Baixe o app para aproveitar ainda mais
Prévia do material em texto
ATAQUES CIBERNÉTICOS, NORMAS E PADRÕES DE SEGURANÇA 1. INTRODUÇÃO A Internet traz diversos benefícios, porém ao estarmos conectados estamos sujeitos a inúmeras ameaças. Tanto indivíduos quando organizações devem estar atentos a várias adversidades como: ataques, sequestros, malwares, spam, estelionatos, etc. Não é muito incomum ouvir que alguém ou alguma empresa foi invadida por meio dessas técnicas ou softwares. Logo, se proteger é uma ação primordial. Existem várias normas e padrões de boas práticas que as empresas podem seguir. Essas normas e padrões são estabelecidas por entidades internacionais centradas no objetivo da unicidade (padronização) e em um conjunto de ações eficazes e atenuantes. 2. CONTEXTO DA AMEAÇA CIBERNÉTICA O gerenciamento de risco é um fator importante para identificar e gerenciar os ativos de uma organização, sendo que, os ativos são tudo aquilo que é importante (gera valor) para uma empresa. Dentre esses ativos, devemos nos preocupar com: a) Infraestrutura de TI e rede (hardwares/softwares): Tudo que se pode conectar à rede pode se tornar vulnerável, com isso a infraestrutura de TI e rede pode estar frequentemente exposta a diversos tipos de ataques. Por exemplo, um “Cavalo de Troia” pode obter dados sigilosos de uma organização e gerar custos para removê-lo. Softwares desatualizados ou mal configurados, hardwares com defeitos e um baixo treinamento contra Engenharia Social podem deixar a organização cada vez mais vulnerável a vários tipos de ataque. b) Propriedade intelectual (patentes, projetos, fórmulas, código-fonte ou estruturas de softwares): Uma propriedade intelectual dá a vida a uma empresa e garante a sua competitividade. Como exemplo temos: fórmulas matemáticas, desenvolvimento de medicamentos, projetos de engenharia (carro, edifício, pontos, etc.), projetos militares, etc. A segurança da informação deve garantir que essas informações nunca caiam em mãos erradas. c) Dados financeiros (número de cartões, senhas, dados bancários, dados de emprésti- mos e financiamentos, etc.): É um dos ativos mais importantes de uma organização. Se ocorrer um ataque à esses ativos, pode ocorrer grande prejuízo à empresa, bem como, queda na sua reputação. Por exemplo, imagine que ocorra um ciberataque em uma instituição bancária apagando todos os backups e inserindo elevadas quantias de dinheiro na conta de cada correntista, e que todos os empréstimos deixaram de existir. Isso poderia ocasionar grandes prejuízos à instituição. d) Disponibilidade de serviços e reputação: Várias empresas oferecem serviços aos seus clientes, em que, a maioria desses serviços para ser de qualidade são medidos pelo tempo de sua disponibilidade e de paralisação. Toda empresa tem, que pelo menos, realizar reparos em seus serviços, sendo a melhor forma agendar uma paralisação intencional para tais reparos. Por meio dessas paralisações intencionais, os clientes já estão cientes sobre a indisponibilidade do serviço para a realização de melhorias. Porém, se ocorrer interrupções no serviço de forma não intencional com muita frequência, tornará o serviço de má qualidade, deixando os clientes insatisfeitos, podendo fazer com que eles migrem para empresas concorrente. Com isso a reputação da empresa poderá cair. Os agentes que praticam os ciberataques sempre estão associados ao termo hacker, mas esse não é um termo correto para se usar. O termo hacker que dizer “especialista em sistemas computacionais.” Algumas categorias de hackers: a) Blackhat: Por desafio, quebram a segurança de TI com o objetivo de demonstrar seu conhecimento e habilidade. Exploram as vulnerabilidades e não as notifica aos administradores. b) Whitehat: Estão dispostos a procurar vulnerabilidades para corrigi-las. A grande diferenças entre o blackhat e o whitehat, é que o blackhat quer explorar as vulnera- bilidades, já o whitehat tem o intuito de explorá-las e corrigi-las c) Grayhat: É um meio termo, em que o agente pode assumir o papel de blackhat ou de whitehat a depender do contexto. d) Script Kiddie: O agente possui pouco ou nenhum conhecimento, mas segue instruções de terceiros para a execução de um ciberataque. e) Cracker: Os crackers visam realizar operações maléficas sobre as organizações e indivíduos, obtendo ganhos financeiros, roubo, destruição de informações, acessos indevidos, etc. O cracker é considerado a maior ameaça a todos os serviços disponíveis. Muitos dos ataques só podem ser realizados com ferramentas específicas. A seguir estão descritas algumas categorias de ataques: a) Varredura de vulnerabilidades: Esses tipos de ferramentas enviam mensagens a um determinado software/rede e de acordo com as respostas é capaz de dizer se são vulneráveis e que tipos de vulnerabilidades existem. Um exemplo de sistema para essa categoria é o Kali Linux, um sistema operacional voltado para hackers éticos. Por meio dele você poderá, por exemplo, testar um software web de sua organização. b) Varredura de portas: Esse ataque visa a identificar as portas que estão abertas em um computador e aproveitá-las. Uma dica simples, é sempre desativar as portas que não estão em uso para reduzir a proba- bilidade de um ataque. c) Farejadores: Tal ferramenta observa o tráfego à medida que passa pela rede. Nesse momento se pode obter senhas e outras informações valiosas. d) Discadores: Os discadores ligam para diversos números para saber se do outro lado há um modem. Uma vez conectado se pode ter acesso a toda rede. Forma bem incomum de ataque. e) Captura de teclado: Essa ferramenta visa a armazenar tudo o que o usuário digita. Essa técnica pode variar por software ou hardware. Via software se pode embutir no sistema todo o histórico de teclas pressionadas. Via hardware, um pequeno plug pode ser adicionado à entrada do teclado ou USB. Independentemente da técnica utilizada, essas informações podem chegar às mãos de terceiros. 3. ALGUS TIPOS DE ATAQUES E AMEAÇAS a) Ataques de negação de serviço (DoS): O ataque é realizado por um único agente ameaçador, com o objetivo de sobrecarregar um serviço, levando-o a um colapso. Há dois tipos de ataques de negação de serviço: Os lógicos: que usam as falhas dos softwares; Os de inundação: que visam estourar o processamento da CPU e da memória, por meio de milhares de requisições. Por exemplo, em um sistema de compras de ingresso on-line, os agentes ameaçadores podem solicitar milhares de requisições ao mesmo tempo para pedir o mesmo assento de uma arquibancada em um estádio, fazendo com que o servidor se sobrecarregue e caia (ficando off-line). Alguns exemplos de contramedidas são os sistemas de detecção de intrusos (IDS - Intrusion Detection System) e os sistemas de prevenção de instrução (IPS – Instrusion Prevention System). b) Ataques de negação de serviço distribuído (DDoS): Esse ataque é igual ao de negação de serviço (DoS), porém ao invés de um atacante somente, há um sequestro de milhares de outros computadores (zumbis). Assim que for oportuno será disparada uma mensagem a esses computadores, que por sua vez irão realizar uma série de requisições a um web site alvo para deixá-lo off-line. c) Política de navegação acessível: Uma empresa deve criar sua política de navegação, limitando o acesso a um grupo de pessoas à determinados arquivos. Além disso, deve restringir o acesso à sites com conteúdos impróprios. Se a organização não limita ou não restringe o acesso de pessoas à determinados arquivos confidenciais ou sites impróprios, as mesmas podem causar danos e prejuízos aos ativos da empresa. d) Espionagem telefônica: É possível ouvir somente o canal de comunicação, sem alterações. Além disso, se pode também interceptar a mensagem e realizar modificações. e) Uso de porta dos fundos (backdoors): Certos desenvolvedores podem colocar brechas em seus sistemas para ter acesso total às informações sem precisar passar por todosos sistemas de segurança. O grande problema disso é que terceiros podem encontras essas brechas, instalar seus próprios backdoors e inutilizar o sistema. Existem vários softwares que auxiliam a verificar as portas dos fundos, como o Unicorn e Netcat, do Kali Linux. f) Alterações acidentais sobre dados: Realizar modificações acidentais de forma parcial nos dados pode causar eventos inespe- rados, bem como, o seu armazenamento incorreto. g) Spam: São mensagens de e-mails com conteúdo atrativo ou que chame a atenção como: “ganhe dinheiro sem sair de casa”, “trabalhe duas horas por dias ganhando mil reais por mês”, “parabéns, você foi sorteado e vai ganhar um prêmio”, etc. O problema dessas mensagens é que são enviadas para milhares de pessoas todos os dias. Grande parte das empresas que fornecem serviços de e-mails tentam categorizar esses tipos de mensagens, mas é quase impossível filtrar todas elas, ficando a cargo do usuário excluir tais mensagens para não encher sua caixa de entrada. h) Cookies: São arquivos texto que podem armazenar informações sobre sua navegação. O grande problema dos cookies é que esses dados colhidos podem ser acessados por qualquer pessoa que tenha acesso ao computador. i) Vírus: É um programa de computador semelhante a um vírus biológico. Ele precisa de um hospedeiro, no caso, um computador ou celular. A partir daí, o vírus usa o próprio hospedeiro para replicar o seu código e infectar outros. Em sua maioria, os vírus têm como objetivo destruir ou corromper arquivos e sistemas. O primeiro vírus surgiu em 1971, criado por Bob Thomas, e ele se autorreplicava e apresen- tava a seguinte mensagem: “I’m the creeper, catch me if you can!”. Os vírus podem realizar alterações em seus códigos para escaparem de antivírus e até mesmo modificar o tamanho de arquivos para embutir seu código a fim de não ser rastreado. Uma variante do vírus é o verme (worms), sendo que este não precisa de outro programa para se replicar. j) Cavalo de Troia (Trojan): O trojan é um malware baseado na história do cavalo de Troia. Ele até parece inofensivo, podendo até fazer as tarefas que deve fazer, mas no momento oportuno ele irá fazer uma série de ações maliciosas. Um programa chamado ANIMAL, lançado em 1975, é considerado de forma geral o primeiro exemplo do mundo de um ataque de Trojan. Ele se apresentava como um jogo simples ao longo das vinte linhas de perguntas. No entanto, nos bastidores, o jogo copiava-se em diretórios compartilhados, onde outros usuários poderiam encontrá-lo. A partir disso, o jogo poderia se espalhar por toda a rede de computadores. k) Rootkits: Eles surgiram no começo dos anos de 1990, tendo como objetivo modificar programas para ocultar ataques. Por exemplo, ele pode modificar partes de um sistema operacional para encobrir sua presença, oferecendo um acesso fácil a atacantes. Se uma pessoa tenta baixar um sistema operacional pirata saiba que ele poderá conter rootkits. l) Spyware: Um spyware possui o mesmo comportamento de um Trojan, na qual fica parado colhendo informações, como senhas, número de cartões, lendo cookies, instalando novos programas, alterando página inicial do navegador, capturando teclas, etc. Após colher todas essas informações ele repassa à um agente ameaçador. O foco dos spywares é a confidencialidade das informações. Há uma variante que é o adware, tendo como função principal o capturamento dos comportamentos do usuário. Sua grande diferença está em não transmitir informações que identifique o usuário, como CPF, e-mails, números de cartões etc. Ele serve basicamente para conhecer as tendências do mercado, observando milhares de consumidores. m) Ataque de força bruta: Nesse tipo de ataque o agente ameaçador tenta usar diferentes combinações possíveis de senhas até que chegue ao valor desejado. Para não ser vítima desses tipos de ataques é importante a criação de senhas fortes, utilizando mais de oito dígitos, que contenha números, letras e caracteres especiais, letras maiúsculas e minúsculas. Um dos perigos é que com o avanço da computação paralela (placas de vídeos com multiprocessadores/threads) é possível gerar milhões de combinações em pouco tempo. n) Ataque de dicionário: Nesse tipo de ataque, um simples programa de invasão de senha pega todas as palavras de um arquivo de dicionário e tenta efetuar o acesso, inserindo cada verbete do dicionário como senha. Usuários que utilizam palavras comuns em suas senhas podem estar vulneráveis à esse tipo de ataque. Uma política de senha que imponha senhas complexas é a melhor defesa contra um ataque de dicionário. o) Falsificação (spoofing): É um tipo de ataque em que uma pessoa, programa ou computador se disfarça para ter acesso permitido a algumas informações de seu interesse. Por exemplo, troca-se o endereço da rede para se passar por uma pessoa autorizada e, assim, acessar determinadas informações p) Sequestro (hijacking): É quando um terceiro assume o controle de uma sessão entre duas máquinas e se disfarça em uma delas. Esse tipo de ataque pode ter variantes como: Sequestro do homem do meio: o atacante usa um programa para tomar o controle de uma conexão, disfarçando-se como cada ponta da conexão. Sequestro de navegador: o usuário é direcionado a um site falso, na qual o mesmo pode fornecer senhas, números de cartões, dados pessoais, etc. Após serem obtidas tais informações, o usuário é repassado para o site real, tendo a impressão de que o site saiu do ar, tendo que entrar com o login novamente. q) Engenharia social: Aqui, os agentes ameaçadores costumam utilizar essa técnica de fraude para ter acesso a recursos em uma infraestrutura de TI. Em quase todos os casos, a engenharia social envolve enganar usuário autorizados, de preferência os novatos, para que executem ações para usuários não autorizados. Por exemplo, uma identidade de vendedor ou funcionário forjada ou roubada pode oferecer entrada para um local seguro. O intruso pode obter então, acesso a ativos importantes. Apelando ao instinto natural de funcionários em ajudar um técnico ou um contratado, um atacante pode facilmente entrar no perímetro de uma organização e obter acesso. Algumas dicas podem ser valiosas contra a engenharia social, como: Treinamento de qualidade para funcionários sobre segurança da informação; Seguir as políticas de segurança estabelecidas; Exigir identificações de terceiros; Restringir o acesso remoto de terceiros; Triturar documentos que contenham dados confidenciais, etc. r) Pharming: É um tipo de ataque semelhante a um sequestro que busca obter informações financeiras pessoais ou privativas por meio de falsificação de nomes de domínio (DNS - Domain Name Servidor). Um ataque de pharming não envia mensagens falsas para levar os usuários para sites falsos Em vez disso, ele usa uma falsificação de domínio, corrompendo um servidor de DNS, fazendo com que o navegador do usuário apareça um endereço aparentemente real, porém falso. Esse tipo de ataque é bastante difícil de detectar, pois mesmo os usuários desconfiando de algo, o endereço do navegador sempre se mostrará correto. Com isso pode alcançar um número enorme de pessoas. s) Phishing: É um ataque em que o agente ameaçador tenta obter dados pessoais de um usuário por e- mail, whatsapp ou SMS Geralmente, as mensagens enviadas aparentam ser de fontes confiáveis, solicitando que atualize seu cadastro em consequência de perder o cadastro ou sofrer alguma multa. A vítima, ao clicar no link, é direcionada para um site falso que irá recolher as suas informações pessoais. A melhor maneira de se evitar esse tipo de ataque é jamais clicar nesses supostos links. Caso tenha dúvidas, entre diretamente no site e procure informações. 4. NORMAS E PADRÕES DE SEGURANÇA DA INFORMAÇÃO A ISO (Organização Internacional para Padronização - em português) é a norma mantida por uma entidade não governamentalque possui inúmeros padrões e boas práticas para uma grande variedade de setores. Tais padrões permitem que as empresas trabalhem com diferentes sistemas e organizações de forma harmônica. A partir desses padrões é possível obter boas práticas que foram desenvolvidas ao longo dos anos por diversas organizações. Se um processo é bem aceito ele está cotado a pertencer a uma próxima norma ou padrão. Com base nisso, algumas organizações são responsáveis em manter e definir padrões a certas áreas. Algumas normas e padrões: a) NIST (National Institute of Stardards and Tecnology): É um órgão federal dos Estados Unidos, que tem o objetivo de incentivar a medição, padrões e tecnologia para melhorarem a economia. A NIST possui um conjunto de publicações da série 800 que estão relacionadas às atividades de segurança de informações. 800-37 (estrutura de gerenciamento de risco); 800-46 (guia para segurança de acesso remoto); 800-53 (avalia controles de segurança de SI); 800-61 (tratamento de incidentes); 800-73 (verificação pessoal); 800-78 (criptografia); 800-85 (orientação de teste); 800-115 (teste de avaliação de segurança); 800-118 (gerenciamento de senhas); 800-121 (segurança Bluetooth); 800-122 (proteção da confidencialidade); 800-128 (gestão de segurança de informação)... b) ISO 17799: É um padrão internacional para segurança de informações, constituindo pelas melhores práticas para a área. É dividida em onze seções: Seção 5 – Política de Segurança da Informação; Seção 6 – Organização da Segurança da Informação; Seção 7 – Gestão de ativos; Seção 8 – Segurança em recursos humanos; Seção 9 – Segurança física e do ambiente; Seção 10 – Segurança das operações e comunicações; Seção 11 – Controle de acesso; Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas; Seção 13 – Gestão de incidentes de segurança da informação; Seção 14 – Gestão da continuidade do negócio; Seção 15 – Conformidade. Além disso, quando estamos falando de normas para a Segurança da Informação podemos considerar toda a família da ISO/IEC 27000: ISO/IEC 27000 (Sistemas de gerenciamento de segurança da informação): Uma visão geral de toda família e vocabulários utilizados nas normas); ISO/IEC 27001 (Sistemas de gerenciamento de segurança da informação): Requisitos; ISO/IEC 27002 (Código de prática para controles de segurança da informação); ISO/IEC 27003 (Orientação de implementação de sistemas de gerenciamento de segurança de informação); ISO/IEC 27004 (Gerenciamento de segurança da informação): Medição; ISO/IEC 27005 (Gerenciamento de risco de segurança da informação); ISO/IEC 27006 (Requisitos para entidades que fornecem auditoria e certificação de sistemas de gerenciamento de segurança da informação); ISO/IEC 27007 (Diretrizes para auditoria de sistemas de gerenciamento de segurança da informação); ISO/IEC TR 27008 (Diretrizes para auditores em controles de segurança da informação); ISO/IEC 27010 (Gestão da segurança da informação para a comunicação intersetorial e interorganizacional); ISO/IEC 27011 (Diretrizes de gerenciamento de segurança da informação para organizações de telecomunicações baseadas na ISO/IEC 27002); ISO/IEC 27013 (Orientação sobre a implementação integrada de ISO/IEC 27001 e ISO/IEC 20000-1); ISO/IEC 27014 (Governança da segurança da informação); ISO/IEC TR 27015 (Diretrizes de gerenciamento de segurança da informação para serviços financeiros); ISO/IEC TR 27016 (Gestão de segurança da informação - Economia organizacional). O objetivo geral de cada uma dessas normas é garantir que as organizações desenvolvam e implementem uma estrutura adequada de gerenciamento de segurança de seus ativos, podendo ser financeira, de propriedade ou até de informações. Dentre a família ISO/IEC 27000 podemos destacar a ISO/IEC 27001 e a ISO/IEC 27002 que são as mais conhecidas. c) W3C (World Wide Web): Sem dúvida, a W3C trouxe organização para a Internet, pois antigamente cada empresa possuía sua própria versão do HTML (Hypertext Markup Language). A incompatibilidade reinava e, com isso, muitos problemas. Atualmente, ela estabelece os seguintes padrões: CSS (Cascading Style Sheets); CGI (Common Gateway Interface); HTML (Hypertext Markup Language); SOAP (Simple Object Access Protocol); WSDL (Web Services Description Language); XML (Extensible Markup Language). d) IEEE (Institute of Electrial and Eletronics Engineers): Ela é a maior organização focada no avanço da tecnologia, definindo inúmeros padrões (são 1300). Ela estabelece um dos padrões mais famosos da Segurança da Informação, a família IEEE 802: 802.3 (Ethernet); 802.11 (LAN sem fio 802.11a, 802.11b, 802.11g,802.11n), etc. Outro exemplo são as normas IEEE 830 e ISO 12207, as quais estão ligadas aos requisitos e ciclo de vida de software. Conhecer essas normas e seguir essas boas práticas é de suma importância para o crescimento da organização, bem como, uma ótima opção para se ter produtos e serviços de qualidade. e) IANSI (American National Standards Institute): É um instituto presente nas mais diversas áreas como, equipamentos acústicos, construção, produção de laticínios, distribuição de energia, dentre outros. 5. REFERÊNCIAS BIBLIOGRÁFICAS CLARKE, R. A; KNAKE, R. K. Guerra Cibernética: A próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015. COELHO, F. E. S.; BEZERRA, E. Gestão da Segurança da Informação – NBR 27001 E NBR 27002. São Paulo: Escola Superior de Redes – RNP, 2014. GALVÃO, M. C.. Fundamentos de Segurança da Informação. São Paulo: Pearson, 2015. HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. IEEE. Software Engineering Body of Knowledge (SWEBOK). IEEE Computr Society, [201-]. Disponível em: https://www.computer.org/education/bodies-of-knowledge/software- engineering. KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC, 2014. SÊMOLA, M. Gestão da segurança da informação. São Paulo: Elsevier Brasil, 2014.
Compartilhar