perito já se encontra disponível para análise, não havendo a necessidade Ainda pode se entender como computadores, dis- de sua participação nesta etapa do processo. Entre positivos que tenham t enham a capacidade de navegação naveg ação à in- tanto, é importante que o perito conheça a metodoloterne ter nett e rea realiz lizaçã açãoo de tra transa nsaçõe ções, s, se cla classi ssific fican ando do gia, pois este pode avaliar se outro profissional que Estes cenários segundo experiência do autor permitiu identificar esta dicotomia, apresentada. Nada impede que variações possam ser propostas a esta classificação apresentada. Esta divisão no ponto de vista do autor facilita a adoção de medidas investigativas, pois premissas distintas são adotadas na investigação dos dois tipos de cenários apresentados. 37 Devemos considerar locais como escolas, universidades, tele centros (centros informatizados disponibilizados pelo governo aos cidadãos) e computadores que mesmo destinados ao ambiente de trabalho ou mesmo destinados ao uso residencial particular contém com uma única credencial de acesso, ou diversas credenciais de acesso, mas com direitos administrativos sobre o sistema operacional. Neste caso, mesmo que o acesso seja realizado por diversos usuários distintos, um programa de computador com finalidade maliciosa, como por exemplo, a captura de dados de uma vítima, pode se tornar ativo para todos os usuários do computador, mesmo que somente um dos usuários tenha sido responsável por sua instalação acidental. 38 Entende-se como um dispositivo que apresenta as funcionalidades de um telefone celular com a integração de demais aplicativos ao sistema operacional que podem estar relacionados à comunicação de dados, aplicativos de produtividade ao usuário, entretenimento, entre outros. 39 Esta negação em relação à autorização pode ocorrer quando o equipamento a ser periciado tiver como justificativa, o uso essencial que pode colocar em prejuízo negócios ou prejuízo a pessoas, incluindo clientes, fornecedores ou funcionários. 40 Consideram-se como custo proibitivo, situações que a coleta de evidência requer, por exemplo, a aquisição de sistemas especializados para a replicação do mesmo ambiente que está sendo coletado. Oferece-se como exemplo, sistemas especializados de armazenamentos de mídias como fitotecas e demais equipamentos que não fazem parte da tecnologia utilizada comumente pelos profissionais de todas as áreas como Mainframe (sistemas de grande porte especializado no processamento de informações que possuem arquitetura operacional, além de hardware e software específicos para este processamento). 41 No caso de custos relacionados ao deslocamento, estas limitações estão mais relacionadas a perícias que demandam existência de transporte regular ou adequado à localidade que requer a realização de perícia. 42 Inexistência de meios pode ocorrer como a falta de infraestrutura adequada de energia elétrica, assim como dispositivos necessários para fazer coleta que não fazem parte do conjunto de ferramentas disponibilizado pelo perito. 43 O perito pode não possuir tecnologia, como foi o caso mencionado de sistemas de armazenamento de fitas na nota de rodapé 40. Entretanto, o perito pode ser desprovido ainda de conhecimento teórico e prático de como se realizar a perícia em sistemas que ele não tenha familiaridade. 36

|54



esteve presente na cena do crime seguiu todas as recomendações adotadas na metodologia, pois identificar falhas nos processos de coleta pode significar a im pugnação de uma evidência, podendo em alguns casos, ser considerada nula qualquer conclusão obtida no processo de análise forense. Considera-se que uma vez que seja viável a coleta de evidências, que esta se realize aos dispositivos reconhecidos pela vítima e demais membros presentes no processo investigativo na cena do crime e acessíveis ao processo de coleta, de tal forma que isto se baseie em dois pontos 44 principa principais: is:

çam as credenciais de acesso.

C o n t i n u a n a p r ó x i m a ed i ç ão . . .

Coleta de evidências voláteis: Visa coletar características da evidência, quando este se encontra operacional. Dentre estas características se incluem a coleta de dados da memória RAM45, coleta de processos 46, áreas temporárias47 e comunicações estabelecidas entre a máquina da vítima e o ambiente de rede 48: e; Coleta de evidências não voláteis: Visa coletar os dispositivos de armazenamento da evidência, onde se incluí disco rígido e mídias disponibilizadas 49 pela vítima. As evidências em processo de análise de fraude, muitas vezes não se encontram disponíveis na forma de evidências voláteis, já que diversos equipamentos e dispositivos coletados, podem se encontrar desligados50 ou com acesso restrito 51 a usuários que conheEstes pontos são considerados essenciais, pois diversas evidências somente são obtidas por evidências voláteis, apesar de se perceber na prática que o perito, em geral, irá obter somente para análise uma evidência coletada por outro profissional não tendo mais a possi bilidade do resgate da evidência volátil. 45 Random Access Memory. Memory. Forma de armazenamento volátil de dados composto por circuitos integrados. 46 Processos são considerados programas em execução sobre o sistema operacional. Por meio da coleta de processos, é possível identificar características como local de execução do programa de computador e demais informações que sejam úteis na identificação de programas de computador destinados a obter dados e informações de computadores de vítimas. 47 Consideram-se como áreas temporárias aquelas que fazem o armazenamento em arquivo ou partição de conteúdos voláteis acessados pela memória do computador. Neste caso faz parte desta descrição, áreas de paginação, conhecidos também como áreas de swap. 48 A tabela de comunicação permite identificar entre outras coisas os processos em execução, atrelados a portas de comunicação abertas e respectivos endereços IP externos ao computador utilizados para a troca de dados. Diversos programas destinados ao furto de informações estabelecem canais de comunicação permitindo que dados da vítima sejam enviados por meio deste método. 49 Estas mídias podem ser óticas, magnéticas ou disponibilizadas em outros meios como papel. 50 É fato que a maior parte das evidências analisadas por peritos são coletadas por outros profissionais, se encontrando disponível apenas o equipamento ou somente a mídia para os processos de preservação e análise da evidência. 51 O acesso restrito pode ser dado ao se descobrir uma evidência como um computador ainda ligado com usuário autenticado no sistema operacional, mas com a tela bloqueada ao acesso. Apesar de esta ser uma dificuldade, é possível se utilizar de técnicas que fazem a captura direta da memória RAM por resfriamento. Exemplo desta técnica pode ser consultado por meio de um trabalho acadêmico intitulado “Cold Boot Attacks on Encryption Keys”, disponibilizado pela pela Universidade de Princeton por meio do link: http://citp.princeton.edu/memory/ . 44

|55


PARCEIRO HostDi HostDime me

»

N

Desafios da Gestão de Segura nça em Servidores

Compartilhados (Parte II)

a primeira parte deste artigo nós falamos um pouco sobre ataques que ocorrem diariamentena websites sit es que uti utiliz lizam am CMS CMSss con conven vencio cionai nais, s, tai taiss como Xoops, WordPress, Joomla, WHMCS e tantos outros. Isto ocorre geralmente pelo fato do sistema estar em uma versão desatualizada e, portanto, vulnerável - sim, quanto maior o número de usuários de um sistema, maior a possibilidade de se descobrirem novos bugs e por isto, as constantes atualizações periódicas - ou por estes sistemas estarem utilizando plugins comprometidos, obtidos em fontes não seguras ou simplesmente vulneráveis, como foi o caso de aplicativos que usam o script TimThumb desatualizado mostrado anteriormente.

Nesta parte, vamos falar do lado não tão glamuroso da força: os CMS pessoais. Mas o que são estes sistemas? Nós geralmente chamamos de CMS pessoais, todo e qualquer sistema que não possui uma comunidade tão abrangente quanto a de CMS convencionais, são os famosos sistemas "por demanda", tão comumente utilizados por algumas empresas que planejam disponibilizar seus serviços na grande rede sem recorrer a um sistema de terceiros. Legal, tá tudo muito bom, tá tudo muito bonito, mas onde estão os problemas? O grande problema neste tipo de sistema é justamente a falta de uma comunidade abrangente. Quer um motivo? A demanda destes sistemas geralmente é focada na rapidez da entrega, quanto mais rápido um serviço for ao ar, melhor, mas e a segurança, onde fica? Quando um sistema tem seu desenvolvimento focado ca do ap apen enas as na ra rapi pide dezz da en entr treg egaa ao cl clie ient nte, e, geralmente são esquecidas algumas etapas importantes no quesito segurança. O sistema "beta" não é testat estado em condições abusivas e na maioria dos casos, sobem com bugs que são facilmente explorados por exploits convencionais e consequentemente, causando transtorno a empresa que optou por utilizar um sistema ainda prematuro. Diariamente nós encontramos uma grande quantidade de graves falhas de segurança, algumas delas, inclusive básicas, tais como scripts de gerenciamento de sistema/upload de arquivos sem autenticação, utilização de funções antigas e com falhas de segurança conhecidas na programação dos scripts, senhas fáceis, senhas sendo armazenadas de forma insegura em bancos de dados (quando estes são usados) ou em arquivos de texto plano acessíveis para a web. Recomendamos a todos que utilizam este ramo de

|56

sistemas a testarem os mesmos exaustivamente a fim de verificar se todos os quesitos de segurança são devidamente correspondidos e que nenhuma etapa durante o desenvolvimento seja deixada para o lado. Lembrem-se, é melhor um serviço demorar um pouco mais a ser ativado e quando entrar em produção ser um sistema seguro, do que um sistema ir "ao ar" rapidamente e possuir uma série de falhas de segurança que podem comprometer não só as informações de seus clientes, como também pode denegrir a imagem de sua empresa diante do seu público alvo.

Escrito por Renê Barbosa Analista de Segurança na HostDime Brasil. Março 2012 • segurancadigital.info

PARCEIRO Kryptus

»

A Kryptus lança no mercado o

O

equipamento CompactHSM

CompactHSM é um Módulo de Segurança em Hardware (do inglês, “Hardware Security Module”) de alto desempenho com interface USB, que oferece uma solução de baixo custo para aplicações de certificação digital e criptografia em geral usualmente baseadas em to toke kens ns ou sma mart rtca carrds ds,, res esssal alta tanndo a to tota tall compatibilidade em ambientes virtualizados.

Os processos de certificação digital, tais como a gestão eletrônica de documentos e a emissão de notas fiscais eletrônicas, criaram uma demanda por dispositivos criptográficos de alto desempenh desempenho, o, alta segurança e baix ixoo custo. Contudo, os dispositiv ivoos criptográficos disponíveis no mercado foram projetados para suprir necessidades específicas de outros ti pos de soluções, por exemplo, tokens e smartcard smartcardss reso re solv lvem em pr prob oble lema mass de id iden entif tific icaç ação ão,, en enqu quan anto to HSMs comuns resolvem problemas de PKI e placas aceleradoras criptográficas resolvem problemas de conexões SSL. O CompactHSM foi criado para suprir a necessidade específica de soluções de certificação digital que necessitam de alto desempenho e segurança, mas que não necessitam de funcionalidades avançadas de gerência de chaves.

Permite o uso em notebooks; Permite distribuição de carga e replicação; APIs padrão de mercado PKCS11, CSP, JCA; Proteção física avançada; Permite uso em servidores virtualizados; Compatível FIPS PUB 140-2, ICP-Brasil e PCI; Desenv Des envolv olvime imento nto 100 100% % nac nacion ional al e arq arquit uitetu etura ra 100% auditável; Permite customização sob demanda; Gerador de números aleatórios (TRNG) e Relógio de Tempo Real (RTC) em hardware; Custoo altam Cust altamente ente comp competitiv etitivoo (con (consulta sultas: s: cont [email protected]).

Sobre a Kryptus (http://www.kryptus.com/)

Principais Caracterí sticas

O CompactHSM também é extremamente escalável, permitindo a integração de mais de um equipamento men to à sol soluçã ução, o, e ga garan rantin tindo do a con contin tinuid uidad adee do negócio através de mecanismos de backup por espelhamento e hot swap. O CompactHSM pode ser usado, em integração a sistemas, para: Proporcionar alto desempenho para assinatura e cifraçã fra çãoo em qu quais aisque querr ap aplic licaç ações ões qu quee uti utiliz lizem em APIs PKCS#11, CSP ou JCA; Gerar e armazenar chaves de certificados ICP-Brasil A1 ou A3;Pro A3;Propo porci rciona onarr fác fácil il es esque quema ma de ba bacckup/recuperação kup/recupera ção e balanceame balanceamento nto de carga; Cifração de comunicações / links seguros. Principais Benefí cios

Empresa 100% brasileira, fundada em 2003 na cidade de Campinas/SP, a Kryptus já desenvolveu uma gama de soluções de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desdee semi desd semicond condutore utoress até aplic aplicaçõe açõess cript criptográf ográficas icas de alto desempenho, se estabelecendo como a líder brasileira brasilei ra em pesquisa, desenvolvime desenvolvimento nto e fabricação de hardware seguro para aplicações críticas. Os clientes Kryptus procuram soluções para pro blemas onde um alto nível de segurança e o domínio tecnológico são fatores fundamentais. No âmbito governamen vern amental, tal, solu soluções ções Krypt Kryptus us prote protegem gem sist sistemas emas,, dados e comunicações tão críticas como a Infraestruturaa de Cha tur Chaves ves Púb Públic licas as Bra Brasil sileir eiraa (IC (ICP-B P-Bras rasil), il), a Urna Eletrônica Brasileira e Comunicações Governamentais.

Alto desempenho (até 200 assinaturas RSA por segundo); Conectividadee USB v2.0; Conectividad Armazenamento Armazename nto seguro de chaves criptográficas; Permite instalação interna em servidores ou com putadores desktop;

|57


COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS Esta seção foi criada para que possamos compartilhar com você leitor leitor,, o que andam falando da gente por aí... Contribua para com este projeto: ([email protected]). Ví t or (no Site)

Marcos T. Silva (por E mail)

Parabéns pela revista, eu que estou terminando a graduação e pretendo seguir na área de segurança da informação, estou gostando demais, pois os artigos são sempre muito bons e bem feitos!

Boa noite! Procurando por sites de segurança encontrei o segurança digital, então resolvi ler a primeira edição da revista. Acabei lendo as 4 edições. Quero parabenizá-los pelo projeto e que continuem publicando vossas experiências e assim nós leitores teremos bons conteúdos sobre segurança. Em particular a parte forense foi ótima e muito explicativa.

Jo sé S i l va ( no Si t e ) Estava estes dias a conversar com o Fábio (adm), e falei que séria ótimo a inserção de tutoriais em edições futuras e ainda neste email sugerir um tutorial sobre SSH e quando foi ontem recebi um email do Fábio falando que já na 5ª edição séria publicado um artigo conforme meu pedido. Muito obrigado!

Data Security (no Twitter) @_SegDigital - Parabéns! Que venham os 32, 64, 128 mil downloads da Revista Segurança Digital!

Findeis, A. (no Twitter) @_SegDigital: muito bacana a revista. Equipe do Segurança Digital está de parabéns! Ótimas reportagens!

Yuri Diogenes (no Twitter) Começando a escrever o artigo sobre #Segurança em Cloud Computing p/ a 5a. Edição da Revista @_SegDigital, obrigado @_SDinfo pelo convite !

H e n r i q u e Mo t t a ( p o r E m a i l ) Primeiramente gostaria de parabenizá-los pelas edições anteriores e em especial a 3ª edição da revista "Segurança Digital". Como um profundo conhecedor na área da computação e interessado pela área da segurança estou procurando me aperfeiçoar na "arte" da segurança da informação realizando cursos e lendo materiais de fontes confiáveis (como vocês).

P a u l o ( p o r E ma i l ) Equipe Segurança Digital, parabéns pelo trabalho de vocês. Sou um apaixonado por tecnologia, em especial pela área de segurança. Passei a conhecer esta revista por um amigo que me indicou e recomendou muito bem sua leitura, sucesso para vocês e mais uma vez parabéns pela iniciativa.

Diego Ferreira Job (no Twitter) Agora seguindo a Revista @_SegDigital - Recomen Recomen-to galera!!!

|58


Segurança Digital 5ª Ediçã Edição o - Ma Março rço de de 2012 2012

www.segurancadigital.info @_SegDigital

segurancadigital

VOCÊ PODE:

Copiar,, distribuir, criar obras d erivadas e exibir a obra. Copiar

a ç n e c i L

COM AS SEGUINTES SEGUINTES CONDIÇÕES: CONDIÇÕES:

Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto.


Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem autorização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impressa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercialização da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 - Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represente. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra qu ebra de direitos d ireitos autorais, por qualquer q ualquer colabora colaborador. dor.

|02

Maio 2012 • segurancadigital.info

l a i r o t i d E

As guerras sempre fizeram parte da história da humanidade. Teria sido a primeira o homicídio de Caim, que matou seu próprio irmã ir mãoo Abe bell po porr ci ciúúme mes? s? Os sé sécu culo loss pas asssar aram am e o ho home mem m contin con tinuo uouu (e con contin tinua) ua) a gu guerr errear ear pel pelas as mai maiss var variad iadas as raz razões ões (relig (re ligios iosas, as, étn étnica icas, s, ide ideoló ológic gicas, as, eco econô nômic micas, as, ter territ ritor oriai iais, s, de vingança, ou de posse). A necessidade de defender-se dos inimigos, fez com que as técnicas de defesa fossem criadas e aprimoradas. Uma das mais antigas e utilizadas é a construção de um muro que serviria como barreira barr eira físi física ca para afas afastar tar inva invasore sores, s, dema demarcar rcar ter territ ritórios órios e evit evitar ar as derrotas. Vários Vár ios mur muros os caí caíram ram,, un unss vir virarã arãoo atr atraçã açãoo tur turísti ística ca e out outros ros permanec perm anecem em de pé. Nos fim dos anos 80, foi cri criado ado o conc conceit eitoo de firewall (muro de fogo) devido a necessidade de criar restrições de acesso entre redes. Naquela época, o perigo era externo, o medo principa prin cipall era que um víru víruss derr derrubas ubasse se toda a rede rede,, como ali aliás ás aconteceu por diversas vezes. O perímetro era a referência de defesa. A internet cresceu e hoje o cenário é bem diferente. Hoje, as ameaças virtuais estão em qualquer lugar, o antigo perímetro já não existe mais. Foi necessária uma evolução nos firewalls e você também precisa acompanhar essa mudança. Seus usuários querem usar o Skype, Google Docs, Facebook e muitos outros serviços que agregam valor ao trabalho deles. A estratégia de negar tudo já não funciona mais. Nestee mês como mat Nest matéria éria de capa abor abordamo damoss os Fire Firewall wallss de Nova Gera Geração. ção. Ele Eless muda mudam m o abord abordagem agem do “tud “tudoo ou nada nada”. ”. Hoje o le lema ma é li libber erda dadde co com m co conntr troole le.. Se Serrá qu quee fi finnal alme mennte os profissi profi ssionai onaiss de Segu Seguranç rançaa da Infor Informaçã maçãoo pass passarão arão a ser vist vistos os com outros olhos e não mais serão chamados de “Doutor Não”. A Revista Segurança Digital te convida a conhecer essa nova tecn te cnol olog ogia ia cu cuja ja ad adoç oção ão cr cres esce ce a ca cada da di dia. a. E es esse se mê mêss te temo moss algu al guma mass no novi vida dade des. s. Nã Nãoo ai aind ndaa pe perc rcaa o su supe perr de desc scon onto to qu quee a editora Brasport está oferecendo aos leitores.Há ainda sorteios de livros e convite para o OWASP Floripa Day. Envie seu comentário, sugestão, reclamação, e até mesmo o seu artigo, caso tenha interesse em colaborar conosco. Proteção! Prevenção! Detecção! Detenção! Boa Leitura!

DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira [email protected] EDITORES-CHEFE Johnantan Pereira johnantan.pereira@ johnantan [email protected] gmail.com Luiz Felipe Ferreira [email protected]

EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Augusto Pannebecker Fernandes [email protected] Bruno Salgado, Henrique Soares, Jarcy Azevedo e Rafael Ferreira [email protected] Jaime Porto Pinto Júnior jaimeport [email protected] jaimeportop@gmail .com Laerte Costa Leonardo Pereira Guimaraes [email protected] Lígia Barroso [email protected] Nágila Magalhães [email protected] Paulo Moraes [email protected] prg.moraes@ gmail.com Roberto Henrique [email protected] Ronielton Rezende Oliveira [email protected] Thiago Fernandes Gaspar Caixeta [email protected]

REVISÃO Andressa Findeis [email protected] Mauro Júnior [email protected] Raiana Pereira [email protected]

Por Luiz Felipe Ferreira

|03

http://twitter.com/_SegDigital www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info Maio 2012 • segurancadigital.info

e c i d n Í

Artigo

Dica / Tutorial

Análise de Risco

05

Apple e Flashback - Fatores e constatações para todos os SO's

08

Liberação De Registro De Nomes De Domínio Top Level - Retrocesso Ou Evolução?

11

A tendência de cloud computing computing nas organizações organizações

13

Firewall de Nova Geração - Proteção! Prevenção! Detecção! Detenção!

15

OWASP OW ASP Floripa Flo ripa

17

OWASP OW ASP Sorteio Sor teio

18

Hacktivismo - Anonymous vilões ou mocinhos?

19

Criptografia simétrica e assimétrica (parte 2 final)

21

Lan House Corporativa

25

IDS/IPS onde utilizar?

28

Mapeamento de redes com nmap

30

PSI – Politica de Segurança da Informação

36

Perícia digital em ambientes de cloud computing

41

|04

Auditoria - Como Windows Server pode te ajudar

45

Parceiros Able Security

52

4Linux

53 54

Brasport

55

HostDime

56

Kryptus

12 - Age Agenda nda TI

Confira o calendário dos profissionais de TI

56 - Coluna do leitor

Emails, sugestões e comentários. Envie o seu e, contribua para com o nosso projeto

50 - Notícias

Fique informado quanto ao que acontece no mundo virtual.


o c s i R e d e s i l á n A

O

ABNT. s riscos estão em toda a parte e geram os mais Brasileira de Normas Técnicas – ABNT. A NBR ISO/IEC 27002:2005 foi desenvolvida a diversos impactos e danos aos ativos da empresa, porém, a grande questão, é a forma como as em- partir da norma BS 7799-1:1999 e consiste em códi presas identif identificam, icam, avaliam avaliam,, controla controlam m e mitigam os ris- gos de prática para a gestão de segurança da inforcos. Não existe qualquer dúvida que aqueles que gerem mação, tendo como objetivo “estabelecer diretrizes e princípios os gerais para iniciar, implement implementar, ar, manter e melhor os seus riscos, são beneficiados de uma grande princípi vantagem competitiva perante o mercado, podendo inclu- melhorar a gestão de segurança da informação em organ ganiza izaçã ção”. o”. A nor norma ma for fornec necee um con conjun junto to sivamente usufruir de melhores relações com os investi- uma or dor ores es e ac acio ioni nissta tass, al além ém de at aten ende derr às rig igooro rosa sass completo de controles de segurança divididos em 11 legislações e requisitos do mercado internacional. Essas capítulos, nos quais estão descritos 39 objetivos de empresas estão melhor posicionadas e preparadas para as- controle e 133 controles de gestão de SI. De acordo com a ISO 27002:2005 o gerenciamensumir riscos de forma calculada, baseados no conhecimento que têm das ameaças e oportunidades. A partir da to de risco é o processo que trata de ameaças, riscos e medida idass de seg segura urança nça.. O ger gerenc enciam iament entoo de risco riscoss gestão de risco as empresas desfrutam de relações facilita- med das com os subscritores dos seus riscos, controlando os conta com várias ferramentas de suporte e sua prinriscos e reduzindo os custos podem ver os seus prêmios de cipal é a análise de risco, de forma a levantar e validar todos os riscos e quais os impactos na SI da seguro e custos de recuperação de incidentes reduzidos. Antes de definirmos o que é a análise de risco e seu objetivo é importante conhecer um pouco sobre a norma ISO 27002. A norma 27002 foi desenvolvida pela ISO (Inter (Internal nal Organizati Organization on Standardi Standardization), zation), a maior organização para desenvolvimento e publicação de normas do mundo. A ISO é responsável por realizar o alinhamento e padronização das normas e boas práticas dos órgãos de normati normatização zação de diversos países, fazem parte da ISO mais de 160 países, incluindo o Brasil que é representado pela Associação

|05

empresa. O propósito da análise de risco é identificar quais ameaças são relevantes aos processos do negócio e quais os riscos associados a essas ameaças, de forma a garantir um nível de segurança apropriado, com controles de risco adequados e com uma boa relação custo-benefício custo-benefício.. O b j e t i v o s d a a n á l i s e d e r i sc o :

- Identificar ativos e seus valores; - Determinar vulnerabilidades e ameaças; Maio 2012 • segurancadigital.info


- Determinar o equilíbrio entre custos de um incidente e custos das medidas de segurança; - Determinar os riscos e as ameaças que podem realmente causar dano aos processos operacionais. operacionais. Existem dois métodos de análise de risco: análise quantitativa e qualitativa. A Análise de risco quantitativa é baseada no im pacto do risco com relação à perda financeir financeiraa e a pro babilidadee de que uma determin babilidad determinada ada ameaça se torne um incidente. São levantados e categorizados os valores de todos os elementos que fazem parte do process ce ssoo op oper erac acio iona nal, l, es esse sess va valo lore ress po pode dem m se serr co com m relação ao valor do ativo ou despesa que o incidente possa acarretar. ac arretar. A Análise de risco qualitativa é baseada em cenários e probabilidades de ocorrência de que incidentes ocorram. É feito uma análise com relação à maturidade do processo e sentimentos dos envolvidos e, a partir das informações, é realizada uma análise com o intuito de levantar as ameaças e medidas de segurança para mitigar o risco. O ideal é realizar na empresa uma análise mista de forma a garantir que, em caso de incidente, seja possível identificar o prejuízo financeiro e as medidas de repressão e redução do dano. M a tr i z d e R i s c o

Após o levantamento e análise dos riscos dos processos o segundo passo a ser realizado é a matriz de risco dos ativos da empresa. De acordo com a norma 27002 uma Matriz de Risco é uma matriz criada durante o processo de análise de risco e utilizada para definir os diversos níveis de risco a partir das categorias de probabilidade de danos e categorias de severidade dos danos. A matriz de risco possibilita uma maior visibilidade dos riscos de forma a auxiliar a tomada de decisão e gestão dos ativos e processos. A elaboração da matriz de risco trata dos seguintes temas: Impacto: O valor do ativo é avaliado com base nos critérios de segurança da informação (Integridade, Disponibilidade e Confidencialidade), nessa avaliação é estimado o impacto do ativo para o processo no caso cas o de falha de segurança. segu rança. Vulnerabilidade : Este item trata de características que podem acarretar em uma falha de segurança da informação para o processo no qual o ativo está relacionado, normalmente um ponto passível de falha física, técnica ou organizacional do pro-

|06

cesso. Ameaça: A partir do levantamento da vulnera bilidade o passo seguinte é a análise das ameaças intrínsecas à vulnerabilidade, a melhor forma de proteção é conhecer as ameaças existentes e seu potencial. Probabilidade: Saber a probabilidade de uma ameaça explorar uma vulnerabilidade é fundamental para identificar riscos. Esta característica é obtida de forma qualitativa através do conhecimento do ambiente e ocorrências de falhas anteriores. Risco: O risco é a análise qualitativa do valor x probabilidade probabili dade da falha se concretiza concretizar. r. Por ser uma análise qualitativa depende muito do valor do ativo para o processo, um exemplo é um ativo de valor baixo com uma probabili probabilidade dade alta de falha poderia ser considerado com risco baixo ou médio. Para a classificação dos temas acima, geralmente é utilizada uma combinação de cores relativa ao nível analisado. Neste exemplo usaremos a seguinte padronização: Impacto de nível Alto (VERMELHO ( VERMELHO): ): Resulta na perda catastrófica de recursos tangíveis ou principais. Pode significativamente violar ou im pedir a continuidade cont inuidade do negócio. negóc io. Impacto de nível Médio (AMARELO ( AMARELO): ): Resulta na perda significativa de recursos tangíveis, podendo prejudicar a operação de negócio. Impacto de nível Baixo (VERDE ( VERDE): ): Resulta na perda de algum recurso tangível, não afetando ou afetando de forma branda a operação do negócio. Probabilidade de nível Alto (VERMELHO ( VERMELHO): ): Os controles para prevenir o risco não são efetivos ou não existem controles de prevenção do risco. Probabilidade de nível Médio (AMARELO ( AMARELO): ): Os controles para prevenir o risco são efetivos, porém não são monitorad monitorados os ou são monitorad monitorados os es poradicamente. poradicame nte. Probabilidade de nível Baixo (VERDE ( VERDE): ): Os controles para prevenir o risco são efetivos e monitorados constanteme constantemente. nte. De fo form rmaa a ex exem empl plif ific icar ar a el elab abor oraç ação ão de um umaa Matriz de Risco selecionamos dois ativos e os classificamos a partir dos conceitos abordados anteriormente, o resultado é a matriz seguinte: Maio 2012 • segurancadigital.info


Devem ser levantados e classificados todos os ativos considerados relevantes ao negócio, um processo que pode ser demorado e demandar uma grande equipe de apoio, dependendo do tamanho e complexida complexidade de do ambiente tecnológico da empresa.

Font e :

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT ABNT,, 2005 2005..

Jaime Porto Pinto Júnior Graduado em Engenharia da Com putação, atua na área de auditoria dos controles de Tecnologia da Informação formaç ão e consu consultoria ltoria fundamentada ta da na nass me melh lhor ores es pr prát átic icas as do doss frameworks de gestão de TI e segurança ran ça da inf inform ormaçã ação. o. Cer Certif tifica icado do COBI CO BIT T 4. 4.11 Fo Foun unda dati tion on e IS ISO O 27002 Foundation.

Linkedin: http://br.linkedin.com/in/jaimeppinto Email: [email protected] Blog: www.auditi.com.br

|07


s ' S e O s s e o r o s o t a d o F - t a k r c a a b p s h e s a õ l ç F a t e a e t l s p n p A o c

Fazer um sistema 100% seguro é o sonho de qual- mente não foi no sistema, mas sim do aplicativo quer desenvolvedor, imagina então desenvolver, nes- Java, porém ela já tinha sido corrigida em Fevereiro se molde, um Sistema Operacional e por ele ser a desse ano, ou seja, a falha foi explorada dois meses base para que outros sistemas sejam executados a depois da correção, tempo mais do que necessário questão de segurança fica ainda mais crítica, pois para a correção ser publicada e avisada aos seus além de ter que cuidar de suas próprias questões de usuários para se atualizarem, uma ação que a empresegurança, ainda tem que ver a questão de segurança sa não fez, já que a versão que roda nos MACs indos outros e basta uma falha em um desses softwares fectados é de Outubro do ano passado. para toda uma históri históriaa de sistema operacional seguro Então a falha está ligada sim ao sistema, pois se ir por água abaixo. existe uma falha conhecida e nada foi feito para reMas por que estou falando isso? Todo mundo fi- solve-la, você está sendo conivente com ela, logo se cou sabendo do vírus Flashback que segundo especi- algo acontece relacionada a ela, a culpa será sua. alistas infectou mais de 600 mil MACs neste mês de Uma velha máxima da segurança da informação diz Abril.OK, o que isso ainda tem a ver com o assunto? “O seu sistema é tão seguro quanto ao seu elo mais Para responder isso vamos ao fato que a Apple sem- fraco”, ou seja não adianta você ter um cofre com pre vendeu, principal principalmente mente pelos seus usuários, que é “segurança máxima” e a chave ser escondida debaixo um sistema 100% seguro, que não era possível ter do tapete. qualquer ameaça relacionada a segurança. O FlashPorém outro fato também está atrelado ao evento back mostrou a eles que estavam errados e que de- “Flashback” que é: as falhas nos sistemas aparecem senvolver um sistema 100% seguro continua sendo quase que proporcionalmente ao uso do software. E é uma tarefa muito difícil, para não dizer impossível. isso que acontece atualmente com a Apple com o boMas quem defende a ideia de que os sistemas da om dos “I”s (Iphone, Ipad, Itouch ...), muitos usuáriApple são totalmente seguros podem contra-atacar, os começaram a comprar os seus produtos e com mas a falha que o vírus explora não é no sistema e isso, as pessoas mal intencionadas do mundo digital, sim em um aplicativo, então o SO continua sendo secom começa eçaram ram a ver uma opo oportu rtunid nidade ade nes nesse se “no “novo vo guro! Então vamos a mais alguns fatos: a falha real- mundo” que surgiu e começaram a procurar falhas

|08



que pudessem usá-las. Eles procuraram e acharam. Um fato parecido com isso acontece com o Windows, está certo que as brechas que ele possui são BEM maiores que as da Apple e que muitas delas ainda nem possuem correções, porém se formos olhar o número de usuários que os MACs possuem e os de Windows a diferença é gigantesca, então se você escolhesse algo para ter uma chance maior de sucesso o que você escolheria onde sua chance seria maior ou menor? No caso dos vírus, onde tem mais usuários ou menos usuários para atingir? Não estou defendendo, só pedindo para refletir. Outro caso que podemos colocar alinhado a todos os fatos citados acima é o Android. Vamos colocar que ele está na ativa a mais ou menos um ano e meio, e é de ciência de todos que ele hoje está em grande parte dos smartphone smartphoness e seguindo a linha de malwares encontrados por número de usuários, podemos ver que segue uma lógica, pois o número de malwares para Android é absurdo, são mais de 10000 dividindo pela data acima, um ano e meio (cerca de 548 dias) isso dá quase 20 dessas pragas sendo criadas por dia, d ia, é muita mui ta coisa. co isa. No caso do Android pode se usar a defesa de que não é o sistema que possui falhas, pois são aplicativos que são instalados nele que possibilitam os ataques, então pergunto e se o sistema não deixasse essess aplic esse aplicativo ativoss sere serem m insta instalado lados? s? Isso ocorr ocorreria? eria? Com isso a falha chega a ser do sistema sim, por ter que pelo menos emitir um alerta que outro programa programa está sendo instalado, técnicas para isso existem, mas tem que serem bem executadas, porém se ele possuir e não exibir a falha é mais grave ainda, pois quem vai usar o sistema será um usuário que não quer sa ber de segurança, quer somente usar o seu celular, porém esse assunto usuário x segurança é complicado e foge do contexto desse artigo. Então o que o “Flashback” nos mostrou o que já sabíamos, não existe um sistema 100% seguro, mas sim si m um si sist stem emaa nã nãoo ex expl plor orad adoo e te temo moss qu quee fi fica car r atentos a isso, pois a segurança começa com nós. P S:

Vou colocar um PS aqui na questão do Linux, pois assim como os usuários Apple, umas das ideias vendidas pelos usuários, eu me incluo nessa, é que o sistema é seguro, se formos olharmos a questão de usuários é de questão notória que o Windows possui

|09

mais usuários, então o caso é o seguinte, será que se o Linux se popularizar o evento “Flashback” também não irá ocorrer? A comunidade Linux na questão de corrigir erros é bastante eficiente, mas será que nesse caso ela conseguirá dar uma resposta melhor que a da Apple? Não sei somente o tempo dirá e quando o Linux se popularizar.

Ambos os sistemas acima já tiveram momentos negros onde foram comprometidos.

Laerte Costa Formado em Sistemas de Informação e certificado MCSA 2003, tra balho com administração de redes, tanto windows quanto linux, a mais de 5 anos e escrevo artigos para o site www.cooperati.com.br. Sou um buscador incessante de informação pois acredito que ela que faz f az a diferença entre um ser bem ou mal sucedido.. Twitter: @laerte_hc Twitter: Site: www.cooperati.com.br


o i n í m o D e ? o D ã s ç e u l m o o v E N e u D O o o r s t s s e i c g e o r R e t e R D o l ã v ç e e a L r e b p o i L T

a d e d d i i l l r e a a d c a c i i t á e m l e l b b o r A p

Desde que o Bra Desde Brasil sil ing ingres ressou sou no pro proces cesso so de democratização do acesso à rede mundial de com putador puta dores, es, ini iniciad ciado o em mead meados os da déca década da de 90, a problemá prob lemática tica rela relativa tiva aos conf conflit litos os entr entre e nome nomess de domínio só tem crescido. O re regi gist stro ro de no nome mess de do domí míni nios os no Br Bras asil il é disciplinado pela Resolução nº 001/98 do Comitê Gestor da Internet (CGI), a qual adotou a regra do “first to file”, ou seja, o direito ao nome de domí nio será conferido a aquele que primeiro o reque rer 1. A resolução, porém, estabelece algumas restri ções (art. 2º, III, b do Anexo I) quanto ao registro de domínios, que em tese, é livre no Brasil, dentre essas restrições, elencamos as seguintes:

a) Palavras de baixo calão b) Palavras reservadas pelo Comitê Gestor c) Marcas de alto renome ou notoriamente conhecidas, quando não requeridas pelo próprio titular Diante desse cenário, surgem, no Brasil, diver sos conflitos relacionados ao registro de nomes de domíni dom ínio, o, ref refere erente ntess a mar marca cass reg regist istrad radas, as, nom nomes es

r a i r e e l i s b r a

e n t e e c e ear

n a. a a t t i s u l u o ã ç a i e r l i b

empresariais, empresaria is, indic indicaçõe açõess geog geográfic ráficas, as, dentr dentre e ou tros. Como no Brasil o registro de marcas efetuado no Ins Instit tituto uto Nac Nacion ional al da Pro Propri prieda edade de Ind Indust ustria riall (INPI) leva em consideração o princípio da espe cialid cia lidade ade das mar marcas cas,, uma mar marca ca,, por portan tanto, to, só é protegid prot egida a dent dentro ro do ramo de ati ativida vidades des reiv reivind indii cado,, compo cado comportand rtando o algu algumas mas exce exceções ções,, tais como as marcas de alto renome ou notoriamente conhe cidas. Ao contrário do princípio aplicado ao registro de marcas, o registro de domínios não tem a pos sibilidade de possuir vários domínios homônimos regist reg istrad rados os sob cla class ssifi ificaç cações ões dif difere erente ntes. s. Nes Nesse se caso, portanto, o princípio aplicado é o “first to file”. No enta entanto, nto, rela relativa tivament mente e às marc marcas, as, exis existe te a possibil poss ibilidad idade e de have haverr duas marc marcas as homô homônim nimas, as, registradas sob classificações diferentes (ex.: Veja revista e Veja produtos de limpeza) e somente uma dela de lass po pode derá rá se serr ti titu tula larr do do domí míni nio o “w “www ww.v .ve e ja.com. ja. com.br”. br”. Será titu titular lar do domí domínio nio quem prim primeiro eiro registrá-lo. Diante dos inúmeros conflitos gerados a partir desta situação, uma vez que a prova da titularidade

1 Art. 1º Resolução nº 001/98 do Comitê Gestor Gestor da Internet.

|10


ARTIGO Segurança Digital da marca só é requisito para registro de domínios de marcas de alto renome ou notoriamente conhe cidas, a exemplo das marcas “Coca-Cola, Mc Do nald’s, Pepsi, etc”. Há doutrinadores no Brasil que defendem a exi gência de titularidade das marcas para registro de domínios, muitas vezes argumentando que em al guns países da Europa tal prática era adotada. Ocorre que, na Europa, tendência inversa vem se mostrando nos últimos anos, culminando com a liberalização do registro de domínios “Top Level” sem que haja a exigência da comprovação da titu laridade da marca. Isso ocorreu em Portugal, com a liberação do registro de domínios a partir de 1º de maio de 2012. Essa Ess a mud mudanç ança a nas reg regras ras lus lusita itanas nas dev deve-s e-se e ao fato de que vários países membros da União Euro péia (UE) já não poss possuem uem tais exig exigênci ências as para o registro de domínios “Top Level”. Além disso, ar gumenta-se que a liberação fomenta o desenvolvi ment me nto o da in inte tern rnet et na naci cion onal al,, al além ém de ma mant nter er no país os recu recursos rsos prov provenie enientes ntes de tais regi registro stros. s. 2 A informação é de que com essa nova abertura, o nú mero de registros de domínios “.pt” dobrou. Diante de tal cenário, considerando que este é o modelo que desde o início do processo de demo cratiz cra tizaçã ação o do ace acesso sso à int intern ernet, et, foi ado adotad tado, o, no Brasil, e que possui os problemas que possui, co mo os pr prev evia iame ment nte e ap apon onta tado doss al além ém,, ai aind nda, a, da questão dos registros de domínios com fins de es peculaçã pecu lação. o. Segu Se guin indo do um uma a te tend ndên ênci cia a mu mund ndia ial, l, Po Port rtug ugal al aboliu as exigências de titularidade de marca para registros de domínios “Top Level” nacionais, de monstrando as vantagens advindas de tal processo. No Bras Brasil, il, as ques questões tões rel relativ ativas as a conf conflit litos os de nomes de domínio tem sido resolvidas no judiciá rio. A saída mais ade adequa quada da par para a os pro proble blemas mas ad vindos vin dos da pos possib sibili ilidad dade e de reg regist istro ro liv livre re est está á no invest inv estime imento nto em uma est estrut rutura ura de res resolu olução ção de conf co nfli lito toss em ma maté téri ria a de no nome mess de do domí míni nio o qu que e ofereça a celeridade necessária à resolução de tais questões, atendendo aos interesses de todos no rit mo exigido pela Sociedade da Informação.

Alguns exemplos são a arbitragem já realizada no âmbito da Organização Mundial da Propriedade Intelectual3, e ta tamb mbém ém no Ce Cent ntro ro de Arbi Arbitr trag agem em para a Prop Propried riedade ade Indu Industri strial, al, Nome Nomess de Domí Domínio, nio, Firm Fi rmas as e De Deno nomi mina naçõ ções es – AR ARBI BITR TRAR ARE, E, em Portugal.4

Figura 1 - "Registrou primeiro, é seu".

/ / / / : p t t h Lígia Barroso

Advogada, atuante em Direito Eletrônico e Propriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Universidade de Lisboa (FDUL), Especialista em Direito Eletrônico e Tecnologia da Informaçã form açãoo pel peloo Cen Centro tro Uni Univer versit sitári árioo da Grande Dourados (UNIGRAN). Email: [email protected] Twitter: @ligiaabarroso

2 http://clix.exameinformatica.pt/noticias/internet/2012/02/14/registo-de-enderecos-em-.pt-totalmente-liberalizado-a-1-maio 3 http://www.wipo.int/amc/en/domains/ 4 https://www.arbitrare.pt/index.php

|111 |1


Eduardo Fedorowicz (Agenda TI) - MBA Gerenciamento de Projetos pela FGV; graduado em Ciência da Computação pela UGF. Mais de 14 anos de experiência em TI, atuando nos últimos 9 anos na área de Segurança de TI. Mantém desde 2011 o site www.agendati.com.br que reúne em um só lugar os principais eventos, congressos e workshops de Segurança da Informação, Inovações Tecnológicas e Tendências de TI. Email: [email protected] @fedorowicz @agendati @agendati Site : http://www.agendati.com.br Twitter: @fedorowicz

|12


m s o e c õ ç d a u i z o l c n a e g d r o a i s c a nê n g d n n e i t t u A p

A

cursos comp cursos computac utacionai ionaiss arma armazena zenados dos em pode poderoso rososs Data Centers que oferecem serviços com alta escala bilidade, acessibili acessibilidade dade e disponibil disponibilidade, idade, interl interligaigados e acessíveis de qualquer ponto da rede mundial de computadores (internet). O gerenciamento facilitado e os baixos custos também são inerentes aos Quando analisamos com detalhes os processos de conceitos de cloud computing. São muitos os recursos que compõem a simpliciTI das empresas percebemos que muitas de suas aplicações não são estratégicas e não demandam tanto dade que cloud computing representa para essa nova por segurança ou disponibi disponibilidade lidade a tal ponto de que visão da reestruturação de TI nas empresas e nossa sejam realizados fortes aportes de capitais para su- viagem começa justamente pelo ambiente onde toda portar tal operação com recursos de alta capacidade e essa organização é desenvolvida e preparada para nos sem de fato utilizarem totalmente o seu potencial. Es- atender: O Data Center. O que falar dos Data Centers modernos, lugares se investimento mal realizado acaba afetando as áreas qu quee re real alme ment ntee sã sãoo cr críti ítica cass e es essê sênc ncia iass pa para ra o fantásticos repletos de alta tecnologia, complexidade, redundância, monitoração, sustentabilidade, backup, negócio da companhia. E as organizações estão sempre sob a pressão por segurança, ufa... são muitos os ingredientes que faredução de custos e paralelamente, a complexidade zem desses lugares um fantástico mundo de tecnolodo ambiente de negócios demanda respostas mais rá- gia pouco conhecido de todos nós, usuários de redes sociais, pidas de TI e soluções cada vez mais complexas. Analisando todo o potencial de cloud computing, po- serviços on-line, emails e tudo mais que acessamos demos fazer com que essas duas vertentes andem no mundo digital de forma simples e prática. A todo o instante em que estamos conectados, es juntas e de forma harmoniosa. E o que é Cloud? Como entender os seus concei- tamos gerando informação ou recebendo informação. tos e utilizá-los de forma produtiva e efetiva no pla- Esse conjunto de dados está armazenado em algum lugar e justamente aí está a responsabilidade dos Danejamento estratégico das companhias companhias?? Entendo cloud como sendo a organização de reta Centers em manter esses dados sempre íntegros, cada dia percebo que a compreensão e o amadurecimento do conceito de cloud computing está mais rápido e potencialmente um transformador das diretrizes de TI dentro das organizações, a tal ponto de alterar os seus processos, as alocações de budget e a forma de trabalho dos profissionais em geral.

|13



disponíveis e acessíveis o tempo todo, para que o cliente não fique sem a sua informação, ou em termos práticos, não fique sem acesso ao seu feed de notícias, ao seu timeline, aos seus emails, aos seus aplicativos, a sua cloud, etc. Toda essa massa de informação está armazenada dentro de equipamentos conhecidos como storages, de diferentes fabricantes e tecnologias, para atender a necessidade do negócio do cliente. São equipamentos que possuem alta redundância e escalabilidade para atender ao crescimento das informações armazenadas. Vamos mais adiante e nos deparamos com a virtualização, essa fantástica capacidade de alocação de recurso recu rso para serv servidore idoress virtu virtuais ais aprov aproveitan eitando do com mais inteligência o poder dos servidores físicos, otimizando o seu uso e seu processamento. Essa tecnologia nos permite provisionarr e criar servidores de acordo com a ne provisiona cessidade real de negócio, maximizando resultados e reduzindo custos drasticamente. E por que não juntar a força dos storages com a maestria da virtualização dentro de poderosos Data Centers e fazer com que tenhamos uma poderosa ferramenta de TI para alavancar o sucesso do seu negócio? Chegamos ao ponto de nossa viagem onde esses três recursos combinados compõem o cerne da com putação em nuvem (cloud computing) agregando escalabilidade, acessibilidade e disponibilidade da sua aplicação. Podemos encontrar um número razoável de soluções de empresas como Amazon, que oferecem soluções de cloud para todos os tipos de gosto e bolso, ou seja, não importa o tamanho da sua TI e de suas ca pacidades financeir financeiras, as, há oportunid oportunidades ades para par a todos. to dos. Além disso, essas empresas oferecem poderosas ferramentas web que possibilitam o gerenciamento remoto de toda sua cloud sem intervenção humana direta nos equipamentos para atender a sua necessidade. Tudo está ao seu alcance através de um ponto de internet e um bom staff de TI para alavancar o seu sucesso. Não menos importan importante te e de fundamental relevância está uma efetiva política de segurança que vai regula gu lame ment ntar ar e di dire reci cion onar ar o us usoo da su suaa cl clou oudd be bem m como co mo um umaa bo boaa mo moni nito tora raçã çãoo do doss se serv rviç iços os e co como mo sempre não poderia ficar de fora, uma robusta política de backup para garantir a recuperação e a continuidade do seu negócio em casos críticos de perda de

|14

dados ou falhas humanas. Normalmente esses recursos também são fornecidos pelas soluções de cloud, mas é importante que fiquemos atentos e adequemos a nossa realidade e necessida necessidade. de. Neste ponto, você deve estar se perguntando: “Tudo muito interessante, mas por onde eu começo?”. Primeiramente é imprescindível que saibamos o custo total de nossa operação de TI e o quanto ela é importante e representativa para seu negócio. Segundo, avaliar os processos que regem o uso da TI e sua adequação a sua operação. E por último, comprometimento da alta diretoria para a importância que TI exerce na empresa e o valor que isso pode representar na redução de custos operacionais e para maximização de lucros. Por fim, cloud não deve ser questionado como viável ou não, mas sim de que forma iremos utilizála dentro de nossa organização para transformar TI em um gerador de receita alinhado com o negócio da companhia e seu planejamento estratégico. O momento é crucial e transformador, pois vai definitivamente qualificar a área de TI como essencial para as organ or ganiza izaçõe çõess e su suaa exi existê stênci nciaa se será rá pre premis missa sa pa para ra qualquer novo negócio.

Leonardo Pereira Guimaraes Graduado em Ciência da Computação e MBA em Ges Gestão tão Emp Empres resari arial al pel pelaa FGV, iniciou a carreira como especi esp eciali alista sta em sis sistem temaa ope operac racion ional al Solari Sol ariss e inf infrae raestr strutu utura ra de red redes. es. Ao long lo ngoo de 13 ano noss de exp xper eriê iênnci ciaa agregou conhecimentos de segurança e operação de Data Center. Atualmente é Gerente de Operações de Data Center de um umaa das ma maio iore ress Au Auto tori rida dade dess Certificadoras Brasileiras. Email: [email protected] Twitter: @leoguimainfo.


Proteção! Pro teção! Prevenção! Prevenção! Detecção! Detenção!

o ã ç a r e G a v o N e d l l a w e r i F

N

um passado não tão distante, os usuários corporativos passivamente acessavam as informações da empresa em seus terminais e estações de tra balho. Com a chegada dos notebooks, foi possível ter uma maior mobilidade, que cresceu exponencialmente com a adoção dos smartphones e tablets pessoais, além de aumentarem a produtividade, trazem a tão sonhada “liberdade”, de ”, li livr vree da dass po polí líti tica cass re rest stri riti tiva vass de se segu gura ranç nçaa da dass empresas.

Trazendo Ordem ao Caos!

tir o ac tir aces esso so nã nãoo in insp spec ecio iona nado do me mesm smoo qu quee pa para ra grupos específicos, como normalmente é realizado hoje em dia, representa uma séria ameaça à segurança das redes corporativas. Surgem então novas exigências para um Firewall: Identi Ide ntific ficar ar apl aplica icaçõe çõess ind indep epend endent enteme emente nte de po porrta/protocolo, tática evasiva ou SSL, identificar usuárioos. Pr ri Proote teçção em te tem mpo re reaal co conntr traa am amea eaçças embuti emb utidas das em ap aplic licaçõ ações es.. Visi isibil bilida idade de gra granul nular ar e controle de acesso de aplicações/funcionalidades. aplicações/funcionalidades. Por fim, utilizar os recursos de controle de aplicação e prevenção de intrusão sem degradação de desempenho da solução.

A tecnologia cresceu, os computadores e os usuários evoluíram e a internet mudou. Essa mudança trouxe vários benefícios: serviços nas nuvens, redes sociais, comunicação entre pessoas, compras online, Um Pouco de História Para entender o que é um Firewall de Nova Geratransações bancárias, dentre outros. Tudo isso não só no co compu mputad tador or pes pessoa soal, l, mas tam também bém no amb ambien iente te ção é necessário entender um pouco das gerações ancorporativo. Algumas dessas aplicações se tornaram teriores. Em seu conceito original é um sistema ou indispensáveis no nosso dia a dia, são elas: Skype, dispositivo projetado para bloquear acessos não auGoogle Docs, Facebook, Youtube, Twitter e muitos torizados. É uma tecnologia antiga, do final da década de 80, o que exp xpli licca su suaas li limi mita taçõ çõees. No Noss outros serviços. tecnologiaa evoluiu e com ela a Mas como controlar tudo isso? Soluções separa- badalados anos 90 a tecnologi das têm visões limitadas do tráfego, ou até mesmo a chegada do conceito de stateful inspection, que vinha utilização de tecnologias antigas/atuais com o con- a se tornar um padrão de mercado. Com o passar do tempo tornou-se item obrigatório, uma commodity ceito “do tudo ou nada” não são mais eficientes. Não há mais como simplesment simplesmentee bloquear o aces- em todas as empresas e acabou virando para leigos so corporativo a todas estas aplicações, porém permi- sinônimo de proteção.

|15



- Fornecer assinatura de reputação baseada em filToda essa evolução não resolveu sua característica tragem para bloquear aplicativos maliciosos; e limitação conceitual: tomar decisões a partir de portas e protocol protocolos. os. Ao mesmo tempo as técnicas de Co nc lus ã o invasão utilizadas por hackers evoluíram gerando ouUma lição que podemos tirar de tantas mudanças tros sistemas de segurança complementares os conhecido ci doss “h “hel elpe pers rs”. ”. O ma mais is im impo port rtan ante te de dele less o IP IPS S é que precisamos realmente pensar a frente do nosso tempo, investir em soluções não só para suprir as ne(intrusion prevention system), é item indispensável cessidades do momento, mas sim investir em soluno ambiente corporativo. ções que venham agregar valor para o ambiente atual Para o Gartner (www.gartner.com), o Firewall de e futuro. Conforme matéria publicada na nossa pri Nova Geração deve incorpor incorporar, ar, além do IPS, as funmeira edição de 2012, não precisamos ser videntes cionalidades de identificação de aplicações, integra pra saber realment realmentee o que vem pela frente. Ameaças ção com usuários e filtros web. mais sofisticadas, acessos mais intensos e com tudo Um Firewall de Nova Geração precisa ter todas as isso precisamos garantir a tão sonhada segurança no características das soluções atuais, incluindo as funambiente corporativo. cionalidades do IPS integradas com as funções do Fi Na próxima atualizaçã atualizaçãoo das soluções de segurança se gurança rewall, de forma que problemas detectados no IPS na sua empresa, procure informações mais detalhadas possam gerar regras automáti automáticas cas ou uma sugestão pasobre essas tecnologias de “Nova Geração”, que não ra criá-las. Identificar o tráfego de cada aplicação insó vão aumentar seu controle como também vão gadep epeend ndeent nteeme mennte da port rtaa/p /pro roto toccolo lo,, uso de rantir a visibilidade e melhorar sua Segurança. criptografia ou de endereço de destino utilizado. Integrar serviços de diretório para permitir a aplicação granular de regras com base nos usuários ou grupos de usuários relacionados ao tráfego inspecionado na borda da rede. r ede. O q u e r e a l m e n t e é u m F i r e wa l l d e N o v a G er aç ã o ?

Se há uma maneira simples de descrever as diferenças entre a geração atual e a nova geração, são os controles mais detalhados. Ao contrário dos tradicionais Statefull Firewall, que trata porta e protocolo, a nova geração foi projetada para identificar e controlar principalmente aplicações. Vejamos o que o NSSLabs (www.nsslabs.com) diz a respeito: Firewall de Nova Geração ou Next-Generation Firewall (NGFW) integra prevenção de intrusão, controle e identificação de aplicação e criação de regras por usuários e grupos. Principais Caracterí sticas

- Aplicar as normas da empresa; - Controlar o acesso a websites e aplicativos on-line; - Decifrar, inspecionar e reestabelecer a conexão SSL criptografada. Isso elimina a criptografia como um método de esconder malware; - Incorporar inspeção profunda de pacotes (IPS); - São capazes de autorizar o uso do aplicativo com base em perfis de usuários usu ários individuai individuaiss ou grupos;

|16

Johnantan Pereira (Editor Chefe) Analista de Segurança, Graduado em Redes de Computadores pela Faculdade Estácio do Ceará, com Extensão em Períc Perícia ia Forens Forensee Comput Computacion acional. al. Apaixonado por Tecnologia, Admirador e Pesquisador da Cultura Hacker.

Email: [email protected] Twitter: @johnantan


Sobre o OWASP

O Op Opeen Web Ap Apppli liccati tioon Se Seccur urit ityy Pro roje ject ct (OWASP) é um projeto open source voltado para promover a segurança de aplicações no uso por em presas, entidades educacionai educacionaiss e pessoas em todo o mundo. Todos os membros são voluntários que dedicam ca m se seuu te temp mpoo e en ener ergi giaa pa para ra a or orga gani niza zaçã ção. o. Os membros memb ros da OW OWASP ASP,, com apoi apoioo de org organiz anizaçõe açõess educacionais e comerciais formam uma comunidade de segurança que trabalha em conjunto para criar metodologias, documentação, ferramentas e tecnologias para a segurança seg urança das aplicações web. Toda essa estrutura é fomentada por patrocinadores. Existem duas principaiss formas de patrocinar a fundação: associan principai do-se como empresa ou individualmente ou por meio de patrocínio de projetos. Entre seus patrocinadores empres emp resari ariais ais es estão tão nom nomes es com como: o: Ama Amazo zon, n, Ado Adobe be,, Qualys Qua lys,, Nok Nokia, ia, IBM IBM,, (IS (ISC)2 C)2,, Ora Oracle cle en entre tre out outras ras grandes empresas.

tidos pela área com palestrantes amplamente respeitados pela comunidade de segurança da informação nacional e internacionalmen internacionalmente. te. OWASP Floripa Day

A primeira edição do OWASP Floripa Day será realizada entre os dias 15 e 16 de setembro de 2012, em Florianópolis. Serão dois dias de palestras específicas na área de segurança de aplicações ministrada por profissi profissionais onais do Brasil e exterior. OW OWASP ASP FLORIPA DAY é o único evento realizado em Florianó polis totalment totalmentee dedicado a segurança de aplicações e que irá se consolidar como um encontro único de pesquisadores, pesquisadore s, arquitet arquitetos os de sistemas, líderes e gestores técnicos de empresas. Este tipo de evento sem pre atrai uma audiência mundial interessa interessada da em conhecer as tendências e caminhos futuros da segurança em aplicações; e além da cobertura proporcionadda pela mí na mídi diaa lo loccal é div ivuulg lgaado em can anaais dedicados à segurança que atingem profissionais de todo to do o mu mund ndo. o. Qu Quem em de deve verá rá at aten ende derr ao OW OWAS ASP P Sobre o capí tulo de Florianópolis FLORIPA DAY 2012: desenvolvedores de aplicatiFlorianópolis está se consolidando, no cenário navos, testadores de aplicativos e de qualidade, gerencional e internacional, como um polo de empresas de tess de pr te proj ojet etos os de ap apli lica cati tivo voss e fu func ncio ioná nári rios os,, base tecnológi tecnológica. ca. Possui cerca de 600 empresas de associados e membros da OWASP, auditores, e pessoftware, hardware e serviços de tecnologia. Por esta soas responsáveis pela segurança de TI e compliance, razão um capítulo da OWASP foi aberto em Floripa gerentes de segurança e pessoal, executivos, gerentes para despertar a conscienti conscientização zação das pessoas envolvie pessoas responsáveis pela governança de TI, prodas com tecnologia da informação em relação à seguranç ra nçaa da dass ap apli lica caçõ ções es.. O ca capí pítu tulo lo do OW OWAS ASP P em fissionais de TI interessados em aprofundar seus conhecimentos em segurança. Florianópolis busca educar a comunidade, empresas, professores, professore s, e pessoas interess interessadas adas nesta área sobre a importância da segurança de aplicações. O capítulo de Floripa também procura capacitar e aperfeiçoar os http://www.owasp.org profissionais, profissi onais, através de lista de discussão, mini cur- https://www.owasp.org/index.php/Florianopolis sos realizados nos meios acadêmicos, encontros para OWASP ASP Floripa Day: Day: debates e eventos com palestras focadas nas mais OW avançadas técnicas e nos assuntos mais atuais discu- https://www.owasp.org/index.php/OWASP_Floripa_D ay_2012

|17


Você gostaria de ir ao evento Floripa Day nos dias 15 e 16 de setembro? Então publique em seu perfil no twitter: @_SegDigital eu quero ir ao @owasp_floripa E concorra a 1 convite sorteado por nossa equipe... O sorteio será realizado no dia 16/06

|18


Qual sua opinião?

s u o m y ? n s o o n h A n - i o c o m m si u v i o t k s e c õ l a i H v

Hacktivismo, nome dado as ações realizadas pela o grupo Anonymous gosta de chamar atenção, não só modalidade de hackers que utilizam a via digital para do poder público e empresas privadas, mas de toda a promover invasões como meio de protesto contra al- população, de fato este grupo esta no centro das guma situação pelo qual prejudicam a população em atenções, no topo de pesquisas realizadas no Google geral, que envolvam assuntos de politica, liberdade e nos trending topics do Twitter. de expressão e direitos humanos por exemplo. Aconteceu recentemente no dia 21 de abril um Não há h á como com o falar f alar em hacktivismo ha cktivismo sem citar o faf a- grande movimento social em várias cidades brasileimosoo gru mos grupo po co conhe nhecid cidos os com comoo Anony Anonymou mous, s, que quem m ras organizadas através das redes sociais (Facebook e nunca ouviu falar não é mesmo? Resguardados por Twitter), o Dia do Basta à Corrupção uma série de traz de uma mascara de Guy Fawkes, eles vem ga- protestos realizado realizadoss nas ruas contra a corrupção, ennhando repercussão ultimamente pela mídia ao de- tre os protestos os objetivos eram: fender causas em prol da sociedade. Diversos sites como os governamentais, de bancos - O voto aberto no congresso entre outros já foram alvos de ataques promovidos - Pelo fim do foro privilegiado dos políticos por eles, geralment geralmentee depois de anunciar o site alvo - Corrupção seja considerada crime hediondo em rede social, momento depois ele acaba ficando indisponível para acesso devido à ataque de negação de serviço ou simplesmente DDoS. Evento esse que teve como aliado o Anonymous. Mas como eles são vistos pela sociedade, vilões Nas manifestaç manifestações ões era comum encontrar algo que os ou mocinhos? simbolizassem. Bem é claro que existem pessoas que são contra e Não há poder sem informa informação, ção, sem dúvida alguoutras já são a favor em relação as suas atitudes, para ma essa frase faz parte do undergound, o intrigante as org organiz anizaçõe açõess ating atingidas idas e amea ameaçada çadas, s, os AnonyAnony- mundo dos hackers. A eterna busca de mais dados, mous são visto como vilões dessa história, agora para mais informações, mais sabedoria e mais conheciquem quer fazer justiça, no caso os mocinhos passam mento é o que motiva membros que fazem parte desa fazer papel na cena. te universo virtual, motiva criminosos, profissionais, Uma coisa que se pode notar com facilidade é que entusiastas e curiosos. O entendimento completo de

|19



uma tecnologia é fundamental, o conhecimento com pleto de todas às tecnologia tecnologiass é um sonho! Trecho da publicação realizada no link li nk [1].

Acesso em: 30 de abr abr.. 2012 Crimes Cri mes pel pelaa Int Intern ernet. et. Dis Dispon poníve ívell em: < [3] > Acesso em: 28 de abr abr.. 2012

Podemos falar que esta mascara é o símbolo regi strado do grupo Anonymous. Anonymous.

Link s

[ 1] 1] - http://fabiojanio.com/?p http://fabiojanio.com/?p=224 =224 [2] - http://www http://www.diadobasta.tk .diadobasta.tk

O ciberespaço é um lugar perigoso, cheio de curiosos, criminosos e espiões. No mundo moderno os crimes estão se dando por meio da rede mundial de computadores onde um criminoso pode ir de um canto a outro do país em questão de segundos. Cada vez mais jovens se veem influenciados por este ambiente curioso e digital, eles são atraídos pela fantasia de serem livres e terem o poder em seus dedos. Pode ter certeza que muitos "adolescentes" sonham em fazer parte de um grupo de hacktivistas como o Anonymous, por muitas vezes essas pessoas não fazem ideia do quão perigoso é entrar no submundo dos hackers.

[3] - http://www http://www.crimespelaintern .crimespelainternet.com.br/ et.com.br/ hackers-de-marginais hackers-de-m arginais-a-hero -a-herois-da-era-digital is-da-era-digital

Nágila Magalhães Gradua Grad uada da em Tec ecno nolo logi giaa em Re Rede dess de Computadores pela FCAT e Pós graduanda em Segurança Computacional pelo IESAM. Apaixonada Apaix onada por tecno tecnologia logia e ciber ciberespaç espaço, o, tenho em especial conhecimento nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colunista na área computacional..

R e f er ên ci as

Dia do Basta à Corrupção. Disponível em: < [2] >

|20

E-mail: [email protected] Twitter: @netnagila


Conheça os principais algoritmos de cifragem

) l a n e i f a c 2 i r t e é t r m a i s p ( a a i f i c a r r g é t o t m p i i s r s C a Este artigo é uma continuidade da edição passada... fato, que a mensagem não foi adulterada. Como a chave pública do emissor apenas decifra O sistema de criptografia assimétrica ou de chave pública também é utili utilizado zado como um meio de assina- (ou seja, verifica a validade) mensagens cifradas com tura digital. A pessoa que assina usa sua chave priva- sua chave privada, obtém-se a garantia de autenticida para criptografar uma mensagem conhecida, e o dade, integridade e não-repudiação da mensagem, o texto tex to cif cifrad radoo po pode de ser dec decifra ifrado do por qua qualqu lquer er um que é apoiado pela função hashing, pois se alguém usando a chave pública desta pessoa, assim como modificar um bit do conteúdo da mensagem ou se uma assinatura em papel, consiste em um bloco de outra pessoa assiná-la ao invés do próprio emissor, o informação adicionado à mensagem que comprova a sistema de verificação não irá reconhecer a assinatuidentidade do emissor, confirmando quem ele diz ser. ra digital dele como sendo válida. É imp import ortant antee per perce ceber ber que a as assin sinatu atura ra dig digita ital, l, O processo se baseia em uma inversão do sistema, onde o funcionamento da assinatura digital pode ser como descrita, não garante a confidencialidade da descrito como: o emissor cifra (ou seja, atesta auten- mensagem. Qualquer um poderá acessá-la e verificáticidade) a mensagem com sua chave privada e a en- la, mesmo um intruso, apenas utilizando a chave púem issor, assim, assi m, ao empregar em pregar o uso da técnica t écnica via, vi a, em um pr proc oces esso so de deno nomi mina nado do de as assi sina natu tura ra blica do emissor, digital. Cada um que receber a mensagem deverá ve- de assinatura digital o que se busca é a garantia de rificar a validade da assinatura digital, utilizando pa- autenticidade, integridade e não-repudiação da menra isso a chave pública do emissor, reconhecendo de sagem. 5. Assina tura digita l

Tabela 3 - Principais algoritmos de assinatura digital Algoritmo

Descrição

RSA

Como já mencionado, o RSA também é comutativo e pode ser utilizado para a geração de assinatura digital. A matemática é a mesma, há uma chave pública e uma chave privada, e a segurança do sistema baseia se na dificuldade da fatoração de números grandes.

ElGamal

Como o RSA, o ElGamal também é comutativo, podendo ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves; assim, ele obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito.

|21



DSA

Inventado pela NSA e patenteado pelo governo americano, o Digital Signature Algorithm (DSA), unicamente destinado a assinaturas digitais, foi proposto pelo NIST em agosto de 1991, para utilização no seu padrão Digital Signature Standard (DSS). Adotado como padrão final em dezembro de 1994, trata de uma variação dos algoritmos de assinatura ElGamal e Schnorr.

6. Função ha shing

A assinatura digital obtida através do uso da criptografia assimétrica ou de chave pública infelizmente não pode ser empregada, na prática, de forma isolada, é necessário o emprego de um mecanismo fundament me ntal al pa para ra o ad adeq equa uado do em empr preg egoo da as assi sina natu tura ra digital. Este mecanismo é a função hashing. Assim, na prática é inviável e contraproducente utilizar puramente algoritmos de chave pública para assinaturas digitais, principalmente quando se deseja assinar grandes mensagens, que podem levar preciosos minutos ou mesmo horas para serem integralmente cifradas com a chave privada de alguém, ao

invés disso, é empregada uma função hashing, que gera um valor pequeno, de tamanho fixo, derivado da mensagem que se pretende assinar, de qualquer tamanho, para oferecer agilidade nas assinaturas digitais, além de integridade confiável. Serve, Ser ve, por portan tanto, to, pa para ra gar garant antir ir a int integr egrida idade de do conteúdo da mensagem que representa, por isto, após o valor hash de uma mensagem ter sido calculado através do emprego de uma função hashing, qualquer modificação em seu conteúdo - mesmo em apenas um bit da mensagem - será detectada, pois um novo cálculo do valor hash sobre o conteúdo modificado resultará em um valor hash bastante distinto.

Tabela 4 - Principais funções hashing Algoritmo

Descrição

SHA-2

O Secure Hash Algorithm (SHA-2) por outro lado significativamente difere da função hash SHA-1, desenhado pelo NSA é uma família de duas funções hash similares, com diferentes tamanhos de bloco, conhecido como SHA-256 e SHA-512. SHA-51 2. Eles diferem no taman tamanho, ho, o SHA-25 SHA-2566 utiliza 256 bits e o SHA-5 SHA-512 12 utiliza 512 bits. Há també também m versões truncadas de cada padrão, conhecidos como SHA-224 e SHA-384. O ICP-Brasil em suas mudanças anunciadas adotadas para o novo padrão criptográfico do sistema de certificação digital, esta implantando em 2012, o uso do SHA-512 em substituição ao seu antecessor, o SHA-1. Um novo padrão proposto de função de hash ainda está em desenvolvimento, pela programação do NIST a competição que apresentará esta nova função hash tem previsão de termino, com a seleção de uma função vencedora, que será dado o nome de SHA-3, ainda em 2012.

SHA-1

O Secure Hash Algorithm (SHA-1), uma função de espalhamento unidirecional inventada pela NSA, gera um valor hash de 160 bits, a partir de um tamanho arbitrário arbitrário de mensa mensagem. gem. O funcio funcionamen namento to interno do SHA-1 é muito parecido com o observado no MD4, indicando que os estudiosos da NSA basearam-se no MD4 e fizeram melhorias em sua segurança. De fato, a fraqueza existente em parte do MD5, descoberta após o SHA-1 ter sido proposto, não ocorre no SHA-1. Em 2005, falhas de segurança foram identificados no SHA-1, ou seja, que uma fraqueza matemática pode existir, o que indica que o uso de uma função hash mais forte é recomendável, o que motiva o uso preferencial de SHA-2.

É uma função de espalhamento unidirecional inventada por Ron Rivest, do MIT, que também trabalha para a RSA Data Security. A sigla MD significa message digest. Este algoritmo produz um valor hash de 128 bits, para uma mensagem de entrada de tamanho arbitrário. Foi inicialmente proposto em 1991, após alguns ataques de criptoanálise terem sidos descobertos contra a função hashing prévia de Rivest: a MD4. O algoritmo foi projetado para ser MD5 rápido, simples e seguro. Seus detalhes são públicos, e têm sido analisados pela comunidade de criptografia. Foi descoberta uma fraqueza em parte do MD5, mas até agora ela não afetou a segurança global do algoritmo. Entretanto, o fato dele produzir produzir uma valor hash de somen somente te 128 bits é o que causa maior preocupação preocupação;; é prefe preferível rível uma função hashing que produza um valor maior. O MD4 é o precursor do MD5, tendo sido inventado por Ron Rivest. Após terem sido descobertas algumas fraquezas no MD4, Rivest escreveu o MD5. O MD4 não é mais utilizado. O MD2 é uma função de espalhamento unidireMD2 e MD4 cional simplificada, e produz um hash de 128 bits. A segurança do MD2 é dependente de uma permutação aleatória de bytes. Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita-se que seja menos seguro.

cio eletrônico. Estes protocolos criptográficos, portanto, provêm Em resumo, os algoritmos criptográficos podem ser combinados para a implementação dos três meca- os serviços associados à criptografia que viabilizam nismos criptográficos básicos: o ciframento, a assina- o comércio eletrônico: disponibilidade, sigilo, contura e o hashing. Estes mecanismos são componentes trole de acesso, autenticidade, integridade e não-redos protocolos criptográficos, embutidos na arquite- púdio, usualmente apoiado por sistemas híbridos. tura de segurança dos produtos destinados ao comér7. Sistema s hí bridos

|22



Tabela 5 - Protocolos com Sistemas Híbridos Algoritmo

Descrição

IPSec

Padrão de protocolos criptográficos desenvolvidos para o IPv6. Realiza também o tunelamento de IP sobre IP. É composto de três mecanismos criptográficos: Authentication Header (define a função hashing para assinatura digital), Encapsulation Security Payload (define o algoritmo simétrico para ciframento) e ISAKMP (define o algoritmo assimétrico assim étrico para gerên gerência cia e troca de chave chavess de cript criptografi ografia). a). Cript Criptografi ografiaa e tunel tunelament amentoo são independentes independentes,, e permite Virtual Private Network (VPN) fim-a-fim.

SSL e TLS

Oferecem supor Oferecem suporte te de segur segurança ança criptográfica criptográfica para os protoc protocolos olos NTTP, NTTP, HTTP HTTP,, SMTP e Telnet. Permitem utilizar diferentes algoritmos simétricos, message digest (hashing) e métodos de autenticação e gerência de chaves (assimétricos).

PGP

O Pretty Good Privacy (PGP), foi inventado por Phil Zimmermman em 1991, é um programa criptográfico famoso e bastante difundido na internet, destinado à criptografia de e-mail pessoal. Algoritmos suportados: hashing: MD5, SHA-1 - simétricos: CAST-128, CAST-128, IDEA e 3DES - assimétricos: RSA, Diffie-Hellman Diffie-Hellman e DSS.

S/MIME

O Secur Securee Multip Multipurpos urposee Intern Internet et Mail Extens Extensions ions (S/MIME) consiste em um esforço de consó consórcio rcio de empre empresas, sas, liderado pela RSADSI e Microsoft, para adicionar segurança a mensagens eletrônicas no formato MIME. Apesar do S/MIME e PGP serem ambos padrões para a internet, o S/MIME tem sua maior utilização no mercado corporativo, enquanto o PGP é utilizado em e-mail pessoal.

SET

O SET é um conjunto de padrões e protocolos, para realizar transações financeiras seguras, como as realizadas com cartão de crédito na internet. Oferece um canal de comunicação seguro entre todos os envolvidos na transação. Garante autenticidade X.509v3 e privacidade entre as partes.

X.509

Recomendação ITU-T, a especificação X.509 define o relacionamento entre as autoridades de certificação. Faz parte das séries X.500 de recome recomendaçõ ndações es para uma estrutura de diretó diretório rio global, baseada em nomes distintos distintos para localização. Utilizado pelo S/MIME, IPSec, SSL/TLS e SET. Baseado em criptografia com chave pública (RSA) e assinatura digital (com hashing).

8 . Co nc lus ã o

Qual o modelo de criptografia que devemos utilizar, simétrico ou assimétrico? A resposta é simples, devemos utilizar os dois, em um modelo denominado híbrido. Um exemplo de combinação de emprego é encontrado ao utilizar o PGP, que combina um sistema de chave pública (Diffie-Hellmam ou RSA) com um si sist stem emaa de ch chav avee pr priv ivad adaa (C (CAS AST T, ID IDEA EA ou 3DES).

O algoritmo simétrico, por ser muito mais rápido, é utilizado no ciframento da mensagem em si, enquanto o algoritmo assimétrico, cerca de 1.000 vezes mais lento, permite implementar a distribuição de chaves e a assinatura digital, permitindo garantir a autenticidade de quem envia a mensagem, associada à integridade do seu conteúdo, complementado com a utilização do mecanismo de hashing para assegurar a integridade da assinatura digital.

Tabela 6 - Quadro comparativo Criptografia simétrica ou chave privada

Criptografia assimétrica ou chave pública

Rápida

Lenta

Gerência e distribuição das chaves é complexa

Gerência e distribuição das chaves é simples

Não oferece assinatura digital

Oferece assinatura digital

Em síntese, proteger a informação é uma máxima os dos tempos o homem vem trabalhando de maneira que persiste a cada instante quando se incrementa di- persistente persisten te na elaboração de rotinas, que se transforariamente o número de transações comerciais e fi- maram em algoritmos poderosos, e bem empregados nanceiras realizadas através de meios eletrônicos, em propicia propiciam m a proteção desejada à informaç informação, ão, aumen particular particul ar através da internet internet,, neste contexto é neces- tando a segurança dos dados e minimizando o imsário o emprego de meios e recursos para que os da- pacto dos ataques submetidos às informa informações ções que dos sigilosos estejam a salvo de intrusos, por isto a trafegam através das redes de computadores, pelos importância de conhecer as ferramentas e técnicas seus inúmeros dispositivos conectados e muitas veoferecidas pela criptografia, afinal desde os primórdi- zes vulneráveis.

|23



9. Referência s Bibliográfica s

COSTA, Celso José da e FIGUEIREDO, Luiz Manoel Silva de. Criptografia Geral. 2 ed. Rio de Janeiro : UFF / CEP - EB, 2006. 192p. – (Curso de Criptografia e Segurança em Redes). FIGUEIREDO, Luiz Manoel Silva de. Números primos e criptografia de chave pública. Rio de Janeiro : UFF / CEP - EB, 2006. 180p. – (Curso de Criptografia e Segurança em Redes). OLIVEIRA, Ronielton Rezende. Criptografia tradicional simétrica de chave privada e criptografia assimétrica de chave pública: análise das vantagens e desvantagens. Niterói : Trabalho da pósgraduação Criptografia e Segurança em Redes da UFF, 2006. 20p.

Ronielton Rezende Oliveira MBA Ex MBA Exec ecut utiv ivoo In Inte tern rnac acio iona nall pe pela la Ohio University/USA; MBA Gerenciamento de Projetos pela FGV; pós-graduad du adoo Cr Crip ipto togr graf afia ia e Se Segu gura ranç nçaa em Redes pela UFF; graduado Ciência da Computação pela UninCor. Certificado PMP, CobiT, ITIL. Carreira direcionada em Governança Governança de TI, Segurança da Informação e Gerenciamento de Projetos. Site: http://www.ronielton.eti.br Email: [email protected] Twitter: @ronielton

|24


a v i t a r o p r o C e s u o H n a L

D

dias empresas (PMEs), onde mal há direcionamento adequado para investimentos em infraestrutura em tecnologia, quanto menos para gestão e segurança da informação. E esta falta de maturidade, muitas vezes Todos conhecem uma Lan House e o seu conceito originadas por parte do corpo diretivo da organizade funcionamento. Lan House é um espaço comercial ção, mas também algumas vezes vindo diretamente que normalmente disponibiliza aos seus clientes uma dos próprios gestores de TI, acaba por transformar a série de serviços por meio de recursos tecnológicos, empresa em uma Lan House Corporativa. E pior, como acesso à Internet por banda larga, pacotes de uma Lan House remunerada para os usuários! Com a expansão dos serviços oferecidos pelo adsoftwares para edição de arquivos de texto, planilhas, apresentações ou fotos, mais serviços de impressão, vento da Internet a todos os setores de nossa sociedadigitaliza digit alização ção,, cópia de arqu arquivos, ivos, seleção de jogo jogos, s, de, seja em uma empresa, em uma instituição de ensino ou mesmo em nossa casa, podemos tudo atraentre outros entretenimentos. Estes serviços são cobrados, sendo que em sua vés dessa incrível rede mundial. Trabalhar, estudar, comprar rar,, nos relacionar relacionar e por que não, nos divertir e maioria por tempo de uso. Até aqui nenhuma novida- comp de, certo? Agora imagine um lugar onde tudo isso muito. Mas como somos ensinados desde pequenos, possa estar a seu inteiro dispor, 8 horas por dia, com pra tudo há sua hora e seu lugar também, e talvez o quee mu muita itass pe pess ssoa oass tê têm m di difi ficu culd ldad adee é di dist stin ingu guir ir a melhor infraestrutura, incluindo além de um com- qu putador exclusivo, transport transporte, e, café, almoço e o que é quando é a hora e o lugar para “brincar”. Inúmeras pesquisas indicam que um funcionário mais interessante: Além de não pagar nada por isso, você ainda recebe mensalmente um salário sem qual- chega a passar até 2 horas/dia do seu expediente de quer desconto pelo uso destes serviços. É melhor do trabalho realizando tarefas particulares. Só com o uso improdutivo da Internet se gasta cerca de 1,7 hoque se fosse de graça. Sensacional!!! Sarcasmo? Pode parecer a princípio, mas essa é na ra/dia, sendo que o restante é gasto com telefonemas verdade a realidade de muitas empresas em nosso e saídas para fumar um cigarro ou tomar um cafezi país, especialmente especialmen te no universo das pequenas e mé- nho. Fazendo um cálculo bem simples, este funcioicas infalíveis para criar uma Lan House Corporativa, acessível a todos os seus usuários, oferecendo o que há de melhor para o “sucesso” do seu negócio.

|25



nário passa em média 8 horas por semana tratando de assuntos pessoais utilizando a Internet. Na visão de um empresário, é melhor deixar este funcionário em casa 1 dia por semana, pois assim a empresa poderia economizar com transporte e alimentação. Parece bobagem, mas quando o empresário começa a pass passar ar para o pape papell este estess números, o resu resultado ltado é alarmante. A BRConnection, empresa especializada em soluções para gestão e monitoramento de Internet disponibilizou uma calculadora em uma página com o seguinte título: “QUANTO CUSTA O MAU USO DA INTERNET EM SUA EMPRESA?”. Nela obtemos um cálculo com valores que passam despercebidos quando não fazemos um bom uso dos recursos em nossa empresa. Depois que você inserir algumas informações, perceberá o tamanho do prejuízo. Como mencionei logo no início, boa parte destas empresas não têm a cultura de fazer TI parte integrante do negócio, ela é quase sempre vista como uma área que só apresenta custos operacionais e não soluções estratégicas. Quando a direção tem essa visão, ela acaba transferindo essa imagem a toda organização, deixando a TI em uma situação delicada. E é ai que começa a surgir na prática uma Lan House Corporativa. Trabalhando na implantação de sistemas de monitoramento de Internet e na criação de políticas de acesso e de segurança da informação, tenho me acostumado a ver os departamentos de TI passarem por dois distintos momentos. O primeiro momento da im plantação é marcado por uma certa desconfiança por parte dos usuários que rapidament rapidamentee se transfor transforma ma em um tipo de ódio velado contra os colaboradores res ponsáveis pelo suporte de TI e às vezes até contra nós mesmos, quando fazemos parte do projeto. O segundo momento só ocorre em organizações que investem em TI, não somente com Ferramentas, mas tamb ta mbém ém em Processos e princ principalm ipalmente ente Pessoas. Neste segundo momento vemos TI ganhar respaldo não a base da força, mas no apoio dos demais departamentos quando estes entendem as razões para tal controle no acesso aos recursos da empresa, em especial a Internet. Normalmentee eu me deparo com a primeir Normalment primeiraa situação devido o fato de como a política de controle de acesso à Internet é implantada, que é a base do 8 ou 80, ou seja, ou bloqueia-se tudo ou permite-se tudo. Isso ocorre pela falta de planejamento em definir cla-

|26

ramente quais são as regras do jogo, ou melhor, do negócio. E quem define as regras, o departamento de TI? A resposta é não! O departamento de TI é um setor estratégico para a organização, mas não o único setor responsável pela criação da política de acesso. Quando o departamento de TI opta por bloquear quase tudo achando que está fazendo algo positivo pela empresa, acaba sendo visto como um inimigo pelos demais departamentos, pois devido essa limitação de visão do negócio como um todo, sem perceber impede o desenvolvimento e a evolução dos processos do negócio e ainda cria um ambiente de insatisfação geral, que acaba afetando a produtividade de toda a equipe de colaboradores colaboradores.. Por outro lado também nos deparamos com aquelas empresas com um ambiente de trabalho agradável, onde não há regras limitando os colaboradores, pois tudo é baseado na confiança e nas metas que cada um deve atingir. Aqui pode ser um excelente cenário para propagação de malwares, degradação da rede, vazamento de informações e ainda uma boa parcela de improduti improdutividade. vidade. Um excelente case para um modelo de Lan House Corporativa. Com a explosão da Web 2.0, hoje temos a disposição siç ão inú inúmer meras as fer ferram ramen entas tas e se servi rviços ços que po podem dem tanto colaborar como interferir diretamente nas atividades da organização. O uso de redes sociais relacionadas ao negócio é um requisito hoje em dia, porém cabe avaliar se todos devem ter este acesso disponível dentro da organização. O uso de serviços como Facebo Fac ebook, ok, Goo Google gle+, +, Twit witter ter e Lin Linked kedin, in, pod podee se ser r fundamental para departamentos de Marketing, Recursos Humanos e Atendimento ao Cliente, porém pode não trazer os mesmos benefíci benefícios os se disponível em um departamento Financeiro, Fiscal ou ainda setores como Produção, Portaria e Vigilância. Assim també tam bém m co com m ser serviç viços os mul multim timídi ídiaa co como mo Yout outube ube,, Skype, MSN entre tantos outros podem ser interessantes para a área Comercial ou um departamento voltado a Treinamentos, mas se disponíveis a todos os usuários sem controles que restrinjam horários de acesso e banda de consumo, podem degradar a performance da rede destinada ao uso de sistemas cor porativos, porativo s, sem falar nos demais dem ais riscos r iscos já citados. Diante dessa quantidade de variáveis, é óbvio que o departamento de TI não tem condições de avaliar sozinho o que é melhor para a organização. Muito Maio 2012 • segurancadigital.info


menos o corpo diretivo, que em algumas empresas têm tê m po porr há hábi bito to em empu purra rrarr as re regr gras as ao es estil tiloo “u “uppdown”, sem realizar qualquer consulta, nem mesmo ao departamento de TI. Às vezes nos deparamos com situações que deixam claro que TI só está preocupada com a Ferramenta que será utilizada para controlar os acessos, porém esquece de que sem um Processo bem definido e sem Pessoas treinadas e conscientizadas, não haverá tecnologia que traga algum benefício para a organização. Não adianta adquirir o melhor filtro de conteúdo de internet do mercado se não houver regras de acesso e bloqueios bem definidos, escritos e divulgados a todos na organização, ou ainda o melhor firewall se eu não tiver um processo escrito de toda sua operação e manutenção. Não adianta ter a melhor infraestrutura de TI se não houver pessoas treinadas para fazer o uso correto do recurso tecnológico, como também conscientizadas sobre as razões que levaram a empresa a definir quais sites são permitidos e quais são proibidos, por que não posso ouvir rádio online enquanto trabalho, por que fulano pode acessar o Facebook e o Twitter e eu não posso ou ainda por que eu não posso conectar o meu pendrive e um simples estagiário do departamento de TI pode? Nós que trabalham trabalhamos os fornecendo soluções para gestão e segurança da informação devemos alinhar o discurso aos nossos clientes de que não importa a marca do firewall, o fabricante de antivírus ou a solução de monitoramento de rede sem o apoio de procedime di ment ntos os de op oper eraç ação ão be bem m es escr crit itos os e an anal alis ista tass técnic téc nicos os ca capac pacita itados dos a adm admini inistr strar ar a fer ferram ramen enta. ta. Tamb ambém ém não de devem vemos os nos esq esquec uecer er dos usu usuári ários os,, pois estes são a razão de todo t odo este est e investiment in vestimento. o. E como fazemos isso? Ouvindo todas as partes através da formação de um comitê, onde setores estratégico traté gico da org organiz anização ação seja sejam m repre represent sentados ados pelo seus gestores de forma que nenhum controle interfira nas atividades de seu departamento e que nenhuma decisão seja tomada de forma unilateral. Todos devem ser corresponsáveis pelas regras criadas, cabendo a TI somente a tarefa adicional de aplicá-las com os devidos recursos tecnológicos. É óbvio que isso não é uma tarefa fácil e muito menos rápida de ser aplicada, porém se continuarmos ignorando a tríade Ferramentas, Processos e Pessoas, podemos esquecer a possibilidade de um dia ver

|27

TI como um departamento modelo a ser seguidos pelos demais em uma PME.

Roberto Henrique Roberto Henriq Roberto Henrique ue é Analis Analista ta de Segurança da Informação na ABCTec, com 14 anos de experiência na área de TI (Suporte, Gestão, Consultoria), ria ), esp especi eciali alizad zadoo em aná anális lisee de vulnerabilidades e no tratamento de incide inc idente ntess de seg segura urança nça da inf inforormação. Formado em Análise e Desen envv. de Si Sisste tema mass, po posssu suii as cert ce rtif ific icaç açõe õess IS ISFS FS® ® IS ISO/ O/IE IEC C 27002 Certified, D-Link DBC, F-Secure Certified Sales Professional – FCSP, Microsoft MCP/MCDST. Membro do Comitê mi tê Té Técn cnic icoo ABN BNT/ T/C CB2 B21: 1:C CE2 E277 so sobbre Se Segu gura ranç nçaa daInformação e membro do Núcleo de TI do CIESP – São Bernardo do Campo. Email: [email protected] Site: www.abctec.com.br


? r a z i l i t u e d no S P I / S D I

A

preocupaç ão com a segurança e a integrid preocupação integridade ade do ambiente corporativo é cada vez maior entre os gestores de TI. Com o crescente aumento dos ataques e o grande número de vulnerabilidades existentes, há cada vez mais a necessidade de utilizar dispositivos que auxiliem na proteção do ambiente.

1- IPS na borda da rede: Nesta opção o IPS é instalado logo após o roteador de borda e antes do firewall da rede. A vantagem é que o mesmo atua antes do tráfego chegar ao Firewall, protegendo todo o ambiente. A desvantagem é que sem a proteção do firewall, o IPS está suDentre os diversos dispositivos existentes no mer- jeito a um ataque direto ao próprio dispositi dispositivo, vo, sem cado, pode-se utilizar um IDS (Intrusion Detection qualquer filtro. É fato que este é o propósito do equiSystem) – sistema de detecção de intrusão, ou um pamento, mas um ataque massivo pode indisponib indisponibiliiliIPS (Intrusion Prevention System) - sistema de pre- za zarr o me mesm smoo e co cons nseq eque uent ntem emen ente te in invi viab abili iliza zarr o venção de intrusão. acesso externo da rede. Outro ponto importante, é Conceitualmente, a atuação destes equipamentos que neste cenário, o equipamento, se mal configurasubdivide-se em: NIDS (Network IDS) e HIDS (Host do, pode gerar alertas do tipo falso-positivo e bloIDS), onde suas características resumem-se em prote- quear tráfego “limpo”. Além disso, seus logs podem ção de rede e proteção de host respectivamente. respectivamente. gerar grande volume de dados tendo em vista todo o Entretanto, após dispender tempo e dinheiro para tráfego que o mesmo recebe e inspeciona, também adquirir uma solução de IDS/IPS, podem ocorrer dú- pelo mesmo motivo pode ocorrer oco rrer latência no tráfego. t ráfego. vidas, como qual o melhor ponto para instalar o equi pamento de maneira a proporci proporcionar onar uma melhor proteção ao ambiente? amb iente? Esta questão é muito particular e depende de alguns fatores como: características da rede, custo, tipo A Figura 1 mostra esta sugestão de uso. de proteção, etc. Alguma Alg umass sug sugest estões ões sã sãoo ap apres resent entada adass de ac acord ordoo com o nível de proteção, vantagens e desvantagens:

|28



Figura 1 - IPS na borda da rede

alertando sobre tentativas de ataques, mas também tomando ações de bloqueio das mesmas. Uma maneira simples de entender o funcionamento de um IDS/IPS, é utilizar os conceitos de falha, erro e defeito para explicar. O IDS conhece a falha fal ha (vu (vulne lnerab rabili ilidad dade), e), de detec tecta ta o err erroo (at (ataq aque) ue) e alerta da possibilidade de ocorrer um defeito. Já o IPS, conhece a falha (vulnerabilidade), detecta o erro (ataque) e impede o mesmo, evitando assim um defeito. A figura 3 mostra uma sugestão de uso concorrente das tecnologias descritas neste artigo.

2- IPS após o firewall: Neste cenário, o IPS é utilizad utilizadoo após o firewall do ambiente. Dessa forma tem o propósito de inspecionar o tráfego interno da rede de modo a detectar ataques internos e o uso abusivo da rede por parte dos usuários. O mesmo fica protegido pelo firewall, porém o próprio firewall fica sujeito a um ataque externo direto, apontando uma desvantagem de uso em relação à sugestão anterior. Salienta-se que nesta opção de implementação, pode ocorrer uma redução de alertas do tipo falso-positivo devido ao tráfego ser Figura 3 - Uso concorrente de IPS e IDS no ambiente filtrado antes pelo firewall e, consequentemente, isolamento da rede externa, praticamente inviabilizando O uso de ambas as tecnologias está diretamente ataques externos diretos ao equipamento, maior van- ligado à relação custo benefício para determinar qual tagem deste cenário. A figura 2 apresenta este mode- ou quais dispositivos utilizar. Para alcançar o nível lo de uso. de proteção desejado, é necessária uma análise de custo, de risco e de necessidade de proteção, para definir a melhor topologia a adotar, garantindo assim a integridade do ambiente. “Gostaria de agradecer o apoio da minha família em especial da minha querida esposa, que sempre me apoiar apo iaram am inc incond ondici iciona onalme lmente nte par paraa alc alcan ançar çar meu meuss objetivos” Figura 2  IPS interno na rede Porque até este ponto, ainda não foi citado o uso de um IDS para proteção do ambiente, como está presente no título tí tulo do artigo? ar tigo? A resposta é simples: não é errado o uso concorrente das duas tecnologias na rede, pois não há restrição operacional para uso de ambos. Como um IDS apenas apresenta as tentativas de invasão através de alertas, onde seu método de trabalho é “outline”, realizando um processo de sniffer, escutando o tráfego da rede, seu uso pode ser em qualquer ponto da mesma. Diferentemente, do IPS que tem um propósito mais abrangente, atuando de forma mais completa, com um método de trabalho “inline”, onde o tráfego necessariamente passa pelo equipamento, não apenas

|29

Augusto Pannebecker Fernandes Técnico em Eletrônica e Informática Industrial, superior em Análise e Desenvolvimento de Sistemas, pós-graduando em Especialização em Segurança da Informação 18 anos de experiência na área de TI atualmente atuand atu andoo em Sup Suporte orte de Red Redes/ es/T Tele ele-com, co m, Ad Admi mini nist stra rado dorr de ID IDS/ S/IP IPS, S, Analista e consultoria de segurança. Email: [email protected] Twitter: @AugustoPan


p a m n m o c s e d e r e d o t n e m a e p a M ferram fer ramen enta ta de có códig digo o abe aberto rto co com m div divers ersas as fun funcio ciona nalid lidade adess Nos exemplos de alvo apresentados neste artigo, O nmap (reduzido de “Network Mapper”) é uma são utilizados apenas faixas de endereços IP privados defi fini nido doss na RF RFC C 19 1918 18 [6 [6], ], a sa sabe berr 10 10.0 .0.0 .0.0 .0/8 /8,, ferramenta livre, de código aberto, utilizada para ma- de 172. 2.16 16.0 .0.0 .0/1 /122 e 19 192. 2.16 168. 8.0. 0.0/ 0/16 16,, e o en ende dere reço ço peamento de redes e inclui diversas funcionali funcionalidades dades 17 scanme.nmap.org org , qu quee é um ho host st pr prep epar arad adoo pe pelo loss como: varredura de portas, detecção de versão de ser- scanme.nmap. desenvolvedores es da ferrament ferramentaa para receber viços, identificação remota de sistemas operacionais próprios desenvolvedor (OS fingerprinting), etc. Esta ferramenta foi criada este tipo de varredura. Os leitores são encorajados a por Gordon “Fyodor” Lyon, que ainda hoje partici participa pa não executar varreduras sobre qualquer ativo que não ativamente do desenvolvimento da mesma. O nmap é seja de sua propriedade ou que se tenha autorização uma ferramenta versátil que é muito utilizada, entre formal para isso. outros, em auditorias teste de invasão, teste em fiE s p e ci f i c aç ã o d e A l v o s rewalls e testes de conformidade. Antes de iniciar uma varredura, seja esta muito O nmap, em geral, opera nas camadas de rede e transporte. Entretanto, também é capaz de manipular simples ou extremamente complexa, é preciso dizer dados da camada de enlace (endereças MAC e requi- ao nmap quais são os alvos desta varredura. O nmap sições ARP, por exemplo) e de interpretar dados da define como alvos válidos endereços IP, faixas de camada de aplicação para inferir informações interes- endereços IP ou nomes de domínio dispostos em lista santes a respeito de seu alvo (versões de serviços e e separados por caracteres de espaçamento (espaço, tab, nova linha, etc). Estes alvos podem ser passados sistemas operacionais, por exemplo). A versão mais nova do nmap por ser obtida atra- como parâmetro na linha de comando ou em um ararquivo_alvos.txt'). vés do sit sitee ofi oficia ciall [1] [1].. Inf Inform ormaç ações ões adi adicio cionai naiss às quivo (pela opção '-iL arquivo_alvos.txt'). Assim, quando o alvo é um endereço IP único, esapresentadas neste artigo podem ser encontradas na documentação oficial [2] ou no livro de autoria do te deve ser especificado como quatro números intei próprio Fyodor dedicado à ferrament ferramentaa [3], que inclu- ros positivos, entre 0 e 255, separados por pontos. sive tem uma versão traduzida em português (pt-BR) São exemplos de endereços IP únicos: 172.28.1.101 [4]. Parte deste livro está disponível gratuitamente na 192.168.0.1. Quando o alvo é uma faixa de endereços IP, este deve ser especificado com duas sintaxes Internet para leitura e consulta [5]. I n t r o d u ç ão

|30



distintas. A primeira delas consiste do par endereço da rede e sua máscara de sub-rede. São exemplos de pares endereço da rede e máscara de sub-rede: 10.20.0.0/16 172.16.1.32/27. A outra sintaxe aceita consiste de um endereço IP com listas de números se parados por vírgulas ou interval intervalos os especificad especificados os com hífen. São exemplos de endereço IP com listas de números ou intervalos: 10.0.0.0-255 172.16.1,3,5,0-127 (equ (e quiv ival alen ente te a 17 172. 2.16 16.1 .1.0 .0-1 -127 27 17 172. 2.16 16.3 .3.0 .0-1 -127 27 172.16.5.0.127). Finalmente, quando o alvo é um nome de do domí míni nio, o, es este te de deve ve se serr es espe peci cifi fica cado do po por r sequências de caracteres quaisquer separadas por vírgulas. São exemplos de nomes de domínio: scanme.nmap.org scanme.nmap .org e www.seginfo.com.br . " Qu i c k s t a r t "

A forma mais simplista de executar a varredura utilizando o nmap é executar a ferramenta sem parâmetros sobre o alvo especificado. Esta varredura consiste de todas as opções padrão tanto de descoberta quanto de varredura.

nmap scanme.nmap.org

ria de segurança ou projeto de mapeamento de rede é reduzir uma grande faixa de endereços IP a uma lista de endereços de interesse. Este interesse pode variar dependendo do propósito da varredura. Em uma auditoria teste de invasão caixa preta, o auditor se interess re ssaa po porr qu qual alqu quer er ho host st qu quee es este teja ja at ativ ivoo na re rede de,, enquanto em um auditoria em aplicações web, o auditor se interessa somente nos hosts que provejam serviços web. Assim, para cada propósito distinto há uma forma diferente realizar a descoberta de hosts. O nmap fornece diversas opções a fim de personalizar a descoberta de hosts para que esta se adeque aos propósitos da varredura. Estas opções serão discutidas a seguir seguir.. Primeiramente, pode ser interessante não fazer a descoberta de hosts. Isto ocorre quando a varredura compreende um único endereço alvo, ou quando já se sabe que os alvos estão ativos na rede. Para estes casos, podem ser utilizadas as opções “List scan” (-sL) ou “N “Noo Pi Ping ng”” ((-PN PN)) co como mo ex exem empl plif ific icad adas as no noss exemplos a baixo:

nmap -sL 10.0 10.0.0.0 .0.0/24 /24 nmap -PN 10.0.0.0/24

Esta varredura verifica se o alvo está ativos na rede utilizando o método de descoberta e faz a varredura ut util iliz izan ando do o mé méto todo do de va varr rred edur uraa pa padr drão ão.. O resultado esperado de uma varredura como esta é:

O “List scan” diz ao nmap que a varredura consiste apenas em listar os alvos passados como parâmetro, embora o nmap ainda faça uma consulta DNS (reversa, no caso de alvos especificados como ende1. Verificação Verificação de atividade do alvo na rede; e reços IP) sobre os alvos. Portanto no caso do “List 2. Listagem de portas abertas, fechadas e filtradas scan” nenhuma varredura ativa é realizada sobre os associadas ao nome do serviço que tradicionalmente alvos especificados. No caso do “No Ping”, o nmap utiliza cada porta, caso o alvo esteja ativo. pula a faze de descoberta completamen completamente. te. Versões mais antigas do nmap apontarão a opção “-P0” para o Isto quer dizer que se um determinado serviço es- “No Ping”, mas esta opção é considerada obsoleta, tiver sendo provido em uma porta diferente da que ap apes esar ar de ai aind ndaa fu func ncio iona narr na nass ve vers rsõe õess at atua uais is do tradicionalmente é utilizada, o nmap fornecerá uma nmap, e, a título de curiosidade, esta opção foi modiresposta incorreta sobre o serviço. Isto quer dizer ficada por ser frequentemente confundida com o “IP que, por exemplo, se um servidor ssh, que tradicio- Protocol Ping” (-PO). No exemplo dado acima, o nalmente utiliza a porta 22, for configurado para pro- nmap ainda faria a varre varredura dura utilizando utilizando o méto método do de ver o serviço na porta 80, tradicionalmente utilizada var varred redura ura pad padrão rão sob sobre re os alv alvos os esp especi ecific ficad ados. os. A por servidore servidoress http, nesta varredura o nmap detectará única situação em que o nmap não se comportaria um servidor http e não um ssh, como esperado. desta forma acontece quando os alvos especificados Nas próximas seções, “Descoberta de hosts” e estão na mesma rede que o host que faz a varredura. “Técnicas de Varredura de portas” respectivamente, é Neste caso, o nmap faria um “ARP Ping”, ignorando discutido do que consistem estes método de desco- a opção do “No Ping”. berta e de varredura padrão. Uma vez que se queira fazer uma descoberta de host ho sts, s, es esta ta de deve ve se serr at ativ ivad adaa co com m a op opçã çãoo ““-sP sP”. ”. D e s co b er t a d e H o s t s Quando esta opção esta ativada, o nmap não realiza Frequentemente, o primeiro passo de uma audito- varreduras, mas apenas realiza a descoberta de hosts,

|31



se não houverem outras opções comandando que a varredura seja feita. Neste caso, o nmap utiliza o método de descoberta de hosts padrão, que é o “ARP Ping” (-PR) para alvos localizados na rede interna e o “ICMP Echo Ping” (-PE) para os demais. O “ARP Ping” (-PR) é sempre o método de desco berta de hosts escolhido pelo nmap quando o alvo al vo encont co ntra ra-s -see na me mesm smaa re rede de qu quee o ho host st de on onde de a ferramenta é executada. Mesmo que outro método de descoberta de host seja explicitamente especificado o nmap irá realizar o “ARP Ping” sobre endereços da rede interna. Para forçar o nmap a utilizar outro método de descoberta de hosts sobre endereços na rede intern int ernaa é nec neces essár sário io uti utiliz lizar ar a op opção ção adi adicio cional nal “-send-ip”. Outro adendo importante é que esta opção não funciona nos sistemas da família Microsoft Windows, pois os mesmo não oferecem suporte a sockets brutos (não vinculados a protocolo protocolos). s). Assim, considerando que a faixa de endereços IP 192.168.1.0/16 seja a rede interna, os comandos abaixo são equivalentes:

nmap -sP 192.1 192.168.1 68.1.0/16 .0/16 nmap -sP -PR 192.168.1.0/16 192.168.1.0/16 O “ICMP Echo Ping” (-PE) é o método de desco berta padrão para endereços que não estão localizados na mesma rede que o host de onde a ferramenta é executada. Este método faz parte da família de métodoss “I do “ICM CMP P Pi Ping ng”, ”, qu quee ai aind ndaa in incl clui ui os mé méto todo doss “ICMP “IC MP Time imesta stamp mp Pin Ping” g” (-P (-PP) P) e “IC “ICMP MP Addre Address ss Mask Ping” (-PM). Todos estes métodos funcionam de maneira semelhante, pois detectam a atividade em um host pelo envio de pacotes ICMP de diferentes ti pos. Assim como os comandos abaixo também são equivalentes para a rede externa:

nmap -sP scan scanme.nm me.nmap.o ap.org rg nmap -sP -PE scanme.nmap.org scanme.nmap.org Outros métodos de descoberta de hosts interessante são o “TCP SYN Ping” (-PS lista_de_portas) e o “UDP “UD P Pin Ping” g” (-P (-PU U lis lista_ ta_de_ de_por portas tas). ). Es Estes tes mét método odoss são úteis, pois alguns hosts podem não respondem requisições ICMP, seja por restrições no firewall ou do próprio sistema operacional operacional.. Assim, estes métodos de descoberta enviam pacotes TCP ou UDP a uma porta que pode estar aberta ou fechada. Se a porta estiver aberta, o host certamente irá responder, denunciando a atividade do host. No entanto, se a porta estiver fil-

|32

trada, nenhuma resposta será enviada (bloqueada pelo me mesm smoo fi fire rewa wall ll qu quee im impe pedi diuu de desc scob ober erta ta vi viaa ICMP). Assim, a desvantagem destes métodos, além de serem mais lentos que o “ARP Ping” e o “ICMP Ping”, está na escolha das portas utilizadas, pois se todas as portas escolhidas estiverem filtradas, não será possível detectá-lo, ainda que o host esteja ativo. São exemplos de descobertas de host por “TCP SYN Ping” e “UDP Ping”:

nmap -sP -PS22,80,443 scanme.nmap.org nmap -sP -PU53,631 scanme.nmap.org Varredura de Portas

Esta seção trata da principal funcionalidade do nmap, a varredura de portas. Mesmo quando estava em suas primeiras versões, o nmap sempre foi capaz de fazer a varredura de portas de forma rápida e eficiente. O nmap fornece diversos métodos para realizar varreduras de portas e a escolha de qual método utilizar depende do objetivo que se pretende atingir. Varreduras de portas podem ter por objetivo detectar serviços providos por um host alvo, verificar se um firewall está filtrando requisições de forma adequada ou ainda conf confirmar irmar se a pilha TCP foi implementada implementada conforme especificado na RFC 793 [7]. É importante frisar que embora hajam diversos métodos de varredura de portas disponíveis, só é possível utilizar um por vez. Outro adendo importan importante te é que a maioria dos métodos de varredura de portas exige altos privilégios de usuário. Isto é necessário, pois algums pacote co tess são vei eiccula laddos por soc ockket etss br bruuto toss (n (nãão vinculados a protocolos) que exigem este tipo de privilégios. Outra parte importante na varredura de portas é a listagem de portas (-p). A listagem de portas a serem consideradas separadas por vírgulas e, assim como as faixas de endereços IP, é possível especificar faixas de portas utilizando um hífen. As podem ser associadas a um protocolo manualmente ou automaticamente pelo nmap dependendo do contexto da varredura. Quando os protocolos são especificados manualmente, a listagem de portas é sempre precedida por uma letra que identifica o protocolo utilizado (‘T’ para TCP e ‘U’ para UDP) e quando são especificados automaticamente, basta informar a listagem de portas. Também é possível se utilizar todas as portas através da opção “-p-” ou limitar por uma determinada quantidade de porta mais utilizadas através da opção “-top-ports qtd_portas” e se esta quantidade for 100 é Maio 2012 • segurancadigital.info


possível utilizar o “Fast “ Fast Scan” (-F), que é equivalent equivalentee a “--top-ports 100”. Assim, são exemplos de listagem de portas: -p22-25,80,4 -p22-25,80,443; 43; -pT -pT:22,80,U:53,63 :22,80,U:53,631. 1. A varredura de portas sempre é feita para cada exec ex ecuç ução ão do nm nmap ap,, ex exce ceto to pa para ra o ca caso so do “P “Pin ingg Scan” (-sP), quando é necessário escolher um método de varredura de portas para que esta seja executada. Quando nenhum método de varredura de portas é ex plicitamente plicita mente especificad especificado, o, o nmap executa o “TCP SYN Scan”, caso tenha sido executado por um usuário com privilégio de criar sockets brutos (não vinculados a protocolos), e o “TCP Connect Scan”, caso contrário. O “TCP SYN Scan” (-sS) é considerado pelos desenvolvedores da ferramenta como o método de varredu re dura ra de po port rtas as ma mais is po popu pula larr. Es Esta ta va varr rred edur uraa consiste cons iste em envia enviarr paco pacotes tes TCP com a flag SYN ativada para as portas alvo. Esta flag é ativada para se iniciar uma nova conexão TCP entre os hosts, no entanto o nmap não completa o processo de abertura da conexão (“Three-Way Handshake”, explicado na seção 3.4 da RFC 793 [7]) e por isto é considerado um método bem furtivo e difícil de se detectar. Nesta varredura, uma porta é considerada aberta se a res posta recebida for um pacote com as flags SYN e ACK ativadas. Se a resposta for um pacote com a flag RST ativada a porta é classificada como fechada e se nenhuma resposta for recebida, a porta é classificada como filtrada. Assim, considerando que a faixa de endereços IP 192.168.1.0/16 seja a rede interna, os comandos abaixo são equivalentes (considerando que um usuário privilegiado esta executando as varreduras):

Handshake”, explicado na seção 3.4 da RFC 793 [7]) executado pela chamada de sistema “connect()” [8]. Este método de varredura de portas é mais lento e menos furtivo que o “TCP SYN Scan”, pois a conexão é, de fato, estabelecida, no entanto, por usar a chamada de sistema, esta varredura pode ser executar por um usuário sem privilég privilégios. ios. Nesta varredur varredura, a, uma porta é considerada aberta se a conexão for estabelecida com sucesso. Se a conexão for rejeitada a porta é classificada cl assificada como fechada e se s e o tempo limit limitee para estabelecer a conexão expirar, a porta é classificada como filtrada. Assim, considerando que a faixa de endereços IP 192.168.1.0/16 seja a rede interna, i nterna, os comandos abaixo são equivalentes (considerando que um usuário sem privilégios esta executando as varreduras):

nmap 192.168.1.0/16 nmap -sP -sT 192.168.1.0 192.168.1.0/16 /16 nmap -sP -PR -sT 192.168.1.0 192.168.1.0/16 /16 De forma semelhante, os comandos abaixo tam bém são s ão equivalentes equi valentes para a rede red e externa: exte rna:

nmap scanme.nmap.org nmap -sP -sT scanme.nmap scanme.nmap.org .org nmap -sP -PE -sT scanme.nmap. scanme.nmap.org org

Outros métodos de varredura de portas sobre o protocoloo TCP interessant protocol interessantee são o “TCP ACK Scan” (-sA), “TCP NULL Scan” (-sN), o “TCP FIN Scan” (-sF) e o “TCP Xmas Scan” (-sX). Estes métodos são úteis, pois permitem explorar falhas de configuração de um firewall stateless ou roteador que filtre paconmap 192.168.1.0 192.168.1.0/16 /16 tes, que estejam dificultando uma varredura direta. nmap -sP -sS 192.168.1.0/16 192.168.1.0/16 Estas varreduras enviam pacotes TCP com a flag nmap -sP -PR -sS 192.168.1.0/16 192.168.1.0/16 ACK ativada para o “TCP ACK Scan”, com nenhuma flag ativada para “TCP NULL Scan”, com a flag De forma semelhante, os comandos abaixo tam- FIN ativada para o “TCP FIN Scan” e, finalmente, as bém são equivalent equivalentes es para par a a rede externa: flags FIN, PSH e URG ativadas para o “TCP Xmas Scan”. Scan ”. Esta Estass varre varredura duras, s, em gera geral, l, são exec executad utadas as nmap scanme.nmap.org para agregar informa informação ção a outras varredur varreduras as já exenmap -sP -sS scanme.nmap.o scanme.nmap.org rg cutadas, visto que nem sempre oferecem resultados nmap -sP -PE -sS scanme.nmap.org scanme.nmap.org confiáveis. Isto acontece, pois nem todos os sistemas operacionais implementam sua pilha TCP em conforO “TCP Connect Scan” (-sT) funciona de forma midade com a RFC 793 [7] e respondem de maneiras muito semelhante ao “TCP SYN Scan”. Esta varredu- inesperadas a requisições como as utilizadas para esra consiste em tentar criar conexões entre os hosts na te tipo de varredura. Outro adendo importante é que porta alvo. Isto é feito através da execução completa as soluções mais modernas de IDS/IPS são capazes do Aper Aperto to de Mã Mãoo em Trê rêss Via iass (“ (“Th Thre reee-W Way de detectar e bloquear este tipo de varredura, tornan-

|33



do-as ineficazes. São exemplos deste tipo de varredura:

um serviço detectado do que somente a porta em que este está sendo executado, uma vez que estes serviços podem ser executados em, virtualmente, qualquer nmap -PN -sN -p- 172.17.16.1 porta. Sendo assim, o nmap fornece uma opção para nmap -sX -p21-25,53,80, -p21-25,53,80,443 443 192.168.1.0/24 aferir o serviço e a versão do software provendo este nmap -sP -PP -sA --top-ports 512 serviço através da opção “-sV”. Esta opção tenta obscanme.nmap.org ter, através do envio de pacotes construídos com este propósito, propósit o, descobrir qual serviço está sendo provido Existem também métodos de varredura de portas de fato e sua versão aproximada. Vale ressaltar que sobre outros protocolos além do TCP TCP.. A varredura so- se o nmap for compilado com suporte a OpenSSL, a bre o protocolo UDP é chamada “UDP Scan” (-sU). ferramenta tentará aferir serviço provido e sua versão Esta é a única varredura que pode ser executada si- aproximada mesmo com a camada extra de criptomultaneamente com outras. Diferentemente das ou- grafia. Maiores informações sobre a detecção da vertras varreduras, um pacote UDP vazio é enviado para são de serviços e aplicações podem ser encontradas a porta alvo. Uma porta é considerada aberta se um no capítulo 7 do livro do próprio autor da ferramenta, pacote UDP de qualquer espécie for recebido. Se um disponibilizado gratuitamente em [14]. pacote “ICMP Port P ort Unreachable Unreachable”” (ICMP ( ICMP tipo t ipo 3, códinmap -sP -sS -sV --top-ports 256 go 3) for recebido, se um pacote “ICMP Destination Unreac Unr eachab hable” le” (IC (ICMP MP tip tipoo 3, qu qualq alquer uer có códig digo) o) de scanme.nmap.org qualquer código diferente de 3 for recebido, a porta é classificada como filtrada e se nenhuma resposta for Assim como são publicadas vulnerabilidades para recebida, a porta é classificada como aberta ou filtra- serviços providos em uma rede, o mesmo é acontece da. Maiores informações sobre os protocolos UDP e com sistemas operacionais, portanto também é imICMP e seus tipos e códigos podem ser encontradas portante detectar qual sistema é executado por uma nas RFC 768 [9], 792 [10] e Registro de Parâmetros alvo na rede. O nmap também fornece uma opção do ICMP disponibilizado pela IANA [11], respectiva- para aferir o sistema operacional e sua versão apromente. São exemplos deste tipo de varredura: ximada através da opção “-O”. Esta operação tam bém é conhecida como “OS Fingerpri Fingerprinting”. nting”. Esta nmap -sP -sU -F scanme.nmap.org opção tenta obter, através do envio de pacotes construídos com este propósito, descobrir qual sistema Há também a varredura sobre o protocolo SCTP, operacional está sendo executado e sua versão aprochamada “SCTP INIT Scan” (-sY). O SCTP é um ximada. Maiores informações sobre a detecção re protocolo que combina caracterí características sticas tanto do TCP mota do sistema operacional podem ser encontradas quanto do UDP e introduz novas funcionalidades cono capítulo 8 do livro do próprio autor da ferramenta, mo multi-homing e multi-streaming. Maiores infor- disponibilizado gratuitamente em [15]. mações sobre o SCTP podem ser encontradas nas nmap -sP -sS -sV -O -p- scanme.nmap.org scanme.nmap.org RFC RF C 32 3286 86 [1 [12] 2] e 49 4960 60 [1 [13] 3].. Qu Quan anto to a va varr rred edur uraa SCTP, ela é muito similar à “TCP SYN Scan”, pois nunca completa a associação SCTP e é relativamente Conclusão furtiva e pouco intrusiva. São exemplos deste tipo de O nmap é uma ferramenta que oferece uma gama varredura: de opções úteis e é de grande valia para obtenção de informação para diversas atividades, como auditorias nmap -PN -sY -p- 172.17.16.1 de segurança em geral, mapeamento de redes inteiras, teste em firewalls, etc. Este artigo discutiu apeDetecção de Serviço, Versão e Sistema nas as funcionalidades principais, no entanto ainda Op e r a c i o n a l há muitas outras que não foram, se quer, mencionaAs vulnerabilidades publicadas em entidades es- das, como: o Nmap Scripting Engine (NSE), opções pecializadas, pecializad as, em geral, são eficazes somente sobre de controle de desempenho, opções de evasão de fideterminadas versões de uma dada aplicação. Assim, rewalls/IDS/IPS, opções de spoofing, e muitas oué interessante obter uma leitura mais específica sobre tras. O leitor é encorajado a buscar mais informações

|34



na documentação oficial [2], no livro oficial [3] [4] [5] e outras fontes, como o Webinar #4 da Clavis so bre "NMAP – Software Livre para Exploração de Rede e Auditorias de Segurança" [16]. Vale mencionar que, apesar de não haver legislação especifica que tipifique como crime o ato de executa cu tarr va varr rred edur uras as de qu qual alqu quer er ti tipo po em re rede dess de qualquer espécie, o objetivo deste artigo não é incen-

tivar os leitores a fazer varreduras aleatórias em redes que não são de sua propriedade ou que não se tenha autorização para fazê-lo, mas informar quanto a que tipo de informação relevante pode ser extraída destas varreduras e como estas podem ajudar em auditorias teste de invasão, depuração de firewalls ou administração de servidores, etc.

Re f e rê nc ia s

[1] Nmap - Free Security Scanner For Network Exploration Exploration & Security Audits: http://nmap.org/ [2] Nmap Official Documentation: http://nmap.org/docs.html [3] Nmap Network Scanning, Gordon “Fyodor” Lyon, Insecure.com LCC Publishings. ISBN: 978-0979958717 [4] Exame de Redes com NMAP, NMAP, Gordon “Fyodor” Lyon, Editora Ciência Moderna. ISBN: 978-8573938654 [5] Nmap Network Scanning, Gordon “Fyodor” Lyon, http://nmap.org/book/toc.html [6] RFC 1918 - Addre Address ss Alloc Allocation ation for Private Private Internets: Internets: http://tools.ietf.org/html/rfc1918 [7] RFC 793 - Transmission Control Protocol: http://tools.ietf.org/html/rfc793 [8] Linux Man Pages - Section 2 (System Calls) - connect(): http://linux.die.net/man/2/connect [9] RFC 768 - User Datagram Protocol: http://tools.ietf.org/html/rfc768 [10] RFC 792 - Internet Control Message Protocol: http://tools.ietf.org/html/rfc792 [11] Internet Control Message Protocol (ICMP) Parameters Registry: http://www.iana.org/assignments/icmp parameters/icmp-parameters.xml parameters/icmp -parameters.xml [12] RFC 3286 - An Introduction to the Stream Control Transmission Transmission Protocol: http://tools.ietf.org/html/rfc3286 [13] RFC 4960 - Stream Control Transmission Protocol: http://tools.ietf.org/html/rfc4960 [14] Nmap Network Scanning, Gordon “Fyodor” Lyon, Chapter 7. Service and Application Version Version Detection. http://nmap.org/book/vscan.html [15] Nmap Network Scanning, Gordon “Fyodor” Lyon, Chapter 8. Remote OS Detection. http://nmap.org/book/osdetect.html [16] Webinar Webinar #4 – NMAP – Software Livre para Exploração de Rede e Auditorias de Segurança http://www.blog.clavis.com.br/webinar-4-software-livre-para-exploracao-de-rede-e-auditoriasde-seguranca/

Rafael Ferreira, Henrique Soares, Soares, Bruno Salgado e Jarcy Azevedo Email: [email protected] Blog: http://www.seginfo.com.br Twitter: @rafaelsferreira @rafaelsferreira,, @hrssoares @hrssoares,, @salgado_bruno e @jarcyjr

|35


a ç n a r u g e S e d o a ã ç c t ii a m o lP r o f n – I IS a P d

I n t r o d u ç ão

mos ambientes, recursos, pessoas e ações diferentes para cada modelo mo delo de negócio. negóc io.

Com o atual crescimento e expansão do uso de recursos curs os tecn tecnológ ológicos icos e comp computac utaciona ionais, is, as corp corporaorações mostram a necessidade de um padrão definido Polí tica de Segurança da Informação por regras e procediment procedimentos os para o uso dos mesmos (PSI) O que é “isso” e para que serve? afim de manter o controle e o monitoramento, visanEsse é um tema bastante polêmico no cenário emdo otimizar o investimento em tecnologia e evitar presarial , onde temos corporações que independentes gastos desnecessários devido ao uso indevido dos ati- presarial, vos de TI e acesso a informações não permitidas. De- do tamanho e porte, utilizam cada vez mais os recurtectar tec tar vul vulner nerab abilid ilidade adess do amb ambien iente te tec tecno nológ lógico ico e sos tecnológicos como um diferencial para agilizacriar ações para eliminá-las são alguns dos atuais de- rem e ganhar eficiência nos processos, mas que se safios dos profissionais ligados à área de segurança não forem utilizados de maneira controlada, acarretam em desperdício de tempo, dinheiro, credibilidade da informação. Neste artigo vou descrever como formular e im- e reputação no mercado devido à falta de um conjun plementar uma políti política ca de segurança da informaçã informaçãoo to de regras e padrões sobre o que deve ser feito para de forma simples e eficiente para mantermos o con- assegurar que as informações e serviços importantes trole a um nível adequado visando proteger os recur- para a empresa recebam a proteção necessária de forsos da corporação de forma a termos um ambiente ma a garantir os três princípios básicos da segurança menos vulnerável e consequentemente mais seguro e da informação: confidencialidade, integridade e dis ponibilidade, dade, chamada de Políti Política ca de Segurança da produtivo,, mantendo os usuários informad produtivo informados os sobre a ponibili Informação (PSI). politicaa de segurança da informação. politic i nformação. Sua fun função ção bás básica ica con consis siste te em es estab tabele elece cerr pa pa-Disseminar a política de segurança da informação é essencial, pois através dela estabelecemos padrões, drões, responsabilidades e critérios, para o correto responsabilidades e critérios para o manuseio, arma- funcionamento da rotina empresarial. É extremamenzenamento zena mento,, trans transporte porte e des descarte carte das infor informaçõ mações. es. te recomendável a criação da política antes da ocorrência cia do( do(s) s) pri primei meiro( ro(s) s) inc incide idente ntess rel relac acion ionado adoss à Cada política é personalizada para cada caso, pois te- rên

|36



Informativa: Possui caráter informativo. Nenhusegurança da informação. Ela pode ser usada para documentar o processo de controle de qualidade e ma ação é desejada e não existem riscos, caso não também tamb ém para evita evitarr probl problemas emas legais com o mau uso seja cumprida. dos recursos disponíveis. Características básicas: Devido a sua abrangência ela é subdividida em - Pode contemplar observações importantes e três blocos designados: diretrizes, normas, procediadvertências severas, o item mais importante da mentos e instruções, sendo destinadas às áreas estraPSI é a especificação, que deve ser breve, vocabutégi té gica ca,, tá táti tica ca e op oper erac acio iona nal. l. A im impo port rtân ânci ciaa de lário simples, e formalizar o que é esperado dos expressa expr essarr o valo valorr que a empre empresa sa atribui para suas infuncionários na utilização dos recursos tecnológiformações e disseminação da cultura organizacional cos. Deve ser bem completa e suficiente para saber são partes das diretrizes, o que é algo bem estratégise aplicáveis para eles ou não. co, conforme mencionado anteriormente. Quando entramos na subdivisão tática, estamos liAgora que temos a definição básica da nossa PSI, gados diretamente às normas, detalhamento de ambi- precisamos saber o que proteger e até onde a política entes, situações, processos e orientações para o uso de segurança da informação tem a sua abrangência. adequado do que a empresa tem de maior valor, a in- Para isso precisamos levar em conta alguns elemenformação. Para uma maior eficiência deve ser basea- tos do nosso ambiente, como Hardware, Software, da na versão mais atual da BS 7799 ou ISO 27001. A Informação, Acesso Físico e a Documentação do am parte de procedimen procedimentos tos e instruçõ instruções es deverá conter o biente a ser coberto. maior número de situações possíveis com o a ação Podemos citar alguns: correta em determinada situação. - Hardware: servidores, estações, switches, im pressoras, roteadore roteadoress PSI – – Tipos de Politica - Software: sistemas operacionais, editores de O tipo de política varia de acordo com o modelo texto, planilhas, mensageiros mensageiros.. de negócios e intenção do controle e punição no des- Informação: armazenamento, manuseio, descumpri cum primen mento to da mes mesma. ma. Pod Podemo emoss cit citar ar trê trêss tip tipos os carte, backup, logs. mais conhecidos conhecidos:: - Acesso físico: entrada em ambientes críticos, Regulatória: É definida como se fosse uma série câmeras, roletas, crachás. de especificações legais. É implementada devido ás - Documentação: todos os itens anteriores e exnecessidades legais que são impostas à organização. tras pertinentes à organizaç organização. ão. Características básicas: Com base no levantamento acima precisaremos saber sab er de que quem m pro proteg teger er est estes es ele elemen mentos tos.. Abaixo Abaixo - Prover conforto à organização na execução de mostramos uma tabela simples e básica como exemsuas atividades; - Assegurar que a organização está seguindo os plo: procedimentos procediment os e normas padrões para o ramo em Propriedade Intelectual – Atribuição de fontes que ela atua. de informação Consultiva: Apenas sugere quais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade. Características básicas: - Falhas no processo de comunicação com a Alta Administração; - Perda de prazos de compromissos importantes; - Aumento da possibilidade de omissão de informações importantes para a tomada de decisões críticas.

|37

A informação é um bem da empresa. Armazenamento,, salva e descarte de dados. Armazenamento Salva: o quê, quando, como, frequência e periodicidade da revisão. Armazenamento:: on-site ou off-site? Armazenamento Período? Recuperaç Recuperação? ão? Incidentes – Determinar de quem é a responsa bilidade Notificação Notifi cação a órgãos responsávei responsáveiss e autoridades. Penalização perante as leis e investigações de evidências (Forense). Maio 2012 • segurancadigital.info


Acima temos alguns itens nesse vasto levantamento que terá que ser criado. D i f i cu l d a d e s n a I m p l e m en t a ç ã o

ma modificação. Penalidades da violação das polí ticas de s e g u r a n ç a d a i n f o r m a çã o

O estabelecimento e aplicação das punições a toEm uma nova organização temos a noção de que a dos os funcionários pelo descumprimento da PSI torimplementação ocorre de maneira simples e “silencinam-se necessário com o objetivo de dar respaldo osa”, pois novos funcionários assumirão estas res jurídi co a organização e como uma forma de incenti jurídico ponsabilidades ponsabili dades e estarão cientes da polític políticaa desde o vo para todos aderirem, isso é claro de acordo com a primeiroo dia primeir d ia de expediente tendo que assinar o Termo cultura de cada organização. A seguir temos um exde Concordância das Condições de Uso dos Recursos emplo de implementação prática e um termo de aceiComputacionais Corporativos, assim assumindo toda tação da nossa PSI de forma a orientar ao leitor desse a responsabilidade sobre as regras a ele impostas. artigo e explorar sua criatividade na criação da mesEm organizações já existentes, onde após analisarma. mos e classificarmos como um ambiente “caótico”, a Esses documentos devem ser anexados a pasta de implementação tende a ser mais complexa e “barudados contratuais de cada funcionário. lhenta”, devido aos vícios, comodismos, e métodos incorretos de trabalho, o que acaba prejudicando a PSI – – E x e m p l o b á s i c o p ar a u s o n a em organização organizaç ão como um todo. A frase abaixo demonstra p r e sa o item fundamental nessa implementação de modo a Segue abaixo o modelo básico de uma PSI para superar todas as barreiras que possam retardar ou deuso na empresa. A mesma pode ser adaptada para o sativar a implementação da PSI: perfil da corporação cor poração em que qu e a mesma for f or aplicada. apl icada. A política de segurança da informação deve contar como o total comprometimento da alta direção NOME NOM E OU LOGO DA EMP EMPRES RESA A XXX da organização, incluindo a assinatura do mais alto Política de Uso do Acess Acessoo Corporativo à Internet executivo da mesma, explicitando assim o seu total A informação contida neste documento é confiapoio à implementação da política. dencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído P u b l i ca ç ã o e d i vu l g a ç ão fora da Empresa XXX. Para conseguir a aderência da PSI de forma sincronizada entre os funcionários, é preciso utilizar os 1. OBJETIVO mais diversos meios de publicação e divulgação da Estabelecer regras para o uso apropriado da InterPSI. Podemos sugerir a elaboração de materiais pronet na empresa XXX. O propósito da empresa em mocionais, palestras de conscientização, jornais e foconceder o direito de acesso à Internet aos seus funlhetos internos, disponibilizar um manual básico na cionários é, única e exclusivamente, permitir que os intran int ranet et e int intern ernet et em loc locais ais ond ondee tod todos os po possu ssuam am mesmos obtenham as informações necessárias ao deacesso, mas que não possam modificar o conteúdo sempe sem penho nho das ati ativid vidade adess cor corpor porati ativa vass de mod modoo a mantendo assim o conceito de integridade e disponiatingir os objetivos de negócio da empresa. bilidade. A t u a l i z aç ã o e r e vi sã o d a P S I

A política deve ser constantemente revisada e atualizada, de forma a cobrir o maior número possível de ativos na organização e objetos de valor ex: informação, hardware, software etc. A atualização tornase importante caso uma norma seja descumprida, ela tem que ser a mais recente e refletir o atual cenário de trabalho da empresa. Costuma-se usar no final da políticaa o controle da versão, autor (es) e data polític d ata da últi-

|38

2. ÂMBITO Esta política abrange todos os funcionários autorizados a acessar a Internet através da rede corporativa da empresa XXX. 3. DEFINIÇÕES Usuários – funcionários da Empresa XXX autorizados a acessar a Internet através da rede corporativa. Internet – rede mundial de computadores. Maio 2012 • segurancadigital.info


Intranet – rede corporativa de computadores. Acesso à Internet – inclui, mas não se limita, o acesso a web sites, o envio e recebimento de e-mails, a transmissão e o recebimento de arquivos e a execução de aplicativos de Internet, através de computadores da rede corporativa.

4. POLÍTICA 4.1 USO ACEI ACEITÁVE TÁVEL L O acesso à Internet concedido pelo escritório aos seus funcionários tem como objetivo ser utilizado como ferramenta para auxiliar os usuários na realização das tarefas corporativas diárias e a obter vantagens competitivas relacionadas aos negócios da empresa. A Empresa XXX tem o direito de monitorar e controlar cont rolar o aces acesso so à Inter Internet net a partir da sua rede cor porativa. Os usuários não devem ter qualquer expectati tivva de privacid idaade no que diz re resspeito à informação transmitida e/ou recebida através do(s) acesso(s aces so(s)) e recu recursos rsos corp corporati orativos vos disp disponibi onibilizad lizados os pela organização. Devido à existência na Internet de pessoas e/ou organizações com intenções hostis, os usuários devem estar cientes da importância e da obrigatoriedade do co corr rret etoo us usoo do doss re requ quis isit itos os de se segu gura ranç nçaa disponíveis nos recursos corporativos que utilizam. Envolver-se na observação ou na troca de materiais ria is que ten tenham ham co conte nteúdo údo de na natur tureza eza odi odiosa osa,, obscena, discriminatória, ofensiva ou visando assédio sexual; Envolver-se em qualquer tipo de negócios privados para obter lucros ou ganhos pessoais; Envolver Envo lver-se -se em qual qualquer quer ativi atividade dade ilega ilegal, l, incluindo jogos de azar, carregar ou baixar softwares sem a permissão dos detentores de seus direitos de copyright e/ou softwares que estão sujeitos ao controle de exportação de seus países de origem; Interferir intencionalmente nas operações normais dos equipamentos da rede corporativa com a Internet (gateway de Internet), ou de qualquer outro site; Acessar materiais não relacionados aos negócios do escritório, tais como o acesso a rádios, a sites que distribuam imagens, áudio e/ou vídeo (streaming vídeo), diários eletrônicos (blogs) e etc. Baixar materiais não relacionados ao desempenho das atividades corporativas, como arquivos de

|39

imagens, áudio e vídeo e/ou programas de uso pessoal, mesmo que gratuitos (freewares); (f reewares); Tenta entarr ganh ganhar ar aces acesso so nãonão-autor autorizad izadoo a outro outross serviços disponíveis na Internet; Enviar Env iar e/o e/ouu rec receb eber er,, mes mesmo mo que esp espora oradic dicaamente, e-mails excessivamente grandes ou mensagens de correntes eletrônicas; Envolver-se em atividades que violem políticas de outras empresas e/ou que possam ser contrárias aos interesses do escritório; Abrir ou baixar arquivos de sites da Internet, grupos de notícias (newsgroups), contas de e-mails externas ou de outras fontes, sem as devidas precauções para a detecção de vírus; Revelar informações confidenciais ou de pro priedade da organização para destinatár destinatários ios não autorizados, através de qualquer meio; Transm Tr ansmitir itir infor informaçõ mações es conf confiden idenciais ciais ou pro prietárias prietár ias para destinatár destinatários ios autorizad autorizados, os, localizadoss fo do fora ra da re rede de co corp rpor orat ativ iva, a, se sem m os de devi vido doss cuidados relativos à integridade das informações; Usar o aplicativo de mensagem instantânea cor porativo (Messenger (Messenger), ), para divulgar informaçõ informações es confid con fidenc enciai iaiss ou de pro propri prieda edade de da or orga ganiz nizaçã açãoo para destinat destinatários ários que não sejam usuários da rede corporativa; Divulg Div ulgar ar co conta ntas, s, ide identi ntific ficad adore ores, s, sen senhas has de acesso e/ou de usuário ou qualquer outro tipo de identificação corporativa pessoal, com pessoas ou programas localizado localizadoss fora for a da rede corporati corporativa. va.

4.2 USO INACEITÁVEL Os usuários não podem usar seus privilégios de acesso à Internet para: 5. SANÇÕES Qualquer usuário que, comprovadamente, venha a violar a presente política corporativa estará sujeito, dependendoo da gravidade da infração, a: dependend Ter seu acesso à Internet restringido ou mesmo cancelado; Ter rescindido o seu contrato de trabalho ou de prestação de serviços; ser viços; Responder a processo criminal.



6. CONTROLE DE VERSÃO Versão: 01 Data: 24/04/2010 Autor: PAULO MORAES / Rio de Janeiro Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos A informação contida neste documento documento é confidencial e de propriedade da Empresa XXX. Este documento não é para ser reproduzido ou distribuído fora da Empresa XXX. Declaro ter lido o documento Política de Uso do Acesso Corporativo à Internet de 03/04/2011, 03/04/2011, disponíveis na rede interna e im presso, e atesto que: Entendi e compreendi completamente o conteúdo das políticas; Estou plenamente ciente de que, em caso de violação das referidas políticas, estarei sujeito a ações disciplinares e legais. Data: __ / __ / 20____ Nome: _________________________ ____________________________________ ______________________ _____________ __ Assinatura: ___________ ______________________ ______________________ _______________________ ____________ IMPORT IMPOR TANTE: Este documento deve ser anexado à pasta corporativa do funcionário.

R e f er ên ci as B i b l i o g r á f i c a s

MARTINS, José Carlos Cordeiro – Gestão de Projetos de Segurança da Informação – Editora Brasport FERREIRA, Fernando nicolau Freitas – Segurança da Informação Websites Websites – www.modulo.com.br

Paulo Moraes É profissional de TI com mais de 10 anos de experi experiência ência,, com formação em Redes de Computadores e Espe Es peci cial aliz izaç ação ão em Se Segu gura ranç nçaa da Informação, possuindo as certificações MCSO (Módulo Security), Security + (Comptia), ISO 27002/ITIL (EXIN) , MCTS e MCSA (Microsoft). Autor do livro Mente Antihac Antihacker ker - Protej Proteja-se a-se (Bras (Brasport port - Abr/2011) Abr/2011).. Atua At ua no me merc rcad adoo co como mo Co Connsu sult ltor or de Se Segu gura ranç nçaa da Informação. E-mail: [email protected] Twitter: @paulosec

|40


A investigação nas nuvens traz novos obstáculos que os profissionais devem ter ciência para um trabalho bem sucedido.

n e i b g n i m a t u p me m o l c a ti d g i u o d l ai c e c í d r s e P e t

I n t r o d u ç ão

A Cloud Computing ou computação nas nuvens já é uma rea realid lidade ade par paraa as emp empres resas as qu quee pro procu curam ram,, principalmente, principal mente, redução de custos com sua infraestrutura e garantia de disponibilidade de acesso aos seus se us se servi rviços ços loc locali alizad zados os em div divers ersos os da datac tacent enters ers disperso disp ersoss geog geografic raficamen amente. te. Não é mais nece necessár ssário io um investimento alto caso se adote uma solução "nas nuvens", mas deve-se preocupar ainda mais com fatores tais como a segurança, as responsabilidades so bre uma fraude, o vazamento de informaçõe informações, s, os aspectos legais envolvidos, como e onde buscar por respostas em caso de incidentes; que possuem uma aborda abo rdage gem m dif difere erente nte com rel relaçã açãoo à inf infrae raestr strutu utura ra convencional. Nosso objetivo aqui é proporcionar a você o entendimento sobre as questões relativas à perícia digital na cloud computing e os fatores important ta ntes es qu quee dã dãoo um to toqu quee pa part rtic icul ular ar ne nest stee no novo vo cenário. A forense digital em ambientes de cloud computing ti ng ta tamb mbém ém é co conh nhec ecid idaa co como mo Cl Clou oudd Fo Fore rens nsee (Cloud (Cl oud Foren Forensic sics) s) e pode ser entendi entendida da como um subconjunto da análise forense em redes de computadores, uma disciplina cruzada entre a Cloud Computing e a perícia forense digital, que por sua vez fazem parte deste último grupo:

|41

Como citado anteriormente, a cloud forense possui algumas particularidades que irão influenciar direta re tame mennte no ato in inve vessti tiga gati tivvo. A bus uscca por disponibilidade constante nos serviços oferecidos pelos provedores de serviços em nuvem (CSPs), por espaço para hospedagem de dados e redução de riscos à fal falhas has,, ali alinha nhados dos a um bom custo custo benefíci benefício, o, que ofereça um produto final de qualidade com valores competitivos trazem ainda mais complexidade no cenário da perícia em cloud computing. Desta Des ta for forma, ma, de defin fini-s i-see du duas as car caract acterí erísit sitcas cas qu quee afetam diretamente a perícia, principalmente com relaçãoo aos aspectos laçã aspectos legais: legais: a múltipla múltipla jurisdição jurisdição e a múltipla locação. O primeiro refere-se às várias jurisdições existentes provenientes dos mais variados locais loc ais ond ondee est estão ão loc locali aliza zados dos os dat datace acente nters rs do doss CSPs,, cada qual CSPs qual com sua sua própria própria legislação legislação.. O seMaio 2012 • segurancadigital.info


gundo item denomina a capacidade da nuvem de teA cloud forense possibilita várias abordagens porem seus recursos utilizados por vários usuários ao dendo ser empregada com finalidade investigativa, a mesmoo tempo. Conforme mesm Conforme veremos veremos mais adiante adiante,, es- fim de se constatar que determinado delito fora cotes dois ítens formam os primeiros obstáculos ou fa- metid metidoo forma formando ndo prov provas as válid válidas as para dete determina rminado do tore to ress qu quee ir irão ão di difi ficu cult ltar ar a pe perí ríci ciaa na nass nu nuve vens ns:: a processo judicial judicial.. Pode ser aplicada na resolução de necessidade de cooperação internacional, devido ine- problemas ou para fins de segurança, podendo ser xistência de uma legislação unificada e o acesso si- utilizada na recuparação de arquivos apagados acimultâneo aos recursos nas nuvens, que irão exigir dentalmente. Vale lembrar que apesar da possibilidagrande colaboração dos provedores e seus clientes. de de aplicação nos mesmos moldes de uma perícia Diante deste contexto complexo, Ruan et al. (2011) convencional, seu grau de dificuldade é muito supe propõe a análise da perícia na nuvem sob três dimen- rio riorr e de deman manda da ain ainda da mai maiss capac capacida idade de do pe perito rito,, sões (Marcelo Magalhães Ferreira, 2011 2011): ): contando conta ndo ainda com gran grandes des obst obstácul áculos os difer diferente ente-mente de uma análise convencional. Em um cenário em que um delito ocorreu em uma empresa que possui grande parte de seu acervo com putacional disposto em Cloud Computing, de nada irá adiantar o perito ter acesso a computadores internos, hardwares e informações internas, dependendo do foco em que irá atuar, se o objeto principal da perícia estiver nas nuvens e constatada a impossibilidade de acesso aos mesmos. Ainda mais difícil pode se tornar a identificação do criminoso. Geralmente os provedores possuem registro registross de identif identificação icação de acesso pouco confiáveis e se esconder neste vasto ambiente pode ser tarefa fácil. Métodos, técnicas e procedimentos procedimen tos tradici tradicionais onais da perícia digital podem se mostrar pouco eficientes neste novo contexto.

1. A dimensão técnica: técnica: Envolve os procedimentos e as ferramentas para realizar o processo pericial em ambientes de cloud computing. 2. A dim dimens ensão ão or organ ganiza izacio ciona nal: l: Com rel relaçã açãoo ao ambiente organizacional, este irá contemplar ao menos duas partes: a provedora dos serviços em nuvem e os seus clientes. clientes. Este Este item ainda pode pode se extender extender em vários aspectos, principalmente se houver a terceirização de algum serviço. É importante ressaltar que este possui vários detalhes e desdobramentos, mas como não é objeto de nosso estudo neste momento não aprofundaremos nestes detalhes. 3. A dimensão legal: Os aspectos legais envolvendo a múltipla jurisdição e locação dos serviços em nuvem formam as principais preocupações idenficadas pelos peritos digitais. Estas caracterísitcas já nos dão uma breve noção do grau de complexidade deste novo campo e que os cuidados deverão ser redobrados quando o assunto for a cloud forense.

|42

P r i n c i p a i s o b st á c u l o s e d i f i c u l d ad es

Existem grandes dificuldades na cloud forense. É necessária uma lei ou tratado de cooperação internacional com relação aos aspectos jurídicos envolvendo a cloud computing, de modo a possibilitar uma investigação colaborativa em casos onde seja necessáriaa um ri umaa per eríc ícia ia dig igit ital al.. Is Isso so ser eráá de ex extr treema importância quando se tratar de uma investigação em que estarão envolvidas múltiplas jurisdições. Outro fator que devemos citar é o acesso aos dados. Este acesso pelo perito pode ser muito dificultado em função do modelo utilizado pelos usuários destes serviços. Usuários do modelo IaaS (infra-estrutura como um serviço) tem acesso relativamente fácil aos dados enquanto usuários do modelo SaaS (software como um serviço) tem acesso a pouco ou a nenhum dado. De acordo com Marcelo Magalhães Ferreira apud RUAN, "os provedores de SaaS podem não prover acesso aos logs de IP dos clientes; os provedores de IaaS podem não prover os dados forenses tais como as recentes máquinas virtuais e imagens de disco. Na nuvem, os clientes têm acesso reduzido a Maio 2012 • segurancadigital.info


arquivos de log e metadados relevantes em todos os níveis, assim como a habilidade de auditar operações da rede dos seus provedores e conduzir o monitoramento em tempo real nas suas próprias redes". O acesso aos dados pelo perito é fator chave para a perícia. Desta forma, alguns procedimentos da perícia poderiam ser comprometidos em caso da impossi bilidade do acesso aos mesmos. O trabalho em cópias cóp ias,, ver verifi ificaç cação ão de int integr egrida idade de por ger geraç ação ão de hash poderiam se comprometidos tornando facilmente anuláveis as provas construídas, uma vez que não se conseguirá comprovar a integridade da cópia efetuada. Somado a isto, a instabilidade dos servidores e a possibilidade de acesso aos dados por terceiros durante a realização das cópias de segurança para análise,, le se leva va-n -nos os a um co cont ntex exto to em qu quee a ca cade deia ia de custódia poderia ser comprometida, não sendo possível ga garan rantir tir qu quee ape apenas nas os pe perito ritoss tiv tivera eram m ace acesso sso àquela determinada informação. Outro fator a ser analisado é com relação aos logs de auditoria. Mais uma vez há a necessidade de leis que estabeleçam critérios relativos ao tempo de guarda dos logs, ips e metadados que em vários casos são elementos essenciais para a resolução de um caso. Em conjunto poderia-se verificar uma forma de acesso a estes logs de maneira que o acesso a nível físico não comprometesse outras instância instaladas no mesmo meio. Em suma, isto quer dizer que, numa máquina servidora em que têm-se várias instãncias de hospedagem – utilizando-se de recursos como virtualização por exemplo, seus logs a nível físico estivess ve ssem em se sepa para rado doss a ta tall po pont ntoo qu quee um umaa an anál ális isee forense em um deles não comprometesse o outro que compartilha a mesma infraestrutura, garantindo e validade da evidência. De qua qualqu lquer er for forma, ma, som somen ente te ret reter er e ide identi ntific ficar ar unicamente esses logs não é o suficiente, para que o traba tra balho lho do pe perito rito sej sejaa fac facili ilitad tado. o. Ser Seria ia ne neces cessár sária ia uma unificação dos formatos dos arquivos de log. Sa bemos que este item não é fácil de ser aplicado mas tem de ser colocado para avaliações futuras. Falando sobre a virtualização, podemos ter várias instâncias em funcionamento através de hypervisor – uma técnica de virtualização na qual é permitida que vários sistemas operacionais compartilhem os mesmos recursos físicos, sendo que problemas ocorridos neste nível podem danificar os recursos que este gerencia e consequentemente comprometer a investigação. Relacionado aos logs temos também a reconstru-

|43

ção de eventos. A sincronização dos tempos ou horários de ocorrências dos fatos é fundamental para a reconstrução e correlacionamento das datas aos fatos, o que permite o desenvolvimento da linha de tempo do caso em questão. Esse sincronismo é extremamente difícil, uma vez que temos um grande número de recursos interligados nas nuvens e nos mais diversos formatos, como por exemplo terminais fixos e móveis espalhados em várias regiões geográficas. Sabemos também que na perícia digital uma fonte de busca importante, onde pode-se encontrar evidências, são arquivos arquivos e/ou dados apagados. apagados. Mas nas nunuvens, diante de toda a complexidade vista até então, como recuperar estes dados, identificar suas propriedades como por exemplo, quem é o proprietário, formatos, datas de acesso, modificação, etc e utilizá-los na reconstrução de eventos? Como ter acesso a este dados? Co nc lus ã o

Podemos observar que ainda existe muito a se desenvolver quando se tratar de “investigação nas nuvens”. A cloud computing ainda é uma disciplina relativamente nova, mas vem crescendo a passos largos, de modo que muitas vezes este avanço não é acompanhado por maturidade legal e questões relativas à segurança da informação. As dificuldades residem na variedade dos serviços ofertados, em que dependendo do tipo de serviço, os controles de segurança podem se perder lentamente, pois as responsa bilidadess podem ir sendo terceiri bilidade terceirizadas. zadas. Solucionar casos em que este ambiente está envolvido pode ser complicado e não haver tempo hábil para tanto, pois hoje existem prazos estabelecid estabelecidos os na base legal e que têm que ser cumpridos. Existe grande burocracia envolvida com relação à investigação na cloud computing. Mesmo com tantas dificuldades, abre-se também um leque de oportunidades para aqueles que possuem interesse pela área. Há muito que se desenvolver em termos de ferramentas, aspectos legais, novas técnicas e serviços para atuação específica neste meio e isto pode se tornar um negócio vantajoso para quem deseja ingressar neste cenário. Deve-se, para tanto, observar que todo trabalho neste contexto deverá ser realizado com ainda mais empenho do que a forense digital nos moldes convencionais, pois há mais dificuldades inseridas que devem ser transpostas com muita mui ta efi eficiê ciênc ncia ia e efi eficác cácia. ia. Con Contud tudo, o, um tra trabal balho ho bem realizad realizadoo é sinônimo de retorno garantid garantidoo a toMaio 2012 • segurancadigital.info


das as partes envolvidas. B i b l i o g r a fi a

CAIXETA, Thiago Fernandes CAIXETA, Fernandes Gaspar. Gaspar. PERÍCIA PERÍCIA FORENSE DIGITAL DIGITAL - A tecnologia da informação informação como ferramenta estratégica no combate ao crime. FERREIRA, Marcelo Magalhães. Perícia Forense Computacional em Cloud Computing – Um Breve Rehttp://pt.scribd.com/doc/86893935/Ma /doc/86893935/Marcelo-Ma rcelo-Magalhaes-Ferr galhaes-Ferreira-Pericia-For eira-Pericia-Forenenlato. Disponível em: < http://pt.scribd.com se-Computacional-Em-Cloud-Computing-Um-Br se-Computacional-Em-Clo ud-Computing-Um-Breve-Relato-Monogr eve-Relato-Monografia afia >. Aces Acesso so em: 01 maio. 2012. 2012. LIMA, Caio César Carvalho. Aspectos legais da Perícia Forense Computacional Computacional em um cenário de Cloud Computing. Disponível em: < http://caiolima.me/wp content/uploads/20 content/uploads/2010/09/Caio-C%C3%A9sa 10/09/Caio-C%C3%A9sar-Carr-Carvalho-Lima-ICCyber-2010.pdf >. Acesso em: 22 abr abr.. 2012. RAMOS, Robson da Silva, ESES, Nicholas Istenes. O Impacto do Cloud Computing no Processo de Perícia Digital: < http://pt.scribd.com http://pt.scribd.com/doc/55358724/O-Impa /doc/55358724/O-Impacto-do-Cloud cto-do-Cloud Computing-no-Pr Computing-no-Processo-de-Pe ocesso-de-Pe-abr. 2012. ricia-Digital >. Acesso em: 24 abr. VERDI, Fábio Luciano. Cloud Computing, Data Centers e Governo: desafios e oportunidades. Disponível em: < http://www.ppgccs.net/verdi/csbc_wcge10.pdf >. Acesso em: 28 abr abr.. 2012. KEYUN Ruan, Ibrahim Baggili, Prof Joe Carthy, Prof Tahar Kechadi . Survey On cloud forensics and critical criteria For cloud cloud forensic capability: A preliminary analysis. analysis. Disponível em: . Aces KEYUN Ruan, Prof. Joe Carthy, Prof. Tahar Kechadi, Mark Crosbie. Cloud forensics: An overview. Dis ponível em: < http://cloudforensicsresearch.org/publication/Cloud_Forensics_An_Overview_7th_I FIP.pdf FIP .pdf >. >. Aces Acesso so em: 01 maio. 2012. 2012.

Thiago Fernandes Gaspar Caixeta Graduado em Ciência da Computação e MBA em Gestão da Segurança da Informação pela Universidade Fumec, atua na área de TI como Analista de Sistemas e Segurança Segura nça da Inform Informação. ação. Entusia Entusiasta sta da forense computacional.

E-mail: [email protected] Twitter: @tfgcaixeta

|44


s w o d n r i a W d u o j a m o e t C e - d a o i p r o r t i e v d r u e A S

As informações, com certeza, são os bens mais enganado. Após todo o processo de implementação é valiosos que podemos ter no nosso mundo, pois é necessário verificar se tudo corre conforme o prograuma das poucas coisas que quando conseguimos não mado e uma técnica para ver se as tarefas estão sendo nos podem ser retiradas. executadas da maneira como foram projetadas é rea No mundo empresaria empresariall elas possuem um nível lizar uma auditoria. ainda maior, que podem determinar um caso de suA auditoria de uma forma resumida é uma tarefa cesso ou não, ou um diferencial entre as concorren- onde se realizam testes para verificar se tudo está tes, o chamado know-how. E protegê-las cada dia que sendo executado dá maneira correta, mas quando vo passa é uma tarefa t arefa de suma sum a importância. imp ortância. cê fala em auditoria muitas pessoas pensam em alguTécnicas para isso é que não faltam, entre elas es- ma empresa indo a outra e realizando esses testes e tão as mais simples como definir permissão de aces- no final gera um relatório sobre o que está certo e sos através do sistema de arquivos ou por permissão normalmente o que está errado, mas uma auditoria de compartilhamentos, que de uma forma rápida defi- pode ser realizada internamen internamente te e como estamos fane quem pode e quem não pode acessar os arquivos, lando de acesso a informações a família Windows ou definir os níveis de permissão de acesso a arqui- Server fornece uma ferramenta embutida nela, para vos tais como leitura e escrita, mas também existem realizar essa função e de rápida implementação e isso as técnicas mais avançadas como criptografia de da- é que será abordado nesse artigo. dos usando chaves assimétricas, onde somente quem A seguir será implementado uma auditoria de fa possui as chaves apropriada apropriadass podem acessar os da- lha de acesso a arquivos e verificação de quem apados. gou um arquivo. Para a proteção dessas informações implementar essas técnicas é um dos princípios da segurança da Configurando o seu servidor para realizar informação, mas não é o suficiente, não adianta você auditoria de arquivos O primeiro passo para realizar uma auditoria em implementá-las sem monitorar, pois quem pensa que uma vez que esteja executando e em produção o pro- um Windows Server é habilitá-la e para isso crie uma cesso está perfeito, na verdade está é perfeitamente GPO na OU do servidor em que ela será executada

|45



ou defina-a nas políticas locais. Nota: Para um melhor gerenciamento é melhor criar uma GPO, pois assim você pode configurá-la sem ter que logar localmente além de poder ter um relatório do que está habilitado ou não. Ao criar a GPO vá até a seguinte configuração: Computer Configuration (Configuração de CompuWindows ows Settin Settings gs tado ta dor) r) > Policies (Poli (Politicas ticas)) > Wind Security ity Settin Settings gs (Confi (Co nfigu guraç rações ões do Wind indows ows)) > Secur (Configuração de Segurança) > Local Policies (Politicas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em “ Audit Object Access” (Auditoria de Acesso a Objetos). Obs: A politica acima é para ser criada no Windows Server 2008 no 2003 o caminho é diferente: Computer Configuration (Configuração de Computador) > Windows Settings (Configurações do WinSecuri urity ty Set Settin tings gs (Co dows) > Sec (Confi nfigur guraçã açãoo de Segurança) > Local Policies (Politicas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em “Audit Object Access” (Auditoria de Acesso a Objetos). Na janela que aparecer marque as opções “Success” (Sucesso) e “Failure” (Falha), isso para poder termos a opção de selecionar as opções de falha e sucesso na auditoria, conforme a imagem abaixo:

Pronto já habilitamos o servidor para que ele possa realizar auditorias, mas ele não está auditando nada ainda, para isso precisamos definir o que será auditado no nosso caso queremos que ele audite os acessos indevidos a pastas e os arquivos apagados com sucesso. Para isso logue com uma conta com direitos administrativos no servidor onde a auditoria foi habilitada, vá até a pasta onde ela será realizada e clique com o botão direito nela e depois em “ Properties” (Propriedades) e após na aba “ Security” (Segurança), em seguida em Advanced (Avançado).

Clique na aba “ Auditing” (Auditoria), aparecerá uma tela perguntando se você está logado com um usuário com direitos administrativos e pergunta se quer continuar então clique em continue.

Obs: No Windows Server 2003, esse passo não existe.

|46



dos com sucesso e os arquivos com falha de leitura(sem acesso), então marque a opção “delete” na coluna “Successfull” (sucesso) e “List Folder/ Read Data” (Listar Pasta / Ler Dados) na coluna “Failed” (Falha).

Na tela seguinte clique em add (adicion (adicionar) ar) para definir as regras da auditoria, ou seja o que deve ser auditado.

A seguir aparecerá uma tela pedindo qual usuário será auditado, no nosso caso queremos que ele faça uma auditoria de todos os usuários, então digite o nome “everyone” (todos) e clique em “Ckeck Names” (Checar nomes) e depois em OK

Dica: Não marque todas as opções, pois a visualização da auditoria ficará comprometida, isso será ex plicado mais a frente. fr ente. Pronto agora a auditoria já está habilitada e configurada o próximo passo e visualizar visualizar.. Visualizando os logs de auditoria

Agoraa qu Agor quee o se seuu se serv rvid idor or es está tá pr prep epar arad adoo pa para ra audi au dita tarr, co como mo po pode demo moss vi visu sual aliz izar ar os da dado doss qu quee necessitamos? A ferramenta é simples de usar e todos nós conhecemos que o: Event Viewer Viewer ou Vis Visualisador ualisador de Eventos, com ele basta ir nos logs de segurança (security) para verificar o que precisamos, porém é uma tarefa difícil verificar essas informações por ele, por um simples motivo que mostrar mostrarei ei na imagem abaixo:

Após, aparecerá uma tela pedindo o que quer ser auditado, no nosso caso os arquivos que são deleta-

|47



Notaram que ele gera inúmeras informaç informações ões e até você achar o que precisa, tendo que verificar entrada por entrada para descobrir o que quer é chato. Se você já sabe o que procura, você pode fazer um filtro e ele já te retorna os valores que quer, no nosso caso quer qu erem emos os de desc scob obri rirr qu quem em de dele leto touu um ar arqu quiv ivoo e quem tentou acessar um arquivo não permitido. Nota: Quando foi falado acima para não marcar todas as opções foi justamente por causa das inúmeras informações que são gravadas nos logs, se caso deixasse tudo habilitado seu log ia estourar rapidamente. Para verificar o arquivo deletado basta filtrar pelo evento 4663 e ele te informará quem deletou o arquivo e que horas, conforme imagem abaixo:

Nota: No Windows Server 2003 o evento é o 560. Neste caso o usuário suporte deletou o arquivo Documento Teste Teste no dia 07/04 as 22:09 E para verificar acesso indevido, tem que filtrar dois eventos o de número 4656 e 5145, o primeiro fala de acesso indevido via acesso local e o segundo via rede, mas ambos dão os mesmos detalhes como mostra a imagem abaixo:

|48

Neste caso o usuário Teste2 tentou acessar a pasta teste e não conseguiu por não ter acesso. Info In form rmaaçã çãoo con onti tida da ond ndee est stáá mar arccado de vermelho na imagem. Nota: No Windows Server 2003 o evento é o numero 560. Nota: Tanto no Windows Server 2008 quanto no 2003 a auditoria apresenta em falha.. Isso é uma forma de você visualizar, a outra é atravé atr avéss do Pow Powers ershel hell, l, é pre prefer feríve ívell usá usá-lo -lo qua quando ndo quer colocar em um relatório fica bem mais simples, pois você pode p ode transformar tr ansformar a saída saí da em um HTML. HTM L. Abaixo segue os dois scripts em powershell para os nossos dois casos:

Arquivo deletado Windows Server 2008 $a = get-eventlog -logname security -instanceid 4663 46 63 |c |con onve vertt rttoo-ht html ml -p -pro rope pert rtyy ti time mege gene nera rate ted, d, message $a = $a| foreach-object {$_ -replace "", "
"} Maio 2012 • segurancadigital.info


$a|Out-File “local do arquivo HTML” Na primeir primeiraa linha do script ele coleta as informações çõ es do doss ev even ento toss de se segu gura ranç nçaa on onde de o ev even entI tID D é 4663 e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a. Na segunda linha ele pega a variável $a e procura pela tag HTML

ao acha-la ele troca colocando uma borda nela. (Essa parte é importante pois ao converter a saída do comando para HTML ele vem sem borda e a visualização no arquivo fica ruim.) Na terceir terceiraa linha o resultado dentro de $a é gravado dentro de um arquivo. (Onde está escrito “local do arquivo HTML” coloque o local onde quer armazena r o arquivo, po r exemplo ‘C:\resultado\auditoria.html”

Windows Server 2003

$a = get-e get-event ventlog log -logn -logname ame secu security rity -entr -entrytyp ytypee fail fa ilur urea eaud udit it –i –ins nsta tanc ncei eidd 56 5600 |c |con onve vert rtto to-h -htm tmll -property timegenerated, message $a = $a| foreach-object {$_ -replace "

", "
"} $a|Out-File “local do arquivo HTML” Na primeir primeiraa linha do script ele coleta as informações dos eventos de segurança onde os tipos são Falhas de Auditoria e o eventID é o 560 e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a. Na segunda linha e terceir terceiraa linha de ambos é a mesma coisa do script de arquivo deletado. Lembre-se: Para criar um script em Powershell Windows Server 2003 você tem que salvar o arquivo com a extensão .ps1. Nota: Geralmente os scripts de powershell não $a = get-eventlog -logname security -instanceid são habilitados para execução por padrão para isso 560 –message “*Delete*” |convertto-html -property antes de executar os scripts acima, rode o comando timegenerated, message Set-ExecutionPolicy Set-ExecutionPo licy Unrestricted $a = $a| foreach-object {$_ -replace "
", Lembrete: O Po Powe wers rshe hell ll na ve vem m in inst stal alad adoo no "
"} Windows Server 2003, para isso tem que baixar e $a|Out-File “local do arquivo HTML” instalar o mesmo. Na primeir primeiraa linha do script ele coleta as informaCom isso verificamos como habilitar, configurar ções dos eventos de segurança onde o eventID é 56º uma auditoria no Windows Server 2003 e 2008 e vee a mensagem do evento possui a palavra Delete e rificarmos como anda o acesso a arquivos em nossa converte a saída para HTML armazenando somente a rede, porém a auditoria de arquivos é somente uma Hora Gerada e a Mensagem e coloca o resultado na parte das ferramen ferramentas tas de auditori auditoriaa no Windows, exisvariável $a. tem outras tais como a auditoria de logon em máqui Na segunda linha e terceir terceiraa linha é a mesma coisa na, para mais informações acesso o link: do script acima. http://technet.microsoft.com/pt br/library/cc779 br/li brary/cc779526(v=ws.10) 526(v=ws.10).aspx .aspx Acesso indevido Windows Server 2008 $a = get get-ev -event entlog log -lo -logna gname me se secur curity ity -en -entry trytyp typee failu fa ilure reau audi ditt -m -mes essa sage ge "* "*fi file le*" *" |c |con onve vert rtto to-h -htm tmll -property timegenerated, message $a = $a| foreach-object {$_ -replace "
", "
"} $a|Out-File “local do arquivo HTML” Na primeir primeiraa linha do script ele coleta as informações dos eventos de segurança onde os tipos são Falhas de Auditoria e na mensagem existe a palavra “file” (comum em ambos os eventos falados acima) e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a.

|49

Laerte Costa Perfil: Formad Perfil: Formadoo em Siste Sistemas mas de Inform fo rmaç ação ão e ce cert rtif ific icad adoo MC MCSA SA 2003, trabalho com admin administraç istração ão de redes, tanto windows quanto linux, a mais de 5 anos e escrevo artigos para o site www.co www .coope operat rati.c i.com. om.br br.. Sou um buscador incessante de informação pois acredito que ela que faz a diferença entre um ser bem ou mal sucedido.. Twitter: @laerte_hc Site: www.cooperati.com.br


NOTÍCIAS ONU vai advertir paí ses membros sobre ris-

cos do ví rus Flame A agência da Organização das Nações Unidas (ONU) encarregada em ajudar os países mem bros a manter em segurança seus projetos nacionais de infraestru es trutu tura ra va vaii em emit itir ir um al aler erta ta sobre o risco do vírus Flame, recentemente descoberto no Irã e em outras regiões do Oriente Médio. A criação do vírus de espionagem Flame e sua recém-descoberta difusão em países como Israel, Irã, Síria e Egito foram bancadas por governos, disse a empresa de segurança digital Kaspersky Labs à BBC.

O cracker é um adolescente de 17 anos que trabalha como professor de informática. >> http://migre.me/9iypm

Especialista detalha brecha que permitia quebra de sigilo do voto

O Tribunal Superior Eleitoral (TSE) realizou em março um evento que deu a especialistas – chamados pelo tribunal de "investigadores" – a oportunidade de testar a segurança da urna eletrônica. Uma equipe da Universidade de Brasília (UnB) conseguiu descobrir um problema na forma como a urna embaralhava o registro dos votos. >> http://migre.me/9iyne Na prática, isso signifi significa ca que, se alguém soubesse a >> http://migre.me/9iynT ordem de votação – por exemplo, que você foi o 5º a votar -, era possível determinar, também, em quem Nuvem força profissional de TI a entender você votou. E a urna não precisava ser violada para mais de ´negócios´ Pesqu Pe squisa isass rec recent entes es mos mostra tram m isso. que o uso de computação em nuve nu vem m é ca cada da ve vezz ma mais is co co-- >> http://migre.me/9iysS mum nas empresas brasileiras e, de acordo com especialistas, 40% dos perfis em redes sociais são spam Assim como ocorreu com o eeste es te no novo vo ce cená nári rioo ex exig igee qu quee mail, o sucesso de redes sociCIOs e CEOs mudem seu comportamento. ais com comoo Fac Facebo ebook ok e Twit witter ter As aplicações na nuvem são usadas especialmente chama a atenção de spammers para economizar dinheiro e reduzir o tempo gasto interessados em monetizar suas com a implantação e gestão de ferramentas de TI. Segundo Erick Vils, fundador da empresa WebSoftwa- ações. Segundo a empresa de segurança Impermium, re, ao optar pelo uso de serviços de nuvem a empresa os spammers são os responsáveis por criar 40% dos muda também o perfil do profissional exigido para perfis em redes sociais como Facebook, Twitter e Pinter Pin teres estt com o int intuit uitoo de dis dissem semina inarr gol golpes pes po por r fazer parte da equipe. meio de links maliciosos compartilhados. compartilhados. >> http://migre.me/9iyoz >> http://migre.me/9iyvJ

Polí cia captura menor que postou fotos de Carolina em site da Cetesb A Polícia Civil de São Paulo apreen apr eendeu deu nes nesta ta man manhã, hã, em Carapicuíba, cidade da Grande São Paulo, o cracker que publicou fotos da atriz Carolina li na Di Diec eckm kman annn no si site te da Companhia de Tecnologia de Saneamento Ambiental (Cetesb).

|50

Co ntribua com nosso projeto?

Envie um email para nossa equipe! [email protected] Maio 2012 • segurancadigital.info

s o r i e c r a P

Venha fazer parte dos nossos parceiros, que apoiam e contribuem com o Pr Proj ojet eto o Se Segu gu-rança Digital. Digital.

|51


www.ablesecurity.com.br

|52 ANÚNCIO AbleSecurity


PARCEIRO 4Li 4Linux nux

»

Segurança em Servidores Linux

Seguranç Segur ançaa da Inf Inform ormaçã açãoo est estáá rel relaci aciona onada da co com m proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamen armazenamento. to. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. O curso Segurança em Servidores Linux ensina o aluno a utilizar ferramentas de segurança FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, possibilitando ao profissional de TI propôr modelos de segurança ran ça co com m fer ferram ramen entas tas con consag sagrad radas as no mun mundo do do software livre. O curso é fortemente focado na criação de procedimentos de segurança pós-instalação, fazendo com que o sistema se torne mais seguro e conscientize o aluno sobre a importância desses procedimentos e da sua obrigatoriedade em todas as implementações.

Para mais detalhes acesse: http://www.4linux.com.br/cursos/cursos-seguranca. html#curso-508

Qu e m d e v e f a z e r e s t e c u r s o e p o r q u e

O curso Segurança em Servidores Linux é indicado para o profissional de TI que: > Se preocupa com a segurança dos servidores da sua empresa; > Deseja identificar e registrar comportamentos que podem afetar o desempenho dos servidores estando em produção ou em ambientes de testes; > Quer minimizar ou eliminar os principais pro blemas e riscos ri scos com a segurança segur ança da sua infra; i nfra; > Quer se tornar especialista em segurança da informação e obter a certificação LPIC 3 – Exam 303;

|53


PARCEIRO Brasport

|54


PARCEIRO HostDi HostDime me

»

Desafios da Gestão de Segurança em Servidores Compartilhados (Final)

Esta coluna tem como objetivo esclarecer um pouco sobre o desafio que enfrentamos todos os dias para ma mant nter er se serv rvid idor ores es co comp mpar arti tilh lhad ados os li livr vres es de ameaças, que teimam em importunar a operação de toda e qualquer empresa que lida diretamente com a hospedagem de sites. Nos dois artigos anteriores falamos sobre as aplicações, que fazem parte de um grande número de portas de entrada muito exploradas por invasores. Além da preocupação com os sistemas, segurança e outros aspectos, há uma proteção em praticamente todos os sistemas que pode ser demasiadamente vulnerável: A SENHA. Você pode achar que este artigo será redundante, mas infelizmente não é. Quanto maior o número de usuários de internet, maior o número de senhas que são vulneráveis a ataques, já que alguns usuários ainda não têm a consciência de que a senha que eles possuem não é segura, a menos que você as formate de um modo seguro. Além da complexidade da senha, existem dois erros muito comuns que também podem fazer com que uma senha seja vulnerável: Usar a mesma senha em todos os sistemas e/ou utilizar a mesma senha por anos. Na ocorrência de uma situação ou outra, sua senha mesmo sendo considerada forte poderá estar tão vulnerável quanto uma senha fraca (ex.: 123456), e não é raro que ambos aconteçam principalmente em ambien amb iente te com compa partil rtilhad hadoo de ser servid vidore ores, s, on onde de uma parte considerável dos usuários possuem conhecimentos básicos de informática. Acredito que a senha evolui juntamente conosco, a cada vez que você tem mais conhecimento, conhece novas pessoas e vive novas experiências, você possui mais informaç informações ões para compilar uma senha mais poderosa e segura. Isto pode parecer estranho, mas se você utiliza uma senha segura e sabe ela de cor e salteado, provavelmente você não gerou através de um algoritmo e cada caractere faz algum sentido para você ou senão o conjunto deles fazem sentido. O q u e p o d e m o s f a z e r p a r a ev i t a r i s t o ?

F i m d a S é r i e D es a f i o s d a G e s t ã o d e S e g u r a n ç a em S e r v i d o r e s C o m p ar t i l h a d o s

Hoje nó Hoje nóss enc encerr errare aremos mos nos nossa sa sér série ie que con contou tou com três artigos sobre as principais vulnerabilidades as quais servidores compartilhados estão suscetíveis à nível de usuário. No entanto, não é o fim da nossa participação partici pação na Revista Segurança Digital Digital.. Traremos outros out ros as assun suntos tos rel relaci aciona onados dos à no nossa ssa ex exper periên iência cia,, mas não limitados à operação de servidores compartilhados. A segurança é muito ampla e, mesmo que falemos tudo, ainda não será o suficiente. Até a próxima edição!

e m i D t s o H

Atualmente não é raro encontrar em sistemas gratuitos ou pagos a exigência de senha complexa e acredito que esta seja uma boa saída para que os usuários usuá rios seja sejam m cons conscien cientizad tizados. os. Além disto disto,, como

|55

profissi onais de segurança devemos cada vez mais profissionais orientá-los sobre os riscos e benefícios de uma ‘sim ples’ senha.

Artigo escrito por Thiago Brandão . Thiago é especialista em segurança e faz parte do time de analistas de SI da HostDime Brasil.


PARCEIRO Kryptus

»

MAS – Mal w ware Analysis System

A ameaça dos códigos maliciosos tem aumentado consideravelmente e centenas de novos exemplares surgem diariamente e com características cada vez mais complexas. O crescimento na quantidade de novos malwares e a utilização de mecanismos que evadem sistemas de segurança fazem com os produtos para defesa comerciali comercializados zados atualment atualmentee tenham uma difícil tarefa na detecção de infecções e ataques nas redes que visam proteger. O kryptus-MAS foi desenvolvido para preencher essa lacuna, analisando malware e aplicações web de forma dinâmica e eficiente, independente da existência de assinaturas de detecção ou vacinas. O KryptusMAS ident identifica ifica muda mudanças nças em arqu arquivos ivos,, proce processos ssos,, chaves de registro e interações de rede em ambientes MS-Windows pré-configurados, tornando possível a tomada de contra-medidas defensivas rápida e efetivamente, mitigando as ameaças e protegendo a rede antes que uma infecção se espalhe. O kryptus-MAS, através de suas análises automatizadas, retira a sobrecarga dos responsáveis pela segurança e gerência da rede, fazendo com que seu foco seja direcionado às medidas defensivas pró-ativas. Além disso, o kryptus-MAS gera relatórios gerenciais e técnicos, dando visibilidade das ameaças para os administr administradores adores da rede. Sua escalabili escalabilidade dade permite a geração de centenas ou até milhares de análises anál ises diária diárias, s, depe dependen ndendo do da vazã vazãoo requi requisitad sitada, a, aumentando assim o nível de proteção da rede e a base de conhecimento sobre as tendências de ataque e ameaças correntes.

Instalação e manutenção : Fácil instalação e gerenciamento, configuração mínima, alta vazão e escalabilidade. Uso simples, mas completo: Interface de gerenciamento simples e intuitiva. Provisão de relatórios gerencia iaiis e técnicos com diversos níveis de informação. Contra-medidas: Defesa pró-ativa da rede através da provisão de tendências de ataque e listas de bloqueio de endereços infectados de forma automática, configurando IPSs. Anális Aná lisee com compor portam tament ental al de mal malwar wares es: Extrai mais informações de cada malware ajudando a entendê-los e a combatê-los de forma mais efetiva. Alto desempenho:Capaz de analisar mais de 1000 aterfatos por dia, sejam malwares, sejam aplicações web maliciosas. S obr e a Kry pt us (http://www.kryptus.com/)

Empresa 100% brasileira, fundada em 2003 na cidade de Campinas/SP, a Kryptus já desenvolveu uma gama de soluções de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desdee semic desd semicondu ondutores tores até aplic aplicaçõe açõess cript criptográf ográficas icas de alto desempenho, se estabelecendo como a líder brasileira brasilei ra em pesquisa, desenvolvim desenvolvimento ento e fabricação de hardware seguro para aplicações críticas. Os clientes Kryptus procuram soluções para pro blemas onde um alto nível de segurança e o domínio tecnológico são fatores fundamentais. No âmbito governamen vern amental, tal, solu soluções ções Kryp Kryptus tus prote protegem gem sist sistemas emas,, Caracterí sticas funcionais dados e comunicações tão críticas como a InfraestruAltaa Efi Alt Eficác cácia ia: Pro Produz duz res result ultado adoss efe efetiv tivos os pa para ra tur turaa de Cha Chave vess Pú Públi blicas cas Bra Brasil sileir eiraa (IC (ICP-B P-Bras rasil), il), a mais de 91% dos artefatos, contra 54% do Anubis e Urna Eletrônica Brasileira e Comunicações Gover27% do CWSandBox. Falsos negativos menores que namentais. 19%, 4 vezes melhor que o JSand. Proteção: Análi Análise se dinâmica dinâmica automatiz automatizada ada de arquivos suspeitos (inclusive zero-day). Funciona até mesmo com malwares específicos para Windows 7. Tempo real: Análise em tempo real de sites maliciosos, enquanto os usuários navegam na internet, com alertas imediatos. Catalogação: Ca Catal taloga oga exe exempl mplare aress de mal malwar ware, e, relató rel atório rioss de aná anális lisee e o com compo porta rtamen mento to int intrus rusivo ivo apresentado durante sua execução. Relatórios exportáveis em XML, HTML e PDF PDF..

|56


COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS Esta seção foi criada para que possamos compartilhar com você leitor leitor,, o que andam falando da gente por aí... Contribua para com este projeto: ([email protected]). El e x s a nd r o ( p or E m ai l )

Waldony (no Site)

Parabéns pela iniciativa e pelo excelente trabalho, espero e torço que dê tudo certo para que continuemos tendo o privilegio de ter de forma clara, limpa e objetiva todo esse mundo de informação sobre Segurança Digital.

Parabens pelo material, não conhecia. mas agora vai para os favo favorit ritos. os.

L e a n dr o Dou r a d o ( n o S i t e ) Realmente a revista está muito boa! E só melhora a cada edição. Parabéns a todos!!

Ca r l os ( po r E m a i l ) Quero parabenizar a equipe pelo bom trabalho que Aloisio Sousa (no Twitter) está realizando, acompanho todas as edições. Para- @_SegDigital Quero parabenizar a 5º edição muita béns! Gost Gostaria aria de prop propor or como tema temass futu futuros ros que o boa mesm mesmo... o..... o art artigo igo SSH com DenyH DenyHosts osts.. Parafortalecimento de servidores Windows e Linux. Mi- béns Fábio Fábi o Jânio J ânio Lima Lima.. nha ideia é, cada edição da revista ser apresentado aos poucos técnicas de hardening. Tenho dificulda- Reinaldo Guevara (no Twitter) de no mesmo e acredito ser muito importante no @_SegDigital Grato pelo trabalho na quinta edição, mundo da segurança segurança!! artigos interessantes, no aguardo da próxima

R e n a t o ( p o r E ma i l )

Marcos T. Silva (no Twitter)

Assim que fico sabendo do lançamento de mais uma edição corro para fazer download. Parabéns a todos os colaboradores e que continuem assim. Gostei da sua iniciativa Fábio, parabéns meu camarada.

@_SegDigital a revista é show de bola. Parabéns a todos envolvidos. Tem muita revista paga que nçao tem o conteúdo q a de vcs tem.

R ena t o ( n o S i t e) Ju l ho san t os ( por E m ai l ) Futuramente quero contribuir com este projeto maravilhoso de vocês. Uma revista de tão alto nível e que não possui fins lucrativos como a de vocês é difíci fí cill de ac acha harr se nã nãoo im impo poss ssív ível el.. Co Conf nfes esso so qu quee gostei da ideia de vocês realizarem sorteios para os leitores. Parabéns!

|57

Um amigo me indicou está revista como uma boa opção de leitura para o final de semana. Olha que ele acertou em cheio! Estou na expectativa para o lançamento da 6ª edição...


Segurança Digital 6ª Edi Ediçã ção o - Ma Maio io de 201 2012 2

www.segurancadigital.info @_SegDigital

segurancadigital

Report "Segurança Digital"

Your name

Email

Reason

Description

Copyright © 2025 IDOC.TIPS. All rights reserved.
About Us | Privacy Policy | Terms of Service | Copyright | Contact Us | Cookie Policy

Sign In

Email

Password

Remember me Forgot password?

Our partners will collect data and use cookies for ad personalization and measurement. Learn how we and our ad partner Google, collect and use data. Agree & close

Segurança Digital

Recommend Documents