FACULDADE DE ADMINISTRAÇÃO E NEGÓCIOS DE SERGIPE - FANESE NÚCLEO DE PÓS-GRADUAÇÃO E EXTENSÃO – NPGE CURSO DE PÓS-GRADUAÇÃO “LATO SENSU” ESPECIALIZAÇÃO EM BANCO DE DADOS
SEGURANÇA DA INFORMAÇÃO: OS RISCOS E PERIGOS DAS REDES NO MUNDO GLOBALIZADO
JOSE SERGIO SANTOS DE JESUS
ARACAJU – SE
2
2013 JOSE SERGIO SANTOS DE JESUS
SEGURANÇA DA INFORMAÇÃO: OS RISCOS E PERIGOS DAS REDES NO MUNDO GLOBALIZADO
Artigo Científico apresentado ao Núcleo de Pósgraduação e Extensão da Faculdade de Admi Ad mini nist stra raçã çãoo e Ne Negó góci cios os de Serg Sergip ipee como como exigência para obtenção do título de Especialista em Banco de Dados
Orientação: Mestre Maria José de Azevedo Araujo
ARACAJU – SE
3
2013 SEGURANÇA DA INFORMAÇÃO: OS RISCO E PERIGOS DAS REDES NO MUNDO GLOBALIZADO
Jose Sergio Santos de Jesus 1 Mestre Maria José de Azevedo Araujo. 2
RESUMO Com o crescimento do uso da internet, cresceram também os perigos relacionados com a mesma e hoje em dia os usuários e principalmente as empresas precisam cada vez mais de cuidados especiais com as informações que trafegam nesta rede. A preocupação com a confidencialidade, a integridade e a disponibilidade dessas informações vem tomando um caráter de prioridade máxima (código vermelho). O objetivo geral deste artigo científico é analisar os conceitos básicos da " Segurança da informação: Os risco e perigos das redes no mundo globalizado" através de uma pesquisa bibliográfica a respeito do tema. A internet é uma rede ou um mundo sem dono e sem fronteiras onde de qualquer ponto do mundo as pessoas podem trocar informações de todo o tipo e é justamente devido a esta facilidade que algumas pessoas agem de má fé, pois assim como existem pessoas que a utiliza no sentido de fazer algo útil e seguro por outro lado também temos pessoas que a utilizam de forma a causar danos, inclusive financeiros e para tanto são utilizadas varias técnicas ou métodos aos quais damos o nome de ataque ou invasão.
PALAVRAS CHAVE: Segurança da informação, ataques, negação de serviços, redes, internet
Graduado em Sistema para Internet pela Faculdade de Administração e Negócios de Sergipe – FANESE. E-mail para contato:
[email protected] 1
Pedagoga, orientadora educacional, especialista em educação, mestre em educação e professora de cursos graduação e de pós-graduação de instituições de ensino superior do Estado de Sergipe. E-mail:
[email protected] 2
4
ABSTRACT With the growth of internet use, also increased the dangers related to it and today users and especially companies increasingly need special care with the information that travels on this network. The concern with the confidentiality, integrity and availability of this information has been taking a character of the highest priority (code red). The overall objective of this paper is to analyze the fundamentals of "information security: The risk and dangers of networks in the globalised world" through a bibliographical research on the subject. The internet is a network owner or a world without borders and without any point where the planet people can exchange information of any kind and it is precisely due to the facility where the danger lies, because there are people who like to use towards do something useful and safe on the other hand we also have people who use so not only physical damage much more often for both financial and are used several techniques or methods which we call the attack or invasion.
KEYWORDS: Information security, attacks, denial of services, networks, internet
INTRODUÇÃO O objetivo geral deste artigo científico é analisar os conceitos básicos da " Segurança da informação: Os risco e perigos das redes no mundo globalizado" através de uma pesquisa bibliográfica a respeito do tema prioritário: Segurança da informação em um ambiente compartilhado, ou seja, em uma rede de comunicação e a internet é um bom exemplo, pois independente da distancia física as pessoas estão cada vez mais conectadas trocando informações de todo os tipos a exemplo de: foto, vídeos, musica mensagens... Segundo TANENBAUM:
A Internet não é de modo algum uma rede, mas sim um vasto conjunto de redes diferentes que utilizam certos protocolos comuns e fornecem determinados serviços comuns. É um sistema pouco usual no sentido de não ter sido planejado nem ser controlado por ninguém. (2003, p.101)
5
Serão abordados durante o desenvolvimento deste artigo alguns conceitos básicos mais fundamentais quando falamos sobre segurança da informação, evitaremos entrar em detalhes sobre cada tema, visto que quando falamos em segurança da informação principalmente em ambientes coorporativos ou empresas o assunto merece um maior aprofundamento, mais como o propósito deste artigo é somente e principalmente alertar aos usuários, independentes se trabalham ou não em grandes ou pequenas empresas ou só usam as redes como um meio de comunicação, sobre os perigos que estão por trás das mesmas e como devemos nos prevenir. Primeiramente abordaremos o que é um Sistema de Gerenciamento de Segurança da Informação (SGSI), seus princípios e fundamentos, em seguida trataremos sobre o que são os vírus de computadores, seus tipos de ataques e os sistemas de detecção e prevenção de intrusão (IDP's) e finalizaremos falando sobre como prevenir os ataques.
1 – SISTEMA DE GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO
Segundo SÊMOLA “Podemos definir segurança da informação como uma área de conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou a sua indisponibilidade” (2003, pg.43). O Sistema de Gerenciamento de Segurança da Informação (SGSI) faz parte do sistema de gerenciamento das organizações e está fundamentado no gerenciamento de risco do negócio com foco na informação criando, implementando e mantendo uma série de processos de gerenciamento para a efetiva segurança da informação. Para que uma
6
informação seja considera segura, o sistema que o administra deve respeitar alguns princípios básicos e fundamentais: •
Autenticidade – Para que uma informação seja considerada segura o
sistema deve garantir que o usuário do mesmo é autentico. •
Não repúdio – O usuário não poderá negar (dizer que não foi feito) uma
operação ou serviço que resultou em uma modificação, exclusão ou inserção, envio ou recepção de uma informação não foi realizada. •
Legalidade – Garante a legalidade do sistema com relação à legislação
nacional ou internacional em vigor e que estão também de acordo com as cláusulas contratuais. •
Privacidade – A informação deve ser somente lida alterada ou deletada
pelo seu dono. •
Auditoria – Tem o objetivo entre outros de verificar a conformidade com
relação integridade dos dados manipulados no sentido de identificar quem acessa o que, quando (data e hora) e como (local ou remoto).
Para TURBAN, LEIDNER, MCLEAN E WETHERBE:
Os riscos de segurança TI são riscos de negocio. Em termos gerais, a segurança de TI refere-se à proteção da informação e outros ativos digitais, de rede de comunicação e operações de negócios tradicionais e de comercio eletrônico para garantir sua integridade disponibilidade e seu uso autorizado, para se defender contra as perdas financeiras e responsabilidades civis. (2010, p.642).
Um dos aspectos importante para a Segurança da Informação é a preservação da confidencialidade, integridade e disponibilidade das informações em uma organização. A
7
perda de um ou mais desses princípios poderá ameaçar a confiança da empresa e conseqüentemente em seus negócios. •
Confidencialidade - é a garantia de que a informação é compartilhada
somente entre as pessoas ou organizações autorizadas. •
Integridade - assegura que a informação é autêntica e completa, ou seja,
que não houve nenhum tipo de alteração. •
Disponibilidade - garante que os sistemas responsáveis pelo
armazenamento e processamento de informação são acessíveis quando necessário por aqueles que necessitam dessas informações, ou seja, que o sistema estará disponível a qualquer tempo ou momento. Segundo KUROSE e W. ROSS (2006, p.514) podemos identificar as seguintes propriedades desejáveis da comunicação segura:
Confidencialidade - Somente o remetente e o destinatário pretendido devem poder entender o conteúdo da mensagem transmitida. Autenticidade - O remetente e o destinatário precisam confirmar a identidade da outra parte envolvida na comunicação. Integridade e não-repudição de mensagem – Mesmo que o remetente e o destinatário consigam se autenticar reciprocamente, eles também querem assegurar que o conteúdo de sua comunicação não seja alterado, por acidente ou por ma intenção, durante a transmissão.
Para SÊMOLA (2003, pg.45) A segurança da informação tem como objetivo a preservação de três princípios básicos pelos quais se norteiam a implementação destas praticas:
8
Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas as pessoas para quem elas são destinadas. Integridade – Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. Disponibilidade – Toda informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitam para qualquer finalidade.
1.1-
Controle de Segurança Toda e qualquer informação pode ser classificada em níveis de prioridade, tipo ou
relevância, pois, nem toda informação é crucial ou essencial: •
Pública – A informação pode ser divulgada sem nenhum tipo de prejuízo a
instituição ou empresa; •
Interna – Devemos evitar o acesso, sua integridade deve ser preservada
mesmo que estas informações não sejam vitais para a empresa ou negocio. •
Confidencial – Como o próprio nome diz, são informações restritas e a
divulgação ou aceso podem ocasionar perdas irreparáveis as empresas. •
Secreta – São informações cuja integridade de ser preservada e o acesso
deve ser restrito somente as pessoas autorizadas. Para que possamos ter uma maior segurança com relação às informações, se faz necessário compreender alguns conceitos sobre o que é:
9
•
Ataque – Podemos definir um ataque como o ato de tentar invadir um
sistema de informação com o intuito de se apossar, alterar, negar ou deletar os dados sem o consendimeto dos usuários para obter vantagens. Tipos de Ataques:
Ativo: Tem o objetivo de alterar os dados.
Passivo: Tem o objetivo de liberar os dados.
Destrutivo: Tem o objetivo de negar o acesso aos dados ou serviços.
•
Vulnerabilidade – Diz respeito ao ponto ou local aonde o sistema é mais
suscetível a um ataque. Segundo TURBAN, LEIDNER, MCLEAN E WETHERBE “Um dos maiores erros que gerentes cometem é subestimar vulnerabilidade e ameaças” (2010, p.650).
1.2-
Mecanismo de Controle •
Autorização: É o processo de conceder ou negar direitos a usuários.
•
Autenticação: Usado para garantir que o usuário é realmente quem está
afirmando ser. É um serviço essencial de segurança, pois uma autenticação confiável assegura o controle de acesso. Atualmente os processos de autenticação estão baseados em três métodos distintos: •
Identificação positiva - O que você sabe – O usuário deverá demonstrar
conhecimento de alguma informação durante o processo de autenticação seja através de um Login e Senha, por exemplo.
10
•
Identificação proprietária - O que você tem - O usuário deverá demonstrar
possuir algo a ser utilizado no processo de autenticação, como por exemplo, um cartão magnético. •
Identificação Biométrica - O que você é – O usuário requerente exibe
alguma característica própria, tal como a sua impressão digital. Segundo KUROSE e W. ROSS "Autenticação é o processo de provar a própria identidade a alguém" (2006, p.527).
2 – OS PERIGOS DAS REDES PARA A SEGURANÇA DA INFORMAÇÃO
A partir do momento em que conectamos as redes ou a internet estaremos cada vez mais vulneráveis aos ataques de vírus, vermes, cavalos-de-tróia, entre outros, os quais têm como finalidade obter acesso às informações armazenadas, além de causar danos às máquinas. Alem destes temos os ataques de negação de serviço (DoS), que ao contrario dos vírus a intenção do invasor é sobrecarregar o servidor ou o computador pessoal das vitimas e os ataques a banco de dados e as aplicações utilizando SQL Injection e o Buffer overflow. As técnicas mais usadas pelos invasores são através de e-mails, arquivos compartilhados e páginas da web infectadas. Segundo TANENBAUM:
As redes locais, muitas vezes chamadas LANs, são redes privadas contidas em um único edifício ou campus universitário com até alguns quilômetros de extensão. Elas são amplamente usadas para conectar computadores pessoais e estações de trabalho em escritórios e instalações industriais de empresas, permitindo o compartilhamento de recursos (por exemplo, impressoras) e a troca de
11
informações. Um conjunto de redes interconectadas é chamado inter-rede ou internet. (2003, p.42)
2.1-Malware Qualquer software desenvolvido para causar danos pode ser definido como um malware e entre eles estão os vírus, cavalos-de-troia e vermes. •
Vírus - São programas criados para causar danos podendo apagar, alterar ou
capturar os dados e ate mesmo alterar o funcionamento do sistema operacional. Ele se instala em um programa e o usa como hospedeiro para se multiplicar e se disseminar para outros computadores •
Vermes ou Worms - Programa auto-replicante, podem se propagar
rapidamente para outros computadores, pela internet ou por redes locais, tirando cópias de si mesmo em cada computador. Seu grande perigo é sua enorme capacidade de replicação e é projetado para excluir arquivos, enviar documentos por e-mail ou provocar danos apenas com o tráfego de rede gerado pela sua reprodução em massa. •
Cavalo-de-Tróia- Também chamado de Trojan Horse, ou apenas Trojan,
diferentemente dos vírus e dos vermes, não se duplica, alguns sendo até programado para se autodestruir após algum tempo ou com algum comando do cliente. •
Spyware- Programa automático de computador que recolhe informações
sobre o usuário. •
Backdoors – programa que permite que um invasor acesse remotamente os
computadores comprometidos. Normalmente, os backdoors também são Cavalos de Tróia.
12
Phishing- Um tipo de golpe de falsificação no qual usam falsas páginas
•
para tentar conduzir o receptor a revelar informações sigilosas e pessoais, como números de contas bancárias, cartões de crédito e senhas.
Spam- São mensagens de e-mail indesejadas, geralmente, anúncios não
•
solicitados e enviados em massa os quais podem conter vírus. .
2.2-Ataques por Negação de Serviços (DoS): Segundo TANENBAUM:
Os ataques em que o objetivo do intruso é desativar o destino em vez de roubar dados são chamados ataques DoS (Denial of Service — negação de serviço). Em geral, os pacotes solicitados têm endereços de origem falsos, para que o intruso não possa ser rastreado com facilidade. (2003, p.1362).
Atualmente os ataques mais comuns e que causam enormes prejuízos às vítimas são os ataques de negação de serviço (DoS) e uma forma de inibição para este tipo de ataque é adotar sistemas de rastreamento de pacotes IP, uma vez que pacotes com endereços IP de origem forjados podem ser usados no ataque para ocultar a verdadeira origem do atacante. A finalidade deste tipo de ataque é consumir (sobrecarregar) os recursos dos servidores, roteadores ou computadores pessoais e impedir que usuários legítimos tenham acesso a um determinado serviço. Para BRENTON e HUNT:
Um ataque de negação de serviço (DoS) são tentativas de ataque para impedir que um sistema de exercer a rede comunicações. Um ataque de negação de serviço pode tentar fazer um único serviço em um sistema de destino inoperante, ou o objetivo do ataque pode ser negar toda a
13
conectividade de rede. (2010, p.17, tradução nossa):
Antes de entrar em detalhes sobre os tipos de ataques por negação de serviços (DoS), se faz necessário relembrar alguns conceitos básicos sobre o protocolo TCP, UDP e ICMP visto que a maioria destes ataques são feitos em cima da vulnerabilidade que estes protocolos oferecem.
Protocolo Transmission Control Protocol (TCP)- Utilizado em serviços
que necessitam de entrega confiável de dados. Tem uma duração associada, e devido às características deste protocolo consegue-se sempre identificar o início e o fim de uma transação através das flags associadas:
Estabelecimento da ligação (Flags SYN e SYN-ACK).
Troca de dados e confirmação da recepção dos dados (Flag ACK).
Fim da transação (Flag FIN).
Protocolo User Datagram Protocol (UDP) - Possibilita a transmissão de
mensagens sem controle do estado da ligação e sem a garantia de sucesso na entrega. Não tem uma duração associada; é um tipo de protocolo em que não existem as fases acima descritas.
Internet Control Message Protocol (ICMP) é um protocolo da camada de
rede do modelo OSI que possibilita a troca de mensagens de erros, e que normalmente são devolvidos ao emissor de um determinado pedido. As mensagens de erro podem ser de diferentes classes, e incluem informação relacionada com problemas do tipo:
Echo Request (Favor enviar este quadro de volta) Echo Reply (Aqui está o quadro de volta). Destination Unreachable (Não foi possível entregar o pacote).
14
Redirect (pacote pode ter sido roteado incorretamente).
Time Exceeded (pacote descartado porque seu contador chegou à zero)
2.2.1- Tipos de Ataques (DoS):
Segundo COLE existem quatro tipos de Spoofing (falsificação): IP spoofing. Um atacante usa um endereço IP de outro computador para adquirir informações ou ter acesso. E-mail spoofing. Envolve a falsificação do endereço de e-mail. Em essência, o e-mail parece que veio de Eric, mas, na realidade, Eric não enviou o e-mail. Alguém que estava passando por Eric enviou-o. Spoofing web. A World Wide Web está sendo usada por mais e mais em e-commerce. Para usar a web para e-commerce, as pessoas têm que ser identificado e autenticado de modo que eles podem ser confiáveis. Sempre que uma entidade tem de ser confiável, a oportunidade para spoofing surge. Non-technical spoofing - Este tipo de ataques concentra em comprometer o elemento humano de uma empresa. Isto é feito por meio de técnicas de engenharia social. (2001, p.124, tradução nossa).
2.2.1.1 Exemplos de Spoofing: •
Spoofed TCP SYN: Simplesmente o Computador que origina o ataque gera
uma série de pacotes SYN com emissor aleatório e envia para o computador alvo do ataque o qual ira enviar pacotes SYN&ACK como resposta aos pacotes SYN, mas com destino o endereço aleatório, adicionando uma entrada na fila de sessões activas. Como os pacotes SYN&ACK são enviados para destinos incorretos ou inexistentes, a última parte do protocolo TCP nunca será completada e a entrada ficará na fila de sessões até expirar ou receber por parte do endereço aleatório um pacote com a flag RST activa. Desta forma com a geração de centenas de pacotes com origem aleatória ou inexistente é possível esgotar a fila de espera de sessões, iniciando assim um processo de rejeição de serviços legítimos do computador alvo.
15
•
Spoofed TCP/SYN-ACK : É um tipo de ataque no qual são gerados pacotes
com as flags SYN & ACK activas, com o objetivo de confundir o computador alvo ao violar o funcionamento do protocolo TCP, pois estes pacotes só deveriam ter sido recebidos após uma ligação SYN, fazendo com que gere um consumo de CPU (e rede) ao tentar processar estes erros. •
Spoofed TCP/FIN: É um tipo de ataque no qual são gerados pacotes com a
flag FIN activa, informando o destino que pretende fechar uma sessão TCP que não tinha sido previamente aberta. Semelhante ao ataque anterior terá o mesmo tipo de comportamento e problemas por parte do computador alvo. •
Spoofed UDP: Simplesmente o computador que começa o ataque gera
pacotes com origem aleatória e envia-os para o computador alvo do ataque. Com a geração de uma série de pacotes com origem aleatória é possível esgotar a capacidade de processamento do computador alvo, iniciando um processo de rejeição de serviços. •
Spoofed ICMP/PING: Este tipo de ataque utiliza pacotes do tipo “Echo” e
“Echo-Reply” do protocolo ICMP. Usa as mesmas técnicas do ataques anteriores no intuito de provocar um aumento de consumo de CPU (sobrecarga). •
Large ICMP packets-IP/ICMP fragments: Tem como finalidade de gerar
pacotes ICMP de dimensão superior à permitida pelo meio de transmissão, o que ira provocar fragmentação destes pacotes e, portanto um aumento de processamento pela máquina alvo do ataque (sobrecarga). •
TCP half connections: Simplesmente o computador de origem ira iniciar
uma sessão enviando um pacote com a flag SYN activa para o computador alvo. Se o serviço associado ao pedido estiver em modo de recepção de ligações SYN, o mesmo ira responder com um pacote com a flag ACK+SYN activa. Caso o serviço não
16
estiver em modo de recepção de ligações SYN, o mesmo ira responder com um pacote com a flag RST activa. Devido a estes dois tipos de respostas é possível determinar os serviços que se encontram ativos, facilitando os ataques.
2.3 Ataques a banco de dados utilizando SQL Injection
O SQL Injection é um tipo de ataque no qual um código SQL o qual é inserido dentro de uma query, por exemplo, em um site, permitindo ao atacante obter dados importantes no banco de dados. A forma mais fácil e eficiente de conter esse tipo de ataque é tratar o caractere da aspa simples dentro dos campos de usuário e senha, não deixando estar contido nesses campos.
2.3.1 Exemplo: Normalmente uma tabela de usuários é criada com os campos Usuário, Senha e Admin (Com um campo flag indicando se é admin do site ou não). Agora vamos analisar o seguinte comando SQL:
Select usuário, senha, admin from Users where usuário='' or '1=1' and
senha='' or '1=1'; Este comando ira dar um select no usuário que seja igual a vazio (nenhum) OU verdadeiro (todos, pois existem usuários cadastrados) E que tenha a senha igual a vazio (nenhum) OU verdadeiro (todos, pois todo usuário possui uma senha). Isso traz todos os usuários da tabela, porém com o ponteiro no primeiro usuário que tem o perfil de Administrador, pois é o primeiro usuário que é cadastrado no banco de dados ao criarmos a tabela Usuário, devido a essa falha é exatamente esse usuário que é usado para acessar o banco de dados.
17
2.4. Ataques utilizando buffer overflow Buffer Overflow ou Estouro de pilha é uma técnica que tem como finalidade armazenar mais dados que a aplicação possa suportar fazendo com que os dados ultrapassarem a área de buffer. Segundo COLE (2001, p.277, tradução nossa) Um ataque buffer overflow é quando um atacante tenta armazenar muita informação em um receptáculo subdimensionado. Uma implementação comum é quando um usuário do programa dá o programa mais dados do que os desenvolvedores do programa alocaram para armazená-lo. Por exemplo, vamos dizer que um único programador aloca memória suficiente para uma variável para armazenar 10 caracteres e alguém tenta ter essa variável segurar 20 caracteres. A pilha é uma porção da memória que armazena informações às necessidades atuais do programa. As variáveis são dados que o programa usa para tomar decisões. Segundo COLE (2001, p.278, tradução nossa) Buffer overflows pode causar ataques contra todas as três áreas de segurança. Eles podem causar um ataque contra a disponibilidade executando um ataque de negação de serviço. Buffer overflows também pode executar código arbitrário que seja para modificar dados, que é um ataque contra a integridade ou lê as informações sensíveis, que é um ataque contra a confidencialidade.
2.5- Sistemas de Detecção e Prevenção de Intrusão (IDPs) Detecção de intrusão (Detectar) é o processo de monitoramento e análise de eventos que correm em um sistema de computadores ou em uma rede de dados, os quais podem ser violações ou ameaças iminentes de violação das políticas de segurança. Prevenção de intrusão (Prevenir) é o processo da realização da detecção de intrusão no esforço de prevenir incidentes detectados.
18
•
Tipos de IDPs:
Baseado em rede – monitora o trafego de rede para dispositivos ou
seguimentos de rede, analisa a rede e a atividade de protocolos de aplicação para identificar atividade maliciosa (ataques).
Baseado em redes sem fio – monitora o tráfego de rede sem fio analisando-o
para identificar atividades maliciosas.
Detecção de comportamento anômalo de rede – examina o trafego de rede
para identificar ameaças que gerem um trafego de rede anormal, como por exemplo, ataques DoS.
Baseado em Host – monitora as características de um único host e os
eventos que ocorrem no mesmo. Disponível em: < http://svn.assembla.com/svn/odinIDS/Egio/artigos/IDS/deteccao-hibrida.pdf > Acesso em: 20 Dezembro 2012
•
Componentes IDPs:
Sensores ou Agentes: monitoram e analisam a atividade de rede.
Agentes são usados em soluções IDP host.
Servidor de gerenciamento: dispositivo centralizado que recebe informações
dos sensores ou agentes. Nesse servidor ainda são correlacionados todos os eventos de todos os sensores.
Servidor de base de dados: é o repositório para informações de eventos
gravados pelos sensores, agentes e/ou servidores de gerenciamento;
Console: é um programa que fornece uma interface para os usuários IDP e
administradores.
19
A maioria dos IDPs usa múltiplas metodologias de detecção, tanto separadamente quanto integradas, para prover mais extensa e exata detecção. As principais classes de metodologias de detecção são:
Baseado em assinatura: compara assinaturas conhecidas com eventos
observados. Novos tipos de ataques que não possuem uma assinatura não podem ser detectados;
Detecção baseada em comportamento anômalo: compara definições e perfis
de qual atividade de rede é considerada normal contra eventos observados para determinar desvios de padrão. Muito bom para novos tipos de ataques. Problemas comuns é a inclusão de atividade normal como atividade maliciosa; Analise de protocolo Statefull: compara perfis pré determinados de definições geralmente aceitas de atividade de protocolos com desvios nos eventos analisados. Ao contrário da metodologia anterior, esta se baseia em perfis universais determinados e desenvolvidos por vendedores que especificam como protocolos em particular devem ou não devem ser usados. Exige muito processamento e o desenvolvimento de modelos é muito difícil (quase impossível). Disponível em: < http://svn.assembla.com/svn/odinIDS/Egio/artigos/IDS/deteccao-hibrida.pdf > Acesso em: 20 Dezembro 2012
Os IDPs infelizmente não fornecem resultados de detecção completamente exatos ou perfeitos. Podemos citar como exemplo a geração de falsos positivos (evento normal tomado como ato de intrusão) e falsos negativos (eventos maliciosos vistos como tráfego normal) que é um processo comum no uso de IDPs, para contornar este tipo de problemas podemos configurar os IDPs de forma a diminuir os falsos negativos e aumentar os falsos positivos para que menos atos maliciosos tenham sucesso.
20
Todavia, este comportamento ou procedimento pode gerar um overhead de processamento. Muitos IDPs também oferecem dispositivos para compensar técnicas de evasão em ataques, que modificam o formato ou tempo da atividade maliciosa, alterando sua aparência. Disponível em: < http://svn.assembla.com/svn/odinIDS/Egio/artigos/IDS/deteccao-hibrida.pdf > Acesso em: 20 Dezembro 2012
3- MELHORES PRÁTICAS PARA A SEGURANÇA DA INFORMAÇÃO
Segundo BRENTON e HUNT (2010, p.14, tradução nossa ) Antes de decidir a melhor forma de proteger a sua rede, você deve identificar o nível de proteção que deseja alcançar. Começar por analisar a sua rede para determinar o nível de fortificação que realmente necessitam. Você pode então usar essas informações para desenvolver sua política de segurança. Uma vez que você está armado com esta informação, você está em um boa posição para começar a tomar decisões inteligentes sobre a sua estrutura de segurança. Para que possamos garantir a segurança da informação, devemos sempre adotar algumas medidas para protege-las, pois como foi visto existem varias técnicas ou métodos usados durante um ataque. Infelizmente a cada dia que se passa novas técnicas são desenvolvidas ou atualizadas por parte dos invasores, sempre no intuito de fazer algum tipo de malefício, portanto, devemos também sempre estar preparados e atualizados não somente em um ambiente coorporativo (empresa) como também fora dele, pois independente da estrutura física todos nós somos as vitimas ou alvo destes ataques. Para TURBAN, LEIDNER, MCLEAN E WETHERBE “A segurança de TI é tão essencial aos objetivos coorporativos que não pode mais ser tratada como função isolada” (2010, p.642).
21
•
Empresas Somente permitir que pessoas externas só acessem os dados públicos via
HTTP ou FTP por exemplo.
Usar dispositivos ou serviços do tipo Firewalls, Proxy Servers ou NAT.
o
Firewalls: Para bloquear ou filtrar certos tipos de tráficos em específica
porta. Proxy Servers: São usados para processar todos os tráficos da internet e
o
guardar informações sobre todos os sites acessados pelos usuários. Network address translation (NAT): Serviço provido por um servidor ou
o
roteador que habilita a rede utilizar um endereço IP privado para a comunicação na internet. Os empregados que trabalham em casa devem ser identificados,
autenticados e autorizados a acessar o sistema de maneira remota (VPN) e sempre proteger os dados recebidos ou transmitidos para sites remotos. Sempre autenticar as atualizações de tabelas de roteamento recebidas de
roteadores internos e principalmente externos. Treinar com certa freqüência todos os usuários sobre a importância de
segurança da informação para a empresa e os negócios.
Desativar todos os serviços que não são necessários.
Os patches devem sempre estar atualizados (sistema operacional e
aplicações). Usar políticas efetivas sobre o uso de senhas.
•
Usuários
Instalar e manter sempre atualizados os programas antivírus, anti-spyware
22
Configurar o navegador para sempre pedir a confirmação ou autorização antes de baixar ou executar algum tipo de arquivo.
Verifique antes se o site que esta navegando é confiável e seguro e que a mesmo e utiliza a criptografia (SSL) para a troca de dados, para tanto é só verificar se aparece um cadeado fechado ou chave no canto inferior.
Rejeitar comunicados ou ofertas via e-mail, MSN, salas de bate-papo ou redes sociais.
Não anotar senhas em lugares de fácil acesso e sempre adotar senhas com mescla de letras e números, trocando sempre que possível ou necessário.
Nunca baixar programas de site que não seja totalmente confiável.
Não responder e-mails não solicitados ou que você não conhece.
Não se assustar ou se preocupar quando receber e-mails ameaçadores com cobranças, cancelamentos de documentos ou benefícios, ações na justiça etc...
Não executar ou abrir arquivos com extensões do tipo.exe,.com,.bat,.cmd
Não fornecer informações pessoais como nome completo, endereço, telefone, números de documentos (RG, CPF, CNH...), lugar de trabalho etc.
CONSIDERAÇÕES FINAIS
Tendo em vista que a internet é um dos meios de comunicação mais utilizados para a troca de informações entre os usuários nos dias atuais e como conseqüência deste avanço é
23
que os crimes virtuais estão crescendo na mesma proporcionalidade com a finalidade na maioria dos casos capturar informações importantes, fraudes, danos às máquinas ou simplesmente fazer com que as mesmas não mais consigam fazer qualquer tipo de transação devido à sobrecarga. Portanto a segurança da informação é um assunto que exige atenção especial principalmente em se tratando de informações de uma organização ou empresa, e por isto deve ser considerada como algo essencial e fundamental quando trabalhamos em ambientes compartilhados principalmente na internet visto que a mesma é uma porta aberta aos ataques ou invasão. Foram vistos ao longo deste artigo as principais técnicas de ataques usadas para invadir um computador e que o mau desenvolvimento das aplicações é uma das grandes causa da exploração desses ataques e como devemos nos prevenir contra os mesmos e que a melhor maneira de prevenção é sempre estar em alerta constantemente, ou seja, atualizado sempre, visto que todos os dias nos deparamos com a descoberta de um novo tipo de ataque ou vírus.
24
REFERÊNCIAS BIBLIOGRÁFICAS
BRENTON, Chris e HUNT, Cameron . Active Defense: A Comprehensive Guide to Network Security. United States of America: Sybex, 2010. TURBAN, Efraim LEIDNER, Dorothy MCLEAN, Ephraim e WETHERBE, James. Tecnologia da Informação para Gestão 6ª edição. Porto Alegre: Bookman, 2010. KUROSE, James F. e W.ROSS, Keith. Redes de computadores e a internet: Uma abordagem top-down 3ª edição . São Paulo: Pearson Addison Wesley, 2006. SÊMOLA, Marcos. Gestão da Segurança da Informação: Visão Executiva da Segurança da Informação 12ª reimpressão. Rio de Janeiro: Elsevier, 2003. TANENBAUM, Andrews S. Redes de computadores 4a edição . Rio de Janeiro: Campus, 2003. COLE, Eric. Hackers Beware: Defending Your Network From The Wiley Hacker. United States of America: New Riders, 2001. http://www.ic.uff.br/~otton/graduacao/informaticaI/Ataques.pdf acessado em 20/12/2012Acessado em 20/12/2012
25
http://itweb.com.br/57280/dia-mundial-da-internet-saiba-como-se-proteger-de-ameacasonline/- Acessado em 20/12/2012 http://www.lncc.br/~borges/doc/IDS%20IPS%20e%20Entropia.TCC.pdf 22/12/2012
Acessado
em
