Ataques Cibernéticos, Normas e Padrões de Segurança

Prévia do material em texto

ATAQUES CIBERNÉTICOS, NORMAS E PADRÕES DE
SEGURANÇA
1. INTRODUÇÃO
 A Internet traz diversos benefícios, porém ao estarmos conectados estamos sujeitos a
inúmeras ameaças. Tanto indivíduos quando organizações devem estar atentos a várias
adversidades como: ataques, sequestros, malwares, spam, estelionatos, etc. Não é muito
incomum ouvir que alguém ou alguma empresa foi invadida por meio dessas técnicas ou
softwares. Logo, se proteger é uma ação primordial.
 Existem várias normas e padrões de boas práticas que as empresas podem seguir. Essas
normas e padrões são estabelecidas por entidades internacionais centradas no objetivo da
unicidade (padronização) e em um conjunto de ações eficazes e atenuantes.
2. CONTEXTO DA AMEAÇA CIBERNÉTICA
 O gerenciamento de risco é um fator importante para identificar e gerenciar os ativos de uma
organização, sendo que, os ativos são tudo aquilo que é importante (gera valor) para uma
empresa. Dentre esses ativos, devemos nos preocupar com:
a) Infraestrutura de TI e rede (hardwares/softwares):
 Tudo que se pode conectar à rede pode se tornar vulnerável, com isso a infraestrutura de TI e
rede pode estar frequentemente exposta a diversos tipos de ataques.
 Por exemplo, um “Cavalo de Troia” pode obter dados sigilosos de uma organização e gerar
custos para removê-lo. Softwares desatualizados ou mal configurados, hardwares com
defeitos e um baixo treinamento contra Engenharia Social podem deixar a organização cada
vez mais vulnerável a vários tipos de ataque.
b) Propriedade intelectual (patentes, projetos, fórmulas, código-fonte ou estruturas de
softwares):
 Uma propriedade intelectual dá a vida a uma empresa e garante a sua competitividade. Como
exemplo temos: fórmulas matemáticas, desenvolvimento de medicamentos, projetos de
engenharia (carro, edifício, pontos, etc.), projetos militares, etc.
 A segurança da informação deve garantir que essas informações nunca caiam em mãos
erradas.
c) Dados financeiros (número de cartões, senhas, dados bancários, dados de emprésti-
mos e financiamentos, etc.):
 É um dos ativos mais importantes de uma organização.
 Se ocorrer um ataque à esses ativos, pode ocorrer grande prejuízo à empresa, bem como,
queda na sua reputação.
 Por exemplo, imagine que ocorra um ciberataque em uma instituição bancária apagando
todos os backups e inserindo elevadas quantias de dinheiro na conta de cada correntista, e
que todos os empréstimos deixaram de existir. Isso poderia ocasionar grandes prejuízos à
instituição.
d) Disponibilidade de serviços e reputação:
 Várias empresas oferecem serviços aos seus clientes, em que, a maioria desses serviços
para ser de qualidade são medidos pelo tempo de sua disponibilidade e de paralisação.
 Toda empresa tem, que pelo menos, realizar reparos em seus serviços, sendo a melhor forma
agendar uma paralisação intencional para tais reparos. Por meio dessas paralisações
intencionais, os clientes já estão cientes sobre a indisponibilidade do serviço para a
realização de melhorias. Porém, se ocorrer interrupções no serviço de forma não intencional
com muita frequência, tornará o serviço de má qualidade, deixando os clientes insatisfeitos,
podendo fazer com que eles migrem para empresas concorrente. Com isso a reputação da
empresa poderá cair.
 Os agentes que praticam os ciberataques sempre estão associados ao termo hacker, mas
esse não é um termo correto para se usar. O termo hacker que dizer “especialista em
sistemas computacionais.”
 Algumas categorias de hackers:
a) Blackhat:
 Por desafio, quebram a segurança de TI com o objetivo de demonstrar seu conhecimento e
habilidade. Exploram as vulnerabilidades e não as notifica aos administradores.
b) Whitehat:
 Estão dispostos a procurar vulnerabilidades para corrigi-las.
 A grande diferenças entre o blackhat e o whitehat, é que o blackhat quer explorar as vulnera-
bilidades, já o whitehat tem o intuito de explorá-las e corrigi-las
c) Grayhat:
 É um meio termo, em que o agente pode assumir o papel de blackhat ou de whitehat a
depender do contexto.
d) Script Kiddie:
 O agente possui pouco ou nenhum conhecimento, mas segue instruções de terceiros para a
execução de um ciberataque.
e) Cracker:
 Os crackers visam realizar operações maléficas sobre as organizações e indivíduos, obtendo
ganhos financeiros, roubo, destruição de informações, acessos indevidos, etc.
 O cracker é considerado a maior ameaça a todos os serviços disponíveis.
 Muitos dos ataques só podem ser realizados com ferramentas específicas. A seguir estão
descritas algumas categorias de ataques:
a) Varredura de vulnerabilidades:
 Esses tipos de ferramentas enviam mensagens a um determinado software/rede e de acordo
com as respostas é capaz de dizer se são vulneráveis e que tipos de vulnerabilidades existem.
 Um exemplo de sistema para essa categoria é o Kali Linux, um sistema operacional voltado
para hackers éticos. Por meio dele você poderá, por exemplo, testar um software web de sua
organização.
b) Varredura de portas:
 Esse ataque visa a identificar as portas que estão abertas em um computador e aproveitá-las.
 Uma dica simples, é sempre desativar as portas que não estão em uso para reduzir a proba-
bilidade de um ataque.
c) Farejadores:
 Tal ferramenta observa o tráfego à medida que passa pela rede. Nesse momento se pode
obter senhas e outras informações valiosas.
d) Discadores:
 Os discadores ligam para diversos números para saber se do outro lado há um modem. Uma
vez conectado se pode ter acesso a toda rede. Forma bem incomum de ataque.
e) Captura de teclado:
 Essa ferramenta visa a armazenar tudo o que o usuário digita.
 Essa técnica pode variar por software ou hardware. Via software se pode embutir no sistema
todo o histórico de teclas pressionadas. Via hardware, um pequeno plug pode ser adicionado
à entrada do teclado ou USB. Independentemente da técnica utilizada, essas informações
podem chegar às mãos de terceiros.
3. ALGUS TIPOS DE ATAQUES E AMEAÇAS
a) Ataques de negação de serviço (DoS):
 O ataque é realizado por um único agente ameaçador, com o objetivo de sobrecarregar um
serviço, levando-o a um colapso.
 Há dois tipos de ataques de negação de serviço:
 Os lógicos: que usam as falhas dos softwares;
 Os de inundação: que visam estourar o processamento da CPU e da memória, por meio
de milhares de requisições.
 Por exemplo, em um sistema de compras de ingresso on-line, os agentes ameaçadores
podem solicitar milhares de requisições ao mesmo tempo para pedir o mesmo assento de
uma arquibancada em um estádio, fazendo com que o servidor se sobrecarregue e caia
(ficando off-line).
 Alguns exemplos de contramedidas são os sistemas de detecção de intrusos (IDS - Intrusion
Detection System) e os sistemas de prevenção de instrução (IPS – Instrusion Prevention
System).
b) Ataques de negação de serviço distribuído (DDoS):
 Esse ataque é igual ao de negação de serviço (DoS), porém ao invés de um atacante
somente, há um sequestro de milhares de outros computadores (zumbis). Assim que for
oportuno será disparada uma mensagem a esses computadores, que por sua vez irão realizar
uma série de requisições a um web site alvo para deixá-lo off-line.
c) Política de navegação acessível:
 Uma empresa deve criar sua política de navegação, limitando o acesso a um grupo de
pessoas à determinados arquivos. Além disso, deve restringir o acesso à sites com conteúdos
impróprios.
 Se a organização não limita ou não restringe o acesso de pessoas à determinados arquivos
confidenciais ou sites impróprios, as mesmas podem causar danos e prejuízos aos ativos da
empresa.
d) Espionagem telefônica:
 É possível ouvir somente o canal de comunicação, sem alterações. Além disso, se pode
também interceptar a mensagem e realizar modificações.
e) Uso de porta dos fundos (backdoors):
 Certos desenvolvedores podem colocar brechas em seus sistemas para ter acesso total às
informações sem precisar passar por todosos sistemas de segurança. O grande problema
disso é que terceiros podem encontras essas brechas, instalar seus próprios backdoors e
inutilizar o sistema.
 Existem vários softwares que auxiliam a verificar as portas dos fundos, como o Unicorn e
Netcat, do Kali Linux.
f) Alterações acidentais sobre dados:
 Realizar modificações acidentais de forma parcial nos dados pode causar eventos inespe-
rados, bem como, o seu armazenamento incorreto.
g) Spam:
 São mensagens de e-mails com conteúdo atrativo ou que chame a atenção como: “ganhe
dinheiro sem sair de casa”, “trabalhe duas horas por dias ganhando mil reais por mês”,
“parabéns, você foi sorteado e vai ganhar um prêmio”, etc. O problema dessas mensagens é
que são enviadas para milhares de pessoas todos os dias. Grande parte das empresas que
fornecem serviços de e-mails tentam categorizar esses tipos de mensagens, mas é quase
impossível filtrar todas elas, ficando a cargo do usuário excluir tais mensagens para não
encher sua caixa de entrada.
h) Cookies:
 São arquivos texto que podem armazenar informações sobre sua navegação. O grande
problema dos cookies é que esses dados colhidos podem ser acessados por qualquer pessoa
que tenha acesso ao computador.
i) Vírus:
 É um programa de computador semelhante a um vírus biológico. Ele precisa de um
hospedeiro, no caso, um computador ou celular. A partir daí, o vírus usa o próprio hospedeiro
para replicar o seu código e infectar outros.
 Em sua maioria, os vírus têm como objetivo destruir ou corromper arquivos e sistemas.
 O primeiro vírus surgiu em 1971, criado por Bob Thomas, e ele se autorreplicava e apresen-
tava a seguinte mensagem: “I’m the creeper, catch me if you can!”.
 Os vírus podem realizar alterações em seus códigos para escaparem de antivírus e até
mesmo modificar o tamanho de arquivos para embutir seu código a fim de não ser rastreado.
 Uma variante do vírus é o verme (worms), sendo que este não precisa de outro programa
para se replicar.
j) Cavalo de Troia (Trojan):
 O trojan é um malware baseado na história do cavalo de Troia. Ele até parece inofensivo,
podendo até fazer as tarefas que deve fazer, mas no momento oportuno ele irá fazer uma
série de ações maliciosas.
 Um programa chamado ANIMAL, lançado em 1975, é considerado de forma geral o primeiro
exemplo do mundo de um ataque de Trojan. Ele se apresentava como um jogo simples ao
longo das vinte linhas de perguntas. No entanto, nos bastidores, o jogo copiava-se em
diretórios compartilhados, onde outros usuários poderiam encontrá-lo. A partir disso, o jogo
poderia se espalhar por toda a rede de computadores.
k) Rootkits:
 Eles surgiram no começo dos anos de 1990, tendo como objetivo modificar programas para
ocultar ataques. Por exemplo, ele pode modificar partes de um sistema operacional para
encobrir sua presença, oferecendo um acesso fácil a atacantes.
 Se uma pessoa tenta baixar um sistema operacional pirata saiba que ele poderá conter
rootkits.
l) Spyware:
 Um spyware possui o mesmo comportamento de um Trojan, na qual fica parado colhendo
informações, como senhas, número de cartões, lendo cookies, instalando novos programas,
alterando página inicial do navegador, capturando teclas, etc. Após colher todas essas
informações ele repassa à um agente ameaçador.
 O foco dos spywares é a confidencialidade das informações.
 Há uma variante que é o adware, tendo como função principal o capturamento dos
comportamentos do usuário. Sua grande diferença está em não transmitir informações que
identifique o usuário, como CPF, e-mails, números de cartões etc. Ele serve basicamente
para conhecer as tendências do mercado, observando milhares de consumidores.
m) Ataque de força bruta:
 Nesse tipo de ataque o agente ameaçador tenta usar diferentes combinações possíveis de
senhas até que chegue ao valor desejado.
 Para não ser vítima desses tipos de ataques é importante a criação de senhas fortes,
utilizando mais de oito dígitos, que contenha números, letras e caracteres especiais, letras
maiúsculas e minúsculas.
 Um dos perigos é que com o avanço da computação paralela (placas de vídeos com
multiprocessadores/threads) é possível gerar milhões de combinações em pouco tempo.
n) Ataque de dicionário:
 Nesse tipo de ataque, um simples programa de invasão de senha pega todas as palavras de
um arquivo de dicionário e tenta efetuar o acesso, inserindo cada verbete do dicionário como
senha.
 Usuários que utilizam palavras comuns em suas senhas podem estar vulneráveis à esse tipo
de ataque.
 Uma política de senha que imponha senhas complexas é a melhor defesa contra um ataque
de dicionário.
o) Falsificação (spoofing):
 É um tipo de ataque em que uma pessoa, programa ou computador se disfarça para ter
acesso permitido a algumas informações de seu interesse.
 Por exemplo, troca-se o endereço da rede para se passar por uma pessoa autorizada e,
assim, acessar determinadas informações
p) Sequestro (hijacking):
 É quando um terceiro assume o controle de uma sessão entre duas máquinas e se disfarça
em uma delas.
 Esse tipo de ataque pode ter variantes como:
 Sequestro do homem do meio: o atacante usa um programa para tomar o controle de
uma conexão, disfarçando-se como cada ponta da conexão.
 Sequestro de navegador: o usuário é direcionado a um site falso, na qual o mesmo
pode fornecer senhas, números de cartões, dados pessoais, etc. Após serem obtidas tais
informações, o usuário é repassado para o site real, tendo a impressão de que o site saiu
do ar, tendo que entrar com o login novamente.
q) Engenharia social:
 Aqui, os agentes ameaçadores costumam utilizar essa técnica de fraude para ter acesso a
recursos em uma infraestrutura de TI. Em quase todos os casos, a engenharia social envolve
enganar usuário autorizados, de preferência os novatos, para que executem ações para
usuários não autorizados.
 Por exemplo, uma identidade de vendedor ou funcionário forjada ou roubada pode oferecer
entrada para um local seguro. O intruso pode obter então, acesso a ativos importantes.
Apelando ao instinto natural de funcionários em ajudar um técnico ou um contratado, um
atacante pode facilmente entrar no perímetro de uma organização e obter acesso.
 Algumas dicas podem ser valiosas contra a engenharia social, como:
 Treinamento de qualidade para funcionários sobre segurança da informação;
 Seguir as políticas de segurança estabelecidas;
 Exigir identificações de terceiros;
 Restringir o acesso remoto de terceiros;
 Triturar documentos que contenham dados confidenciais, etc.
r) Pharming:
 É um tipo de ataque semelhante a um sequestro que busca obter informações financeiras
pessoais ou privativas por meio de falsificação de nomes de domínio (DNS - Domain Name
Servidor).
 Um ataque de pharming não envia mensagens falsas para levar os usuários para sites falsos
Em vez disso, ele usa uma falsificação de domínio, corrompendo um servidor de DNS,
fazendo com que o navegador do usuário apareça um endereço aparentemente real, porém
falso.
 Esse tipo de ataque é bastante difícil de detectar, pois mesmo os usuários desconfiando de
algo, o endereço do navegador sempre se mostrará correto. Com isso pode alcançar um
número enorme de pessoas.
s) Phishing:
 É um ataque em que o agente ameaçador tenta obter dados pessoais de um usuário por e-
mail, whatsapp ou SMS
 Geralmente, as mensagens enviadas aparentam ser de fontes confiáveis, solicitando que
atualize seu cadastro em consequência de perder o cadastro ou sofrer alguma multa. A vítima,
ao clicar no link, é direcionada para um site falso que irá recolher as suas informações
pessoais.
 A melhor maneira de se evitar esse tipo de ataque é jamais clicar nesses supostos links. Caso
tenha dúvidas, entre diretamente no site e procure informações.
4. NORMAS E PADRÕES DE SEGURANÇA DA INFORMAÇÃO
 A ISO (Organização Internacional para Padronização - em português) é a norma mantida por
uma entidade não governamentalque possui inúmeros padrões e boas práticas para uma
grande variedade de setores.
 Tais padrões permitem que as empresas trabalhem com diferentes sistemas e organizações
de forma harmônica.
 A partir desses padrões é possível obter boas práticas que foram desenvolvidas ao longo dos
anos por diversas organizações. Se um processo é bem aceito ele está cotado a pertencer a
uma próxima norma ou padrão. Com base nisso, algumas organizações são responsáveis em
manter e definir padrões a certas áreas.
 Algumas normas e padrões:
a) NIST (National Institute of Stardards and Tecnology):
 É um órgão federal dos Estados Unidos, que tem o objetivo de incentivar a medição, padrões
e tecnologia para melhorarem a economia.
 A NIST possui um conjunto de publicações da série 800 que estão relacionadas às atividades
de segurança de informações.
 800-37 (estrutura de gerenciamento de risco);
 800-46 (guia para segurança de acesso remoto);
 800-53 (avalia controles de segurança de SI);
 800-61 (tratamento de incidentes);
 800-73 (verificação pessoal);
 800-78 (criptografia);
 800-85 (orientação de teste);
 800-115 (teste de avaliação de segurança);
 800-118 (gerenciamento de senhas);
 800-121 (segurança Bluetooth);
 800-122 (proteção da confidencialidade);
 800-128 (gestão de segurança de informação)...
b) ISO 17799:
 É um padrão internacional para segurança de informações, constituindo pelas melhores
práticas para a área.
 É dividida em onze seções:
 Seção 5 – Política de Segurança da Informação;
 Seção 6 – Organização da Segurança da Informação;
 Seção 7 – Gestão de ativos;
 Seção 8 – Segurança em recursos humanos;
 Seção 9 – Segurança física e do ambiente;
 Seção 10 – Segurança das operações e comunicações;
 Seção 11 – Controle de acesso;
 Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas;
 Seção 13 – Gestão de incidentes de segurança da informação;
 Seção 14 – Gestão da continuidade do negócio;
 Seção 15 – Conformidade.
 Além disso, quando estamos falando de normas para a Segurança da Informação podemos
considerar toda a família da ISO/IEC 27000:
 ISO/IEC 27000 (Sistemas de gerenciamento de segurança da informação): Uma visão
geral de toda família e vocabulários utilizados nas normas);
 ISO/IEC 27001 (Sistemas de gerenciamento de segurança da informação): Requisitos;
 ISO/IEC 27002 (Código de prática para controles de segurança da informação);
 ISO/IEC 27003 (Orientação de implementação de sistemas de gerenciamento de
segurança de informação);
 ISO/IEC 27004 (Gerenciamento de segurança da informação): Medição;
 ISO/IEC 27005 (Gerenciamento de risco de segurança da informação);
 ISO/IEC 27006 (Requisitos para entidades que fornecem auditoria e certificação de
sistemas de gerenciamento de segurança da informação);
 ISO/IEC 27007 (Diretrizes para auditoria de sistemas de gerenciamento de
segurança da informação);
 ISO/IEC TR 27008 (Diretrizes para auditores em controles de segurança da
informação);
 ISO/IEC 27010 (Gestão da segurança da informação para a comunicação
intersetorial e interorganizacional);
 ISO/IEC 27011 (Diretrizes de gerenciamento de segurança da informação para
organizações de telecomunicações baseadas na ISO/IEC 27002);
 ISO/IEC 27013 (Orientação sobre a implementação integrada de ISO/IEC 27001 e
ISO/IEC 20000-1);
 ISO/IEC 27014 (Governança da segurança da informação);
 ISO/IEC TR 27015 (Diretrizes de gerenciamento de segurança da informação para
serviços financeiros);
 ISO/IEC TR 27016 (Gestão de segurança da informação - Economia organizacional).
 O objetivo geral de cada uma dessas normas é garantir que as organizações desenvolvam e
implementem uma estrutura adequada de gerenciamento de segurança de seus ativos,
podendo ser financeira, de propriedade ou até de informações.
 Dentre a família ISO/IEC 27000 podemos destacar a ISO/IEC 27001 e a ISO/IEC 27002 que
são as mais conhecidas.
c) W3C (World Wide Web):
 Sem dúvida, a W3C trouxe organização para a Internet, pois antigamente cada empresa
possuía sua própria versão do HTML (Hypertext Markup Language). A incompatibilidade
reinava e, com isso, muitos problemas.
 Atualmente, ela estabelece os seguintes padrões:
 CSS (Cascading Style Sheets);
 CGI (Common Gateway Interface);
 HTML (Hypertext Markup Language);
 SOAP (Simple Object Access Protocol);
 WSDL (Web Services Description Language);
 XML (Extensible Markup Language).
d) IEEE (Institute of Electrial and Eletronics Engineers):
 Ela é a maior organização focada no avanço da tecnologia, definindo inúmeros padrões (são
1300).
 Ela estabelece um dos padrões mais famosos da Segurança da Informação, a família IEEE
802:
 802.3 (Ethernet);
 802.11 (LAN sem fio 802.11a, 802.11b, 802.11g,802.11n), etc.
 Outro exemplo são as normas IEEE 830 e ISO 12207, as quais estão ligadas aos requisitos e
ciclo de vida de software. Conhecer essas normas e seguir essas boas práticas é de suma
importância para o crescimento da organização, bem como, uma ótima opção para se ter
produtos e serviços de qualidade.
e) IANSI (American National Standards Institute):
 É um instituto presente nas mais diversas áreas como, equipamentos acústicos, construção,
produção de laticínios, distribuição de energia, dentre outros.
5. REFERÊNCIAS BIBLIOGRÁFICAS
 CLARKE, R. A; KNAKE, R. K. Guerra Cibernética: A próxima ameaça à segurança e o que
fazer. São Paulo: Brasport, 2015.
 COELHO, F. E. S.; BEZERRA, E. Gestão da Segurança da Informação – NBR 27001 E NBR
27002. São Paulo: Escola Superior de Redes – RNP, 2014.
 GALVÃO, M. C.. Fundamentos de Segurança da Informação. São Paulo: Pearson, 2015.
 HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001
e na ISO 27002. São Paulo: Brasport, 2018.
 IEEE. Software Engineering Body of Knowledge (SWEBOK). IEEE Computr Society, [201-].
Disponível em: https://www.computer.org/education/bodies-of-knowledge/software-
engineering.
 KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São
Paulo: LTC, 2014.
 SÊMOLA, M. Gestão da segurança da informação. São Paulo: Elsevier Brasil, 2014.