Segurança de Redes

Prévia do material em texto

SISTEMAS DE
 INFORMAÇÕES 
 GERENCIAIS
Copyright © Todos os direitos desta obra são da Escola Superior Aberta do Brasil.
www.esab.edu.br
Diretor Geral
Nildo Ferreira
Secretário Geral:
Aleçandro Moreth
Diagramadores
Felipe Silva Lopes Caliman
Rayron Rickson Cutis Tavares
Produção do Material 
Didático-Pedagógico
 Escola Superior Aberta do Brasil
www.esab.edu.br 3
Sumário
1. Apresentação..........................................................................04
2. Conceituação de Segurança de Segurança e Ameaças 
Organizacionais ..................................................................... 05
3. Segurança Continuada .......................................................... 21
4. Port Scanning ........................................................................ 39
5. SNMP......................................................................................54
6. Plano de Contingência .......................................................... 66
7. Resumo ................................................................................. 75
8. Apresentação 2 ..................................................................... 76
9. NBR ISO/IEC de Segurança ................................................. 77
10. Medidas, Monitoramento e Riscos na Segurança ................. 92
11. Componentes de Segurança: Firewal ................................. 104
12. Gateway de Aplicação ......................................................... 120
13. Arquitetura e Projeto de Firewal .......................................... 132
14. Resumo 2 ............................................................................ 146
15. Apresentação 3 .................................................................. 147
16. NIDS e HIDS........................................................................148
17. IDS e Padronização..............................................................161
18. Fundamentos e Aprofundamento Sobre VPN......................170
19. Chaves Criptográficas ......................................................... 182
20. Autoridade Certificadora e Certificados ............................... 192
21. Resumo 3..............................................................................211
22. GLOSSÁRIO ....................................................................... 212
23. BIBLIOGRAFIA .................................................................... 213
www.esab.edu.br 4
Neste Eixo conceituaremos segurança, ameaças e o nome dos 
principais atacantes, Segurança Continuada, Conceituação de 
Segurança e Ameças e instruir como adotar uma política de 
segurança e contingência e Conhecer o universo de Riscos e 
Planejamento.
www.esab.edu.br 5
INTRODUÇÃO
 Atualmente, as organizações por estarem acessíveis através 
da Web tornou-se vital e vantagem competitiva perante o concorrido 
mercado globalizado. Neste novo cenário, a informação torna-se 
o ativo mais importante da organização, pois é através de sua 
manipulação de forma rápida e precisa que milhares de pessoas 
realizem negócios em tempo real, provando a realização de 
transações comerciais a partir de um único clique. Para muitos o 
mundo atual é um sonho para conseguir acessar lugares distantes 
através de uma rede de computadores. Nem mesmo os inventores 
do TCP/IP e Internet poderiam imaginar a extensão deste projeto, 
bem como seu uso nos mais diversos segmentos mundiais, que 
causou em todo o mundo a propagação de uma nova cultura 
digital.
 Tecnicamente, alcançamos a era digital sem termos 
acoplados os conceitos de segurança para esta grande rede, pois 
o que seria apenas uma pequena rede militar tornou-se a grande 
rede mundial. Os protocolos não foram criados para serem 
utilizados em tão larga escala em termos de segurança, pois 
apresentam diversas vulnerabilidades. É complicado mudá-los, 
pois é um padrão mundial. Se de um lado, temos a necessidade 
das organizações em dispor seus negócios de forma rápida, fácil 
e acessível, de outro temos estes problemas técnicos. O objetivo 
desta matéria não é esgotar ao máximo o tema e, sim, fornecer 
conceitos importantes de segurança para serem aplicados em 
paradigmas do mundo real, como soluções a serem implantadas 
nos mais diversos níveis da Internet, para que de acordo com o 
www.esab.edu.br 6
valor dispensado a esta meta, seja feito o melhor aproveitamento 
possível da verba, direcionando os esforços a uma maior segurança 
das informações. Este esforço vem contrário aos objetivos da 
Internet, que é interligar todas as redes do mundo, porém, sem 
este trabalho teríamos receio de acessar a Web e disponibilizar 
informações pessoais ou comerciais. Este é um campo em 
ascensão e ainda muito restrito, porém promete grandes 
oportunidades para os que almejam atuar nesta área.
CONCEITOS BÁSICOS DE SEGURANÇA
 Não adianta uma organização estar atuando 
virtualmente se as informações que alimentam o sistema 
estiverem vulneráveis. Da mesma forma que este é um fator 
diferencial para a globalização, a vulnerabilidade pode 
conduzir ao fracasso uma empresa.
 A Era da Informação trouxe consigo uma série de problemas 
pertinentes a vulnerabilidades de sistemas operacionais e 
protocolos, como o Code Red, que causou em torno de 2,9 bilhões 
de dólares de prejuízo por causar lentidão na rede devido aos 
sistemas operacionais Windows NT e 2000, e os diversos ataques 
a sites, como Yahoo, Amazon, CNN, UOL, entre outros. Também, 
a perda de privacidade de diversos clientes da CD Universe, 
devido a ataque no site bem-sucedido, onde foram roubados os 
números de cartão de crédito dos clientes. Porém, os maiores 
ataques que causam prejuízos às organizações não são os 
externos, mas os internos que ocorrem a partir da própria rede. 
Para complicar este cenário, antes queríamos que as pessoas 
externas a organizações não conseguissem enxergar as redes 
corporativas. Atualmente, o grande desafio das organizações é a 
disponibilização de serviços através das redes externas, Internet, 
www.esab.edu.br 7
como se os parceiros comerciais estivessem dentro da empresa, 
e para isto ocorre o acesso à rede interna.
A Tecnologia da Informação (TI) no mercado globalizado
Primeiramente, é preciso definir três palavras:
•	 Dado: característica qualquer de um objeto, como um nome, 
data de nascimento de alguém ou a cor dos olhos de uma 
pessoa. Em informática, é uma seqüência qualquer de bits 
armazenados.
•	 Informação: ao associarmos o nome a uma pessoa 
específica, com sua cor de olhos e pele, data de nascimento, 
temos uma informação, pois os dados começam a ter 
sentido.
•	 Conhecimento: ao termos um conjunto de informações, 
dados pessoais, comerciais e religiosos de alguém, por 
exemplo, podemos traçar um melhor perfil da pessoa e 
dependendo deste conjunto de informações posso atuar de 
diferentes formas. Este agir diferente é o conhecimento, pois 
agrega valor ao ser humano e a organização, podendo trazer 
vantagem competitiva.
 Nas décadas 1970-1980, temos a informática como 
ferramenta de proteção da confidencialidade dos dados. É a época 
marcada pela chegada dos mainframes, das empresas com muitos 
funcionários que tinham dificuldades em realizar até mesmo a 
folha de pagamento e contabilidade. Nas décadas 1980-1990, 
com a chegada das redes corporativas, a TI é utilizada para 
guardar não mais dados, mas informações consistentes e 
processadas. A informática avança na administração e é parte da 
estratégia da empresa para minimizar seus custos. O importante 
é a integridade da informação.
 A partir da década de 1990, temos uma nova preocupação: 
disponibilidade. Temos as redes IP, tornando-se essencial aos 
negócios e são armazenadas nos sistemas informatizados não 
www.esab.edu.br 8
mais informações, mas conhecimentos – o objeto a ser protegido 
nos computadores. Atualmente, o mundo globalizado exige uma 
nova postura das empresas: alta competitividade na disputa de 
novos mercados. Mas, como conseguir atingir omaior número de 
mercado e ser mais eficiente do que o concorrente, oferecer um 
melhor produto, com maior eficiência e manter um bom 
relacionamento? Através de sistemas interligados via rede, que 
conseguem atingir clientes nos mais diversos pontos geográficos, 
com sistemas que provêem esta nova visão mercadológica e 
globalizada.
 Diante do exposto, para qualquer organização é necessário 
observar alguns requisitos, como infra-estrutura em 
telecomunicações e sistemas informatizados capazes de prover 
as necessidades do mundo atual, tornando a informática um 
acessório de auxílio na execução de atividades de forma 
centralizada e mais rápida e, principalmente, parte do negócio da 
organização que possibilita sua posição diante do cenário mundial. 
Desta forma, surge a necessidade da criação dos chamados 
ambientes corporativos, que nada mais é do que a interação de 
terceiros dentro da empresa, para que os parceiros de negócios 
consigam atuar de forma mais rápida e eficiente, maximizando o 
tempo entre a necessidade e o fechamento do negócio entre 
empresas, tornando-se, muitas vezes, peça fundamental e seletiva 
entre empresas. Como exemplo, citamos as montadoras de 
automóveis do Brasil.
 Ao ser solicitado um carro, todas as peças são solicitadas 
on-line aos parceiros comerciais, que as entregam dentro do prazo 
esquematizado, pois seguem um padrão de fabricação dependendo 
da demanda, e faz com que na data prometida o carro solicitado 
seja entregue ao cliente. Isto tudo oferece muitas vantagens às 
empresas, principalmente porque não é mais necessário trabalhar 
com grandes estoques. A tecnologia oferece ainda a possibilidade 
de dispor de acessos remotos a clientes externos e internos, 
www.esab.edu.br 9
usuários móveis e comunicação entre filiais.
Do ponto de vista da segurança, temos algumas preocupações:
•	 Diversidade de tecnologia: apesar da maioria das 
organizações utilizarem o TCP/IP, cada uma possui suas 
peculiaridades: cultura, políticas internas, perfil de usuário, 
que precisam ser estudadas com cuidado, pois extrapolam 
o lado técnico e operacional.
•	 Preservação das informações: é vital para as organizações 
que possuem este tipo de transação, a confiabilidade na 
proteção das informações, especialmente em casos onde 
existe grande interação entre empresas, para que uma não 
consiga obter dados não permitidos, nem da própria empresa 
nem das empresas parceiras.
•	 Acesso de informação: quanto mais níveis de acesso têm as 
informações disponíveis, maior é o custo e a complexidade 
do gerenciamento.
 Agora iremos refletir como poderemos minimizar estes 
impactos negativos dentro da organização, através de técnicas, 
metodologias e tecnologias de segurança.
Ambiente corporativo – Diversidade de conexões
Por que se proteger?
 A proteção de uma organização em TI não é apenas 
contra hackers, vírus e funcionários maliciosos, mas como 
www.esab.edu.br 10
uma garantia de que os negócios da empresa estarão 
disponíveis de forma fácil e flexível, favorecendo e 
concretizando as diversas tendências da globalização, como 
B2B (Business to Business), B2C (Business to Consumer) 
entre outros. Como exemplo, citamos o caso da Ford no Brasil 
que no ano de 2000, através do B2C, conseguiu realizar transações 
no valor de 3.311,00 milhões de dólares e do Banco do Brasil, que 
obteve o valor de transações on-line na ordem de 4.077,40 bilhões 
de dólares. Com valores tão expressivos, podemos mensurar o 
quanto é importante à instabilidade dos sistemas informatizados 
para estas e muitas empresas mundiais. Esta é uma das 
preocupações que temos que ter quando falamos em segurança.
 Outros dados que 
precisamos saber é que de acordo com pesquisas realizadas nos 
Estados Unidos (Computer Security Institute e FBI), temos um 
aumento substancial em incidentes de segurança, sendo que 70% 
envolvem a Internet, 31% sistemas internos e 18% acessos 
remotos. De acordo com Information Security, os números de 
servidores que sofreram ataques entre 2000 e 2001 dobraram e 
estão distribuídos da seguinte forma: 48% sofreram ataques, 39% 
ficaram indisponíveis e 32% ataque tipo overflow, podendo ter 
resultado em perda de confidencialidade. Apesar destes dados 
estatísticos, os ataques que mais atingem as organizações são os 
vírus, worms e Cavalo de Tróia, que chegou a um percentual de 
89%. Estes dados estatísticos vêm reforçar a idéia da necessidade 
da segurança, pois em qualquer tipo de incidente, existem grandes 
probabilidades dos clientes não conseguirem realizar negócios 
devido à falta ou lentidão da instabilidade dos sistemas 
www.esab.edu.br 11
informatizados. Isto para a organização é perda de dinheiro e 
credibilidade, fator muito importante e buscado com afinco em 
empresas que oferecem este tipo de serviço.
AS AMEAÇAS ORGANIZACIONAIS
São divididas em cinco:
•	 Ameaças físicas.
•	 Ameaças lógicas.
•	 Ameaça ocupacional.
•	 Ameaça à confidencialidade.
•	 Ameaça ambiental.
Ameaças Físicas
 São aquelas que os recursos materiais utilizados no 
ambiente de informação estão expostos, colocando em risco 
a integridade operacional da organização. Infelizmente, em 
muitas empresas, se gasta muito em segurança das informações 
e terminam se esquecendo de proteger o patrimônio. Exemplos:
•	 Catástrofes (momento de intensa e descontrolada 
distribuição): desabamento, explosões, incêndios, 
inundações, paralisações, sabotagem, espionagem, roubo; 
furtos, terrorismo, acidente, furacão, entre outros.
•	 Supressão de serviços: infra-estrutura operacional da 
tecnologia vigente falha ou deixa de existir causando 
interrupção ou descontinuidade às organizações.
•	 Falha de energia.
•	 Falha de equipamentos: defeito de fabricação, má revisão, 
uso inadequado, tempo de vida útil do equipamento.
•	 Temperatura do equipamento.
•	 Queda de comunicação: por acidente natural ou erro 
operacional.
www.esab.edu.br 12
Ameaças lógicas
 Ocorrem quando acontece uma modificação da capacidade 
funcional devido a dolo, acidente ou erro de recursos:
•	 Hacker ou usuários que conseguem acesso e usam de forma 
ilegais sistemas corporativos.
•	 Alteração e distribuição de dados de forma ilegal e destrutiva, 
através do uso intencional de programas maliciosos. De 
ponto de vista da segurança, este ato é tão criminoso quanto 
à destruição de bens tangíveis.
•	 Vírus: São programas que se ocultam dentro de outros.
•	 Vermes: Agem de forma independente, gerando cópias dele 
mesmo em outros sistemas. De modo geral, sua atuação 
consiste em distribuir programas e interromper o 
funcionamento da rede e sistemas computacionais.
•	 Roubo de equipamentos portáteis, devido a informações 
restritas a organização.
•	 Pirataria de software.
Ameaças ocupacionais
 Ocorrem quando há uma desestabilização de recursos 
humanos, modificando a capacidade funcional da organização:
•	 Espaço físico.
•	 Layout.
•	 Temperatura.
•	 Iluminação.
Ameaça à confidencialidade
 Ocorre quando intencional ou acidentalmente alguém 
consegue acesso a um recurso que não tem autorização de 
possuir. A privacidade é atingida por coletas ou mal uso de dados, 
como o recebimento de e-mails, propaganda indesejáveis, como 
convite ao uso de cartão de crédito em compras, tornando-se um 
grande problema quando acontece em excesso.
www.esab.edu.br 13
Ameaça ambiental
 Acontece quando se aplicam os quatro itens anteriores à 
infra-estrutura do ambiente, ou seja, a rede de computadores:
•	 Destruição de informação ou de outros recursos.
•	 Modificação ou deturpação da informação.
•	 Roubo, remoção ou perda da informação ou de outros 
recursos.
•	 Revelação de informações.
•	 Interrupção de Serviços.
 As ameaças podem ser acidentais, ou intencionais, podendo 
ser ambas ativas ou passivas:
•	 Ameaças acidentais: não estão associadas à intenção 
premeditada, como os bugs de software e hardware.
•	 Ameaças intencionais: estão associadas à intenção 
premeditada, como a observação de dados com ferramentas 
simples de monitoramento deredes e alteração de dados, 
baseados no conhecimento do sistema.
•	 Ameaças Passivas: quando realizadas não resultam em 
qualquer modificação nas informações contidas em um 
sistema.
•	 Ameaças Ativas: envolvem alterações de informações 
contidas no sistema, ou modificações em seu estado ou 
operação.
www.esab.edu.br 14
OS ATACANTES
CONHECENDO OS ATACANTES
 
O Objetivo dessa unidade é fazer com que você tenha c
onhecimento dos tipos de atacantes, seu perfil, 
como atacam e exemplos de incidentes ocorridos. Antes de 
conhecer como defender as organizações é preciso conhecer um 
pouco dos tipos de atacantes e ataques que as organizações 
estão sujeitas.
De quem preciso me proteger?
 Hacker significa pessoas que utilizam seus 
conhecimentos para invadir sistemas de computadores, com 
intuito de desafiar suas habilidades. Esta definição possui 
denotação diferente daquela que muitas vezes empregamos: 
hacker é aquele que invade sistemas computacionais visando 
causar transtornos às vitimas. Podemos dizer que a maioria dos 
hackers são pessoas que colocam o conhecimento em informática 
como algo de destaque em suas vidas, uma forma de poder. Em 
geral, são excelentes programadores de linguagens de alto nível, 
como C, juntamente com assembler (que apesar de ser de baixo 
nível apresenta compatibilidade e versatilidade) e, conhecem 
muito bem redes de computadores.
 Antigamente, somente existiam hacker e cracker – aqueles 
que causavam danos a sistemas e roubavam informações – e, 
como curiosidade, os hackers não gostavam, pois acabavam 
sendo incorporados a eles esta característica. Atualmente, esta 
classificação foi alterada e de acordo com estudos realizados, 
temos diversas outras classificações para os diversos tipos e 
www.esab.edu.br 15
níveis de hacker. Os mais conhecidos:
•	 Hackers.
•	 Full Fledged ou 
Crackers.
•	 Script kiddies ou 
Newbies.
•	 Lammers.
•	 Wannabe.
•	 Cyberpunks.
•	 Carders.
•	 Phreakers.
•	 Insiders.
•	 Coders.
•	 White hat.
•	 Gray hat.
•	 Cyberterrorista.
Hackers: no mundo da Ciência da Computação ou Ciência da 
Informação, os hackers são analistas de sistemas que são 
especialistas em segurança e auditoria. Com técnicas estudadas 
e algumas próprias, eles procuram brechas e possíveis falhas no 
sistema, e relatam o que foi achado e se existe uma forma para 
consertar. Infelizmente este conceito de hacker mudou depois de 
Kevin Mitinick, que utilizava estas técnicas para roubar informações 
vitais principalmente do governo americano. Depois que Mitnick 
foi preso, a mídia mundial o chamou de hacker, e o termo ficou 
assim conhecido por todos como sendo a pessoa que invade e 
rouba informações de sistemas.
 Com a nova economia gerada pelos computadores e pela 
Internet, é comum que as empresas guardem suas informações 
em formato digital, e também é comum a contratação de hackers 
por outras empresas, para espionagem industrial. Um hacker não 
age somente na Internet. Para descobrir informações que possam 
levá-lo a conseguir completo controle sobre o sistema, faz um 
verdadeiro trabalho de detetive. Um livro que ilustra muito bem 
esta situação é “A Arte de Enganar”, do Kevin Mitnick. Hoje, ele é 
proibido de acessar qualquer computador e presta consultoria de 
segurança para diversas organizações mundiais, conforme a 
liberação do governo americano. No livro, ele narra vários episódios 
www.esab.edu.br 16
de acesso a informações sigilosas. Ele não diz que foi ele quem 
obteve o acesso, mas muita gente acredita que sim. Pelo sim ou 
pelo não, é válido ler para verificar como podemos ser enganados 
facilmente.
Full Fledged ou Crackers: utiliza suas habilidades para invadir 
sistemas e roubar informações secretas das empresas, sendo os 
verdadeiros terroristas da Internet, com intuito de roubar e destruir 
dados. Não medem conseqüências, contanto que consigam o que 
querem. Não são de confiança e costumam ser desprezados pelos 
próprios hackers. É comum vender as informações para a própria 
vítima, ameaçando a divulgação do roubo, no caso da empresa 
não negociar. Este ato é chamado de blackmail. Citamos o exemplo 
da CD Universe que teve um cracker em seus sistemas. Ele 
capturou os dados de cartão de crédito dos clientes e exigiu 100 
mil dólares para não divulgar. A CD Universe não atendeu a 
solicitação e houve a divulgação dos mesmos.
Script kiddies ou Newbies: ou “novatos” são os principiantes e 
apesar de muitos descartarem este tipo, trazem diversos problemas 
para as empresa. Em geral, são pessoas inexperientes, que 
possuem conhecimento médio sobre como navegar na Internet, e 
utilizam pequenos programas para tentar invadir computadores 
(normalmente de usuários domésticos) disponíveis na Internet. 
Eles não entendem o que estão fazendo, nem o que significa o 
programa. São freqüentadores de salas de chat, onde procuram 
trocar informações com pessoas mais experientes. São perigosos 
para as organizações que não possuem uma política de segurança 
adequada, por isso apresentam algumas vulnerabilidades, como 
atualização de patch em servidor, sistemas operacionais e banco 
de dados. Porém, foi devido a este tipo de hacker que as 
organizações começaram a perceber o valor da segurança e 
realizarem procedimentos que minimizem os efeitos deste tipo de 
ataque, pois uma imensa maioria na Internet e também é o que 
www.esab.edu.br 17
mais causa incidente. Um fator interessante é que pelos 
conhecimentos dos scripts kiddies serem limitados, muitas vezes 
servidores Windows sofre ataques com comandos Unix.
Lammers: são script kiddies que estão começando a entender 
como o programa de invasão funciona, e descobrem locais onde 
podem trocar informações e aprender alguma técnica de 
hackerismo. Gostam de falar em salas de chat que conseguem 
invadir sistemas, querendo se apresentar a Internet. Às vezes, em 
chat fazem “flood” (ou inundação de informações). Felizmente, 
para cada grupo de Lammers que aparecem hoje na Internet, 
somente uns poucos conseguem chegar a se tornar hackers 
propriamente ditos.
Wannabe: são lammers que conseguiram invadir computadores 
com o uso de um programa ou parar os sistemas de um provedor 
pequeno ou empresa utilizando alguma técnica. O nome “Wannabe” 
surgiu devido ao número crescente de lammers, que “querem ser” 
hackers, e possuem algum conhecimento para isto. São aprendizes 
e se bem orientados, podem se tornar bons hackers. É comum 
escutar notícias de sites na Internet pichados pelos wannabe.
Cyberpunks: são hackers que se dedicam à invasão por 
divertimento e desafio. Possuem profundos conhecimentos e 
preservam sua privacidade, utilizando criptografia em suas 
comunicações. Eles acreditam que o governo tenta captar as 
informações das pessoas na Internet, tornando-se um grande 
inimigo. São os mais extremistas que acreditam e divulgam as 
teorias de conspiração que, muitas vezes, encontramos na Web.
Por terem um bom conhecimento e serem muito desconfiados, 
conseguem descobrir diversas vulnerabilidades em sistemas, 
serviços e protocolos, ajudando à comunidade e aos distribuidores 
a corrigir estes problemas. Infelizmente, as grandes empresas 
distribuidoras contam com esta ajuda externa e não adotam a 
www.esab.edu.br 18
política do desenvolvimento com segurança, caso contrário, não 
teríamos tantas correções em nossos sistemas computacionais.
Carders: são especialistas em roubar números de cartões de 
crédito e utilizar estes números para comprar via Internet. Como 
os crackers, os carders são hackers que, ou conseguiram invadir 
um sistema de uma operadora de cartões de crédito, ou trabalhavam 
no setor de Informática de uma operadora. Este tipo de hacker 
costuma causar grandes prejuízos as operadoras e empresas, 
obrigando estas a revisar a segurança constantemente.
Phreakers: são especialistas em telefonia e informática, com 
conhecimento suficiente para invadir um sistema utilizando o 
sistema de telefonia de um país, diferente daquele que está 
localizado.
Insiders: são os responsáveis pelamaioria dos incidentes graves 
nas organizações. Este tipo de ataque é originário da própria 
organização, podendo ser realizado a partir da engenharia social 
ou até mesmo relação de funcionário com o chefe, através da 
espionagem industrial e suborno.
 Uma nova modalidade do crime organizado é a espionagem 
industrial, atribuída aos insiders. E a demanda para estes hackers 
é grande, pois vivemos numa sociedade baseada no conhecimento 
e informação. Muitas pessoas nas organizações não sabem do 
valor que possuem em suas mãos. Os ataques internos, apesar 
de ser em menor quantidade, apresentam maiores prejuízos às 
organizações. É o que diz uma pesquisa realizada pela Computer 
Crime and Security Survey – Computer Security Institute. A 
pesquisa mostra que os hackers são os maiores atacantes a 
empresas (81%) contra os funcionários internos (76%). Porém, o 
ataque realizado por funcionários internos resulta em maiores 
perdas financeiras, sendo o roubo de propriedade intelectual da 
organização.
 O valor do prejuízo por roubo destas informações 
correspondeu a 151 milhões de dólares e o segundo colocado – a 
www.esab.edu.br 19
fraude financeira – a 93 milhões de dólares. Os funcionários são 
as maiores ameaças para a empresa por possuírem fácil acesso 
a informações, por conhecer pessoas de outros setores, ou seja, 
a fonte de informações importantes e ter acesso a diversas 
informações da empresa. Insiders geralmente são funcionários 
insatisfeitos com a empresa ou chefe, pois são mais fáceis de ser 
manipulados por concorrentes, que sabem como persuadir as 
pessoas que se encontram neste tipo de situação.
 Os terceiros podem constituir um grave risco, por conhecerem 
a rotina da organização, informações sigilosas, hábitos e pontos 
fracos da empresa. É possível que aceitem suborno para 
transmissão destas informações, a fim de obter segredos 
industriais. Outro controle importante é das pessoas da limpeza e 
manutenção predial, pois possuem acessos a diversas áreas 
restritas. A engenharia social pode ser utilizada nestas pessoas 
para a obtenção de diversas informações importantes.
Coders: são os hackers que compartilham seus conhecimentos 
escrevendo livros, ministrando palestras e seminários sobre sua 
experiência. É uma atividade lucrativa para os coders. Kevin 
Mitnick, mais uma vez, é um exemplo.
White hat: “hackers do bem”, “hackers éticos”, samurais ou 
sneakers, são os que utilizam seus conhecimentos para descobrir 
vulnerabilidades nos sites, aplicando as correções necessárias. 
Trabalham de forma legal dentro da organização, exercendo a 
função de assegurar a segurança organizacional.
 Em suas atividades estão os testes de invasões, para que 
se possa mensurar o nível de segurança da rede, porém deve-se 
limitar este processo, para que dados sigilosos a empresa não 
sejam expostos. O serviço de um white hat é importante, mas 
deve-se tomar cuidado para que o mesmo não queira cobrar a 
mais do que o combinado a fim de aplicar a correção à 
www.esab.edu.br 20
vulnerabilidade. Infelizmente, é preciso constantemente realizar 
esta atividade, pois a cada nova implantação podemos estar 
disponibilizando novas brechas de segurança.
Gray hat: são os black hats que fazem papel de white hats, 
exercendo função na área de segurança, tendo conhecimento em 
hacking. Empregar um gray hat é perigoso para a organização, 
pois muitas vezes provocam incidentes para ajudar na resolução 
– e receber por isto. Existem casos de gray hats que foram 
contratados para encontrar e corrigir vulnerabilidades, porém o 
serviço não foi feito.
Cyberterrorista: são aqueles que realizam ataques a um alvo 
direcionado, escolhido cuidadosamente por questões religiosas, 
políticas ou comerciais, derrubando a comunicação entre a Internet 
e a empresa, principalmente com ataques DoS (Denial of Service). 
Podemos citar o ataque no site da SCO e Microsoft no ano de 
2003, que devido a ataque coordenado ficou indisponível e obteve 
na mídia grande destaque.
Vídeode segurança de redes:
https://www.youtube.com/watch?v=XAsFhWIcA1I 
https://www.youtube.com/watch?v=XAsFhWIcA1I 
www.esab.edu.br 21
Segurança Continuada
 O mundo da segurança, seja pensando em violência 
urbana ou em hackers, é peculiar. Ele é marcado pela evolução 
contínua, no qual novos ataques têm como resposta novas 
formas de proteção, que levam ao desenvolvimento de novas 
técnicas de ataques, de maneira que um ciclo é formado. Não 
é por acaso que é no elo mais fraco da corrente que os ataques 
acontecem. De tempos em tempos os noticiários são compostos 
por alguns crimes “da moda”, que vêm e vão. Como resposta, o 
policiamento é incrementado, o que resulta na inibição daquele 
tipo de delito. Os criminosos passam então a praticar um novo tipo 
de crime, que acaba virando notícia. E o ciclo assim continua. Já 
foi comprovada uma forte ligação entre seqüestradores e ladrões 
de banco, por exemplo, na qual existe uma constante migração 
entre as modalidades de crimes, onde o policiamento é geralmente 
mais falho.
 Esse mesmo comportamento pode ser observado no mundo 
da informação, de modo que também se deve ter em mente que a 
segurança deve ser contínua e evolutiva. Isso ocorre porque o 
arsenal de defesa usado pela organização pode funcionar contra 
determinados tipos de ataques; porém, pode ser falho contra 
novas técnicas desenvolvidas para driblar esse arsenal de defesa. 
Veja alguns fatores que devem ser considerados para a 
preocupação com a segurança contínua:
a. Entender a natureza dos ataques é fundamental: é preciso 
entender que muitos ataques são resultados da exploração de 
www.esab.edu.br 22
vulnerabilidades, as quais passam a existir devido a uma falha no 
projeto ou na implementação de um protocolo, aplicação, serviço 
ou sistema, ou ainda devido a erros de configuração e administração 
de recursos computacionais. Isso significa que uma falha pode ser 
corrigida, porém novos bugs sempre existirão;
b. Novas tecnologias trazem consigo novas vulnerabilidades: 
é preciso ter em mente que novas vulnerabilidades surgem 
diariamente. Como novas tecnologias e novos sistemas são 
sempre criados, é razoável considerar que novas vulnerabilidades 
sempre existirão e, portanto, novos ataques também serão sempre 
criados. As redes sem fio (wireless), por exemplo, trazem grandes 
benefícios para as organizações e os usuários, porém trazem 
também novas vulnerabilidades que podem colocar em risco os 
negócios da organização;
c. Novas formas de ataques são criadas: a própria história 
mostra uma evolução constante das técnicas usadas para ataques, 
que estão cada vez mais sofisticadas. A mistura de diferentes 
técnicas, o uso de tecnologia para cobrir vestígios a cooperação 
entre atacantes e a criatividade são fatores que tornam a defesa 
mais difícil do que o habitual;
d. Aumento da conectividade resulta em novas possibilidades 
de ataques: a facilidade de acesso traz como conseqüência o 
aumento de novos curiosos e também da possibilidade de disfarce 
que podem ser usados nos ataques. Além disso, novas tecnologias, 
principalmente os novos protocolos de comunicação móvel, 
alteram o paradigma de segurança. Um cenário onde os usuários 
de telefones celulares são alvos de ataques e usados como porta 
de entrada para ataques a uma rede corporativa, por exemplo, é 
completamente plausível;
www.esab.edu.br 23
e. Existência tanto de ataques direcionados quanto de ataques 
oportunísticos: apesar de a maioria dos ataques registrados ser 
oportunística, os ataques direcionados também existem em grande 
número. Esses ataques direcionados podem ser considerados 
mais perigosos, pois, existindo a intenção de atacar, a estratégia 
pode ser cuidadosamente pensada e estudada, e executada de 
modo a explorar o elo mais fraco da organização. Esses são, 
geralmente, os ataques que resultam em maiores prejuízos, pois 
não são feitos de maneira aleatória, como ocorre com os ataques 
oportunísticos. Isso pode ser observado também pelo nível deagressividade dos ataques. Quanto mais agressivo é o ataque, 
maior é o nível de esforço dispensado em um ataque a um alvo 
específico. É interessante notar também que a agressividade de 
um ataque está relacionada com a severidade, ou seja, maiores 
perdas;
f. A defesa é mais complexa do que o ataque: para o hacker, 
basta que ele consiga explorar apenas um ponto de falha da 
organização. Caso uma determinada técnica não funcione, ele 
pode tentar explorar outras, até que seus objetivos sejam atingidos. 
Já para as organizações, a defesa é muito mais complexa, pois 
exige que todos os pontos sejam defendidos. O esquecimento de 
um único ponto faz com que os esforços dispensados na segurança 
dos outros pontos sejam em vão. Isso acaba se relacionando com 
uma das principais falácias do mundo corporativo: a falsa sensação 
de segurança. É interessante notar que, quando o profissional não 
conhece os riscos, ele tende a achar que tudo está seguro com o 
ambiente. Com isso, a organização passa, na realidade, a correr 
riscos ainda maiores, que é o resultado da negligência. Isso 
acontece com os firewalls ou com os antivírus, por exemplo, que 
não podem proteger a organização contra determinados tipos de 
ataques.
www.esab.edu.br 24
g. Aumento dos crimes digitais: o que não pode ser subestimado 
são os indícios de que os crimes digitais estão se tornando cada 
vez mais organizados. As comunidades criminosas contam, 
atualmente, com o respaldo da própria Internet, que permite que 
limites geográficos sejam transpostos, oferecendo possibilidades 
de novos tipos de ataques. Além disso, a legislação para crimes 
digitais ainda está na fase da infância em muitos países, o que 
acaba dificultando uma ação mais severa para a inibição dos 
crimes.
DICA
O que é assinatura digital.
http://www.jf.jus.br/cjf/tecnologia-da-informacao/
identidade-digital/o-que-e-assinatura-digital
http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-assinatura-digital
http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-assinatura-digital
www.esab.edu.br 25
TIPOS DE ATAQUES E CLASSIFICAÇÃO
CONHECENDO OS TIPOS DE ATAQUE
Como os hackers agem para conseguirem invadir sistemas em 
ambientes cooperativos?
Existe algum tipo de planejamento antes de um ataque?
Se sim, quais os pontos que são monitorados?
Qual é o pior tipo de ataque e o que mais compromete a 
disponibilidade da organização? Estas e outras perguntas serão 
respondidas neste capítulo.
Como os hackers agem para conseguirem invadir sistemas 
em ambientes cooperativos?
 Há duas formas de um hacker conseguir informações de 
uma empresa: através da engenharia social e utilização de 
invasões técnicas. Ambas exploram as deficiências no projeto do 
sistema ou de seu gerenciamento. Inclusive, o gerenciamento de 
sistemas vem sendo algo muito pesquisado e está aumentando 
oportunidades de se trabalhar nas organizações nesta atividade. 
O maior problema para as organizações é que os softwares 
adquiridos não estão sendo desenvolvidos para atender o quesito 
segurança, mas por estratégia de marketing, que diz que o produto 
realiza determinada tarefa e irá estar disponível no mercado em 
determinada data, minimizando o tempo de desenvolvimento e 
teste. Construir sistemas seguros exige maior disponibilidade de 
www.esab.edu.br 26
tempo e uma metodologia que propicie este comportamento. 
Diversos testes devem ser realizados, mas a maior parte das 
organizações sequer testa suas aplicações devidamente, sistemas 
operacionais e ferramentas para gerenciamento. É fácil afirmar 
pela quantidade de atualizações que são necessárias no decorrer 
da vida útil dos softwares que utilizamos.
Os hackers tentam explorar algumas condições:
•	 As vulnerabilidades na implementação e no designer do 
sistema operacional, serviços aplicativos e protocolos.
•	 Utilização de senhas de fácil dedução que podem ser obtidas 
através de capturas (packet sniffing).
•	 Uso impróprio de ferramentas para gerenciamento, como 
sniffing – que serve para diagnosticar problemas na rede – e 
por scanning – identifica portas ativas do sistema, e serviços 
por porta.
•	 Configuração, administração ou manutenção imprópria de 
sistemas coordenados por componentes de segurança, o 
que salienta a necessidade de se realizar as configurações 
dos componentes de forma apropriada. Ter um Firewall na 
rede não significa que a rede está protegida, e se aplica aos 
Sistemas de Detecção de Intrusão (IDS) mal configurados.
 A maior parte dos hackers na Internet são os newbies ou 
script kiddies e seus ataques são os mais simples (atacam 
vulnerabilidades do sistema operacional ou parecido, através de 
programas disponíveis da Web). Ao menos, este tipo de ataque 
deve não comprometer a continuidade dos negócios da empresa. 
As ferramentas de defesa, monitoração de rede, planos de 
contingência e política de respostas a incidentes vem a combater 
os hackers constantemente, porém é complicado disponibilizar 
defesas a novos tipos de ataques, por isso é importante que 
existam políticas e administradores de redes voltados à segurança.
www.esab.edu.br 27
Existe algum tipo de planejamento antes de um ataque?
 Os motivos que levam um hacker a invadir um site são 
diversos. Os script kiddies nem sabem o que estão fazendo, mas 
querem realizar ataques. Os insiders ou black hats têm um perfil 
diferente, realmente querem roubar informações sigilosas e invadir 
sistemas causando prejuízos às vitimas, causando os maiores 
transtornos aos sites. Os cyberterroristas também são perigosos 
para seus alvos, pois podem comprometer a infra-estrutura até 
mesmo de uma nação. Se um hacker com a experiência deles 
decidem invadir algum sistema obtendo primeiramente a maior 
quantidade de informações de seu alvo.
 Após conseguir o levantamento dos dados, eles utilizam os 
seguintes recursos:
•	 Monitoração de rede.
•	 Penetração no ambiente corporativo.
•	 Inserção de códigos prejudiciais e/ou informações falsas no 
sistema.
•	 Envio de muitos pacotes com a finalidade de derrubar o 
sistema.
 As conseqüências são diversas, pois depende da segurança 
implementada na rede atacada. Exemplos:
•	 Monitoração por parte dos hackers na rede corporativa.
•	 Roubo de informações confidenciais a empresa.
•	 Alteração em sistemas corporativos, especialmente em base 
de dados e servidores.
•	 Negação de serviços a usuários com permissão de acesso.
•	 Fraudes e perdas financeiras.
www.esab.edu.br 28
•	 Perda da credibilidade perante o mercado.
•	 Trabalho extra e indisponibilidade para clientes devido à 
recuperação dos recursos.
 Salienta-se o fato de que os hackers tentam esconder suas 
evidências de ataque, alterando logs do sistema operacional, 
trocando arquivos de configuração, entre outros procedimentos. 
Entretanto, existem formas de não permitir estes processos, 
através dos Sistemas de Detecção de Intrusão.
Etapas básicas para a metodologia de ataque Extraído do site 
www.microsoft.com
Tipos de Ataques
 O sucesso do ataque de um hacker está em obter informações 
de um sistema sem ser percebido. Relacionaremos os principais 
tipos de ataques e as técnicas utilizadas para obtenção de 
informações confidenciais, dividindo-os nos seguintes tipos:
•	 Ataques para obtenção de informações.
•	 Ataques físicos.
•	 Ataques de negação de serviços ou Denial Of Service (DoS).
http://www.microsoft.com
www.esab.edu.br 29
•	 Ataques ativos contra o protocolo TCP.
•	 Ataque no nível de aplicação.
•	 War Dialing.
Ataques para obtenção de informações:
a. Dumpster diving ou trashing: várias empresas desconhecem 
o valor do lixo de sua empresa, ao contrário de um hacker 
que examina os lixos em busca de informações importantes 
para o ataque, e conseguem na maioria das vezes. No livro 
“A Arte de Enganar”, Kevin Mitnick mostra muitas situações 
semelhantes. No Brasil, esta técnica é muito utilizada pelos 
hackers, pois nossa cultura é menosprezar o valor do lixo. 
Para amenizar esterisco, é importante distribuir 
fragmentadoras de papéis, pra evitar que o cruzamento das 
informações, que constam em papéis descartados no lixo, 
sejam cruzadas e transformadas em acesso a informações 
de clientes ou usuários. Esta prática deve ser incorporada à 
política da empresa.
b. Engenharia social: é a técnica que explora as fraquezas 
humanas e sociais, ao invés da tecnologia, com objetivo de 
persuadir as pessoas, enganando e empregando falsas 
identidades, a fim de obter informações como senhas, ou 
dados que sejam importantes para invadir o sistema. Muitas 
vezes, é utilizado termos da própria organização para obter 
êxito neste processo. De forma clássica, o hacker se passa 
por alguém da alta hierarquia da empresa e consegue as 
informações que precisam, ou usa novos funcionários 
contratados para conseguirem dados que de outra forma 
não conseguiriam.
Exemplos:
1: Um desconhecido liga para a sua casa e diz ser do suporte 
técnico do seu provedor, e que sua conexão com a Internet está 
www.esab.edu.br 30
apresentando algum problema e, então, pede sua senha para 
corrigi-lo. Caso você entregue sua senha, este suposto técnico 
poderá realizar uma infinidade de atividades maliciosas, utilizando 
a sua conta de acesso a Internet e, portanto, relacionando tais 
atividades ao seu nome.
2: Você recebe uma mensagem via e-mail, dizendo que seu 
computador está infectado por um vírus. A mensagem sugere que 
você instale uma ferramenta disponível em um site da Internet, 
para eliminar o vírus de seu computador. A real função desta 
ferramenta não é eliminar um vírus, mas permitir que alguém tenha 
acesso ao seu computador e a todos os dados nele armazenados.
3: Você recebe uma mensagem via e-mail, onde o remetente é o 
gerente ou o departamento de suporte do seu banco. Na mensagem 
é mencionado que o serviço de Internet Banking está apresentando 
algum problema e que tal problema pode ser corrigido se você 
executar o aplicativo que está anexado a mensagem. A execução 
deste aplicativo apresenta uma tela análoga àquela que você 
utiliza para ter acesso à conta bancária, aguardando que você 
digite sua senha. Na verdade, este aplicativo está preparado para 
furtar sua senha de acesso à conta bancária e enviá-la para o 
atacante.
 Os discursos apresentados nos exemplos mostram ataques 
típicos de engenharia social que procuram induzir o usuário a 
realizar alguma tarefa e o sucesso do ataque depende única e 
exclusivamente da decisão do usuário em fornecer informações 
sensíveis ou executar programas. Citamos o exemplo ocorrido à 
AOL em outubro de 1998, que através da engenharia social, um 
hacker conseguiu alterar o DNS e direcionar todo o tráfego para 
um outro servidor, que não era do provedor.
www.esab.edu.br 31
Ataques físicos
 É caracterizado por roubo de equipamentos, softwares ou 
fitas magnéticas e é dos métodos de ataques mais comuns. 
Citamos o exemplo do famoso Kevin Poulser, que roubou diversos 
equipamentos do provedor de acesso de diversas organizações, 
quebrando o sigilo e confidencialidade de diversas empresas. 
Informações livres e disponíveis na Internet: distribuídas livremente 
na Internet e consideradas não intrusivas são valiosas para 
ataques direcionados.
 Citamos o exemplo das consultas ao DNS, análise de 
cabeçalhos de e-mail e busca de informações em lista de 
discussões. Baseado nestes tipos de dados é possível descobrir 
detalhes sobre sistemas, topologia e dados de usuários que 
podem servir num ataque, mesmo de forma inconsciente para 
quem o fornece. Citamos também as listas de discussões que 
muitas vezes constam informações da pessoa, como cargo e 
setor, e dos superiores em caso de mensagens mal formadas de 
ausência. Outros exemplos são os protocolos Simple Network 
Management Protocol (SNMP) e o Netbios, e serviços como finger, 
ruses, systat, netstat, todos os casos disponibilizam informações 
do tipo de sistema operacional e sua versão.
 Packet Scanning ou eavesdropping: consiste na captura de 
pacotes que trafegam pela rede. Diversos softwares realizam esta 
tarefa, como snoop do Solaris, tcpdump do Linux, utilizados para 
resolução de problemas de rede. As informações obtidas pelos 
sniffers são referentes a pacotes que trafegam pelo segmento que 
o software esta funcionando. Disponibilizam diversas ferramentas 
de filtros, que auxiliam na detecção de problemas e identificação 
de transações. Fazer sniffer na rede é muito importante para os 
administradores, porém em mãos de hackers é um grave problema 
para a organização. Para minimizar este problema, é recomendável 
segmentar a rede, através de switch ou roteadores, pois este 
procedimento dificulta o entendimento do tráfego.
www.esab.edu.br 32
 Outros tipos de informação capturada através de sniffers 
são as senhas sem criptografia, ou seja, que trafegam com FTP, 
Telnet ou Pop. Os e-mails também perdem sua confidencialidade 
através dos sniffers. Como medida de segurança, é recomendável 
o uso de criptografia, como SSH ou IPSec, ao invés do Telnet. É 
importante também, o uso de criptografia nos e-mails. Há técnicas 
diversas para descobrir se um sniffer está sendo executado. Um 
deles e mais simples é verificar se existe, em cada equipamento 
da rede, seu processo em execução, porém é comum que os 
hackers o inibam da lista, dificultando a percepção dos 
administradores. O mesmo ocorre com a verificação de 
equipamentos em execução de modo promíscuo.
 Uma forma de amenizar o problema de execução de sniffer 
por hackers é a utilização de tráfego com senha. A identificação do 
hacker é feita quando o mesmo tentar acessar recursos com uma 
senha não válida, porém ele consegue efetuar algumas transações 
de forma legítima, inclusive com os dados do usuário que ele 
roubou. . O Mac Detecction é uma forma de o hacker aproveitar a 
vulnerabilidade do endereço IP em equipamentos que não estão 
implementados o TCP/IP corretamente, utilizando um MAC 
Address falso, onde o IP não confere com o MAC Address de 
equipamentos em modo promíscuo.
 O DNS Detecction utiliza a característica de alguns sniffers 
de realizar o DNS Reverso onde um tráfego com endereço falso é 
colocado na rede e, o sniffer captura o tráfego e tenta resolver o 
nome através do DNS. O DNS consegue saber quantos sniffers 
estão na rede, porém não consegue localizar os segmentos.
 O Load Detecction é a detecção a partir do comportamento 
de um equipamento quanto a tempo de resposta, levando em 
consideração que o equipamento onde está sendo executado 
sniffer possui um tempo de resposta maior do que o normal. Em 
geral, é enviado um pacote teste para realizar a análise estatística. 
Entretanto, esta técnica não funciona com eficiência em redes de 
www.esab.edu.br 33
muito tráfego e banda considerável, pois torna-se semelhante o 
tempo de resposta com e sem sniffer.
 Um caso prático: Como proteger sua senha contra Sniffers: 
se o usuário possui uma senha adequada, a troca é realizada com 
certa regularidade e um dia é surpreendido por uma invasão em 
sua conta, por exemplo. As evidências indicam que invasões a 
contas de terceiros partiram de sua conta e você não tem a menor 
idéia do que está acontecendo. Isto é, alguém pode ter feito uso 
de sua conta e realizou estes atos como sendo você. Como isso 
pode ter acontecido? Uma forte possibilidade é que você tenha 
sido vítima de um ataque de sniffer. Mas, o que é isso?
 Sniffers são programas que permitem a um atacante roubar 
sua senha e assim utilizar a sua conta como se fosse você. Estes 
tipos de ataques são comuns. É muito importante que você, como 
usuário Internet, tenha consciência de como suas senhas são 
vulneráveis e como tomar medidas apropriadas para tornar sua 
conta mais segura. Selecionar uma boa senha e regularmente 
trocar de senha ajuda bastante, mas também é muito importante 
que se conheça quando se está vulnerável a sniffers e como lidar 
com eles.
 Os sniffers são programas que permitem monitorar a 
atividade da rede registrando nomes (username esenhas) sempre 
que estes acessam outros computadores da rede. Atuam 
monitorando o fluxo de comunicação entre os computadores. 
Estes programas ficam monitorando o tráfego da rede para 
capturar acessos a serviços de redes, como serviço de e-mail 
remoto (IMAP e POP), acesso remoto (telnet, rlogin, etc), 
transferência de arquivos (FTP), etc., com objetivo de obter a 
identificação de acesso à conta do usuário, caso esteja nas mãos 
de um hacker. Cada um destes serviços utiliza um protocolo que 
define como uma sessão é estabelecida, como sua conta é 
identificada e autenticada e como o serviço é utilizado, e ao ser 
disponibilizado solicita uma autenticação, usuário e senha, neste 
www.esab.edu.br 34
momento o hacker obtém sucesso na sua tentativa de saber dados 
alheios, ou seja, os dados que mais interessam no snifffer, neste 
caso, são os do inicio da sessão.
 A figura seguinte mostra o processo de “conversação” entre 
duas máquinas remotas, onde a identificação do usuário passa 
“abertamente” pela rede de uma máquina para outra.
Transferência de arquivos via FTP
 A máquina A inicia a conexão com a máquina B, que solicita 
identificação do usuário. Este ao se autenticar na máquina remota 
B tem sua senha capturada pelo sniffer. Para entender como um 
“sniffer” funciona é preciso saber que cada computador em uma 
LAN compartilhada pode visualizar todos os pacotes de dados 
que transitam de um computador a outro desta LAN. Assim, cada 
computador desta rede pode executar um programa sniffer que 
verificará os pacotes, podendo os salvar em um arquivo.
 Basicamente, os seguintes passos são executados por 
atacantes:
Passo 1: O atacante, ao penetrar em sua rede, quebrando uma 
determinada máquina.
Passo 2: Instala um programa sniffer.
Passo 3: Este programa monitora a rede em busca de acesso a 
www.esab.edu.br 35
serviços de rede, as capturas são realizadas e registradas em um 
log file.
Passo 4: Em seguida, o arquivo de log é recuperado pelo atacante.
 Existem diversas razões que levam pessoas a roubar 
senhas, desde para simplesmente para perturbar alguém, desafiar 
conhecimentos ou praticar atividades ilegais (invasão em outros 
computadores, roubo de informações, etc). Um atrativo para os 
hackers é a capacidade de utilizar a identidade de terceiros nestas 
atividades. Uma das principais razões que atacantes tentam 
quebrar sistemas e instalar sniffers é poder capturar rapidamente 
o máximo de contas possível, a fim de ocultar seus ataques. 
Parece desesperador dizer tudo o que um sniffer pode fazer para 
uma rede, em mãos erradas. Mas, o importante é saber onde 
estão os riscos e tentar se proteger de forma adequada.
 Quando você tem seu cartão de crédito roubado ou desconfia 
que alguém pode estar utilizando-o indevidamente, você cancela 
o cartão e solicita outro. Da mesma forma, como senhas podem 
ser roubadas, é fundamental que você a troque regularmente. 
www.esab.edu.br 36
Esta precaução limita a quantidade de tempo que uma senha 
roubada possa ser utilizada por um atacante. Nunca compartilhe 
sua senha com outros. Este compartilhamento torna difícil saber 
onde sua senha está sendo utilizada (e exposta) e é mais difícil 
detectar uso não autorizado.
 Nunca forneça sua senha para alguém alegando que precisa 
acessar sua conta para corrigir algum problema ou quer investigar 
uma quebra do sistema. Este truque é um dos métodos mais 
eficazes de hacking, conhecido como “engenharia social”. Outro 
aspecto que você deverá levar em consideração é o nível de 
segurança da rede que você utiliza ou administra. Se você estiver 
viajando e necessita acessar computadores de sua organização 
remotamente. Por exemplo, pegar algum arquivo em seu home 
directory e você tem disponível um cybercafé ou uma rede de 
outra organização. Você tem certeza que pode confiar naquela 
rede? Você tanto pode estar sendo monitorado com sniffers quanto 
pode ter algum trojan fornecendo suas informações a algum 
hacker.
 Se você não tiver nenhuma alternativa para acesso remoto 
seguro e só tem disponíveis recursos como Telnet, por exemplo, 
você pode minimizar o efeito negativo trocando a senha ao final 
de cada sessão. Lembre-se que somente os primeiros pacotes 
(200 a 300 bytes) de cada sessão carregam informações de seu 
login. Portanto, ao trocar sempre sua senha antes de encerrar a 
sessão, esta não será capturada e a senha anterior que esteve 
exposta à rede não será mais válida. É claro que é possível se 
capturar tudo que passar pela rede, mas atacantes não tem 
interesse de lotar o sistema de arquivo rapidamente e com isso 
ser facilmente descobertos.
 As redes continuam vulneráveis a sniffers devido a diversos 
fatores. Podemos dizer que a maior parte do problema é que as 
empresas tendem a investir mais em novos recursos do que em 
adicionar segurança. Novas funcionalidades de segurança podem 
www.esab.edu.br 37
deixar os sistemas mais difíceis de configurar e menos convenientes 
para utilizar. Outra parte do problema está relacionada a custos 
adicionados por switches Ethernet, hubs, interfaces de rede que 
não suportam o modo especial promiscuous que sniffers podem 
utilizar.
 Os sniffers são aplicações passivas, não geram nada que 
possa ser sentido facilmente pelos usuários e/ou administradores. 
Em geral, não deixam rastros. Uma forma de detectar um sniffer é 
verificar todos os processos em execução. Isto não é totalmente 
confiável, mas é um bom ponto de partida. Comandos para listar 
processos em execução variam de plataforma para plataforma. 
Se você estiver em uma máquina Unix, o sniffer aparecerá em 
uma lista do comando ps, a menos que este ps seja um trojan 
(programa implementado pelo atacante que aparentemente 
funciona como o esperado, mas efetuar funções desconhecidas 
pelo usuário). No Windows, basta verificar na lista de processos 
em execução e para isto, basta teclar <CTRL><ALT><DEL>.
 Outra alternativa é procurar por um sniffer conhecido. Existe 
uma grande chance de o atacante estar utilizando uma versão 
freeware. Obviamente, existe a possibilidade de o atacante ter 
escrito o seu próprio sniffer e neste caso a busca fica mais difícil. 
É preciso gastar mais tempo em analisar o que pode ter sido 
alterado pelo atacante. Por exemplo, comparar backup de dias 
diferentes ou utilizar alguns programas que possam ajudá-lo nesta 
atividade, como TripWire, ATP e Hobgoblin que são programas 
interessantes para checagem da integridade do sistema e arquivos.
 Os sniffers podem ser disfarçados na listagem do ps (o 
próprio ps como a maioria dos programas também pode). Basta 
trocar o argumento do seu argv[0] (o primeiro argumento) para um 
nome qualquer e não parecerá ser um programa suspeito que 
esteja em execução. Alguns utilitários permitem identificar se o 
seu sistema encontra-se em modo promíscuo e levá-lo a encontrar 
uma máquina suspeita.
www.esab.edu.br 38
Muitas organizações que estão atentas a este problema utilizam:
•	 Placas de redes que não podem ser colocadas em modo 
promíscuo. Assim, os computadores não podem ser 
transformados em sniffer.
•	 Normalmente, a interface Ethernet passa somente pacotes 
até o protocolo de nível mais alto que são destinados a 
máquina local. De modo promíscuo esta interface permite 
que todos os pacotes sejam aceitos e passados para a 
camada mais alta da pilha de protocolos, permitindo que a 
seleção do que se deseja.
•	 Nos pacotes em trânsito pela rede, os dados são 
criptografados, evitando assim que senhas trafeguem às 
claras.
 Considerando o último item, a prática de utilizar criptografia 
em sessões remotas, ajuda a manter a segurança das informações 
e senhas. Porém, para uma segurança mais efetiva somente 
quando implementado em todos os computadores que você utiliza 
em sua empresa ou casa e nas organizações fora de sua empresa 
que eventualmente tenha conta. Uma das tecnologias de 
criptografia bastante comum atualmente na comunicação segura 
entre máquina remota é SSH (Secure Shell). O SSH encontra-se 
disponívelpara diferentes plataformas. O seu uso não impede que 
a senha seja capturada, mas como esta se encontra criptografada 
não servirá para o atacante. O SSH negocia conexões utilizando 
algoritmo RSA. Depois que o serviço é autenticado, todo o tráfego 
subseqüente é criptografado utilizando tecnologia IDEA. Este tipo 
de criptografia é bastante forte.
www.esab.edu.br 39
 PortScanning: é um conjunto de ferramentas utilizadas 
para obter informações dos serviços executados por um 
equipamento, através do mapeamento de portas, pelo qual 
portas ativas para um endereço IP são identificadas. Cada 
porta é designada para uma aplicação específica (SMTP 25, SSH 
22, etc). Para um hacker, o port scanning favorece a redução de 
esforço quanto a ataques através de portas que não estão 
disponíveis nenhum serviço, podendo atacar de forma mais 
direcionada, conforme o serviço disponível e porta.
Vídeo de scanner de porta:
https://www.portalgsti.com.br/2013/06/41-video-aulas-de-
seguranca-da-informacao-gratis.html
https://www.portalgsti.com.br/2013/06/41-video-aulas-de-seguranca-da-informacao-gratis.html
https://www.portalgsti.com.br/2013/06/41-video-aulas-de-seguranca-da-informacao-gratis.html
www.esab.edu.br 40
Pesquisar e instalar um port scanner (não blues ou nmap) - 
Método
 O nmap é o port scanning mais utilizado, sendo empregado 
em auditorias de Firewall ou IDS, além de determinar falhas na 
pilha TCP/IP, que podem ser exploradas em ataques do tipo DoS. 
Através do método fingerpriting, ele consegue identificar o sistema 
operacional dos equipamentos scanneados. Existe ainda, a 
possibilidade de informar a seqüência de pacotes TCP, o que esta 
sendo feito em cada porta, por usuário, o nome DNS e se o 
endereço pode se tornar uma vítima do smurf.
www.esab.edu.br 41
 “Uma característica muito utilizada do nmap é o scanning 
paralelo que auxilia na detecção de estado de hosts pelos pings 
paralelos, filtragem de portas, decoy scanning, fragmentação de 
pacotes e flexibilidade na especificação de portas e alvo. Outra 
informação útil, é que o nmap informa o status de cada porta 
aberta, se aberta (aceita conexões), filtrada (o Firewall impede 
que seja especificado o estado da porta) e não filtrada. Muitos 
Firewalls podem protegê-lo contra o port scanning. O Firewall é 
um programa que monitora conexões de entrada e saída para o 
seu computador. Um Firewall pode abrir todas as portas do seu 
sistema de forma a interromper efetivamente o scan (varredura) 
de mostrar qualquer porta. Embora essa abordagem funcione em 
muitos casos, port scan avançou com novas técnicas como “ICMP 
port scan inacessível” e “Null scan”. Assim como é melhor tentar 
filtrar todas port scans para o seu computador, também é importante 
estar ciente de que qualquer porta que está aberta e na escuta 
precisa ser investigada.”
•	 Scanning de vulnerabilidades: realiza diversos testes na 
rede, tanto em protocolos, serviços, aplicativos ou sistemas 
operacionais.
 Se o hacker conseguir realizar o port scanning, conseguirá 
direcionar melhor seu ataque, na porta e serviço disponibilizado 
correto, além de ter identificado o sistema operacional do alvo, 
diminuindo o tempo gasto para causar o incidente de segurança. 
Através do scanner, que examina roteadores, Firewalls, sistemas 
operacionais e outras entidades IP, são detectados alguns riscos 
existentes na rede:
•	 Compartilhamento de arquivos não protegidos por senha.
•	 Configuração incorreta de roteadores, Firewall, navegadores 
ou serviços.
•	 Software com atualizações faltantes.
•	 Número de pacote TCP com facilidade de hackers descobrir.
www.esab.edu.br 42
•	 Buffer overflow em serviços, softwares e sistemas operacionais.
•	 Falhas de protocolos utilizados na rede.
•	 Roteadores mal configurados que expõe a rede.
•	 Checagem de trojans.
•	 Verificação de senhas fáceis de deduzir.
•	 Possibilidade de ataque de negação de serviço, ou Denial of 
Service (DoS).
 O scanner consegue diagnosticar diversas vulnerabilidades 
de sistema, e é uma ferramenta poderosa para a análise de riscos, 
segurança e auditoria. Ele vem alertar a organização de suas 
fragilidades para que medidas de segurança sejam tomadas. Todo 
scanning resulta num relatório, que deve ser avaliado pelos 
administradores de rede ou segurança, para diagnosticar a 
existência de “falsos-positivos” (dedução do scanner de ataque 
quando na verdade não é). Outro fator é a necessidade de se 
atualizar constantemente com assinaturas de novos ataques, para 
que o scanning seja o mais preciso possível. Vê-se que através do 
scanning podemos obter dados importantes da rede. Isto é válido 
para administradores e para hackers. Por isso, é vital que exista 
na rede Sistema de Detecção de Intrusão (IDS) para não permitir 
www.esab.edu.br 43
que hacker exerça esta atividade.
•	 Firewalking: O firewalking é um analisador de pacotes 
similar ao traceroute, que obtém informações de redes 
remotas protegidas por Firewall, através do protocolo ICMP.
 Obtém informações sobre uma rede remota protegida por 
um firewall, e tem o funcionamento similar ao traceroute. Os 
pacotes analisados são registrados mesmo que passem via 
gateways, permitindo o mapeamento dos roteadores antes dos 
Firewalls. Através destas informações, é possível gerar a topologia 
da rede e obter informações sobre filtragens de pacotes no Firewall.
 Uma das formas de se proteger contra o firewalking é 
proibindo o tráfego de pacotes ICMP na rede, utilização de proxy 
ou Network Address Translation – NAT no Firewall (o NAT faz com 
que um certo IP externo tenha receba uma tradução dentro da 
rede interna, outro IP e vice-versa).
•	 IP Spoofing: é uma técnica onde o endereço real do atacante 
é mascarado, evitando do mesmo ser encontrado. É bem 
www.esab.edu.br 44
utilizado em sistemas autenticadores e em ataque de 
negação de serviço ou Denial of Service (DoS), nos quais os 
pacotes de respostas não são esperados.
 O IP Spoofing não consegue entregar a resposta das 
requisições, pois o IP na realidade não existe.
Ilustração de ataque IP Spoofing (http://www.las.ic.unicamp.br/
edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf)
 Um administrador pode proteger a rede corporativa 
restringindo as interfaces de rede, através de filtros de acordo com 
o endereço utilizado na rede externa. Citamos o exemplo de que 
se a empresa tem endereços 200.246.200.0 disponíveis 
externamente, o Firewall deve negar conexão onde a origem é 
200.246.200.0. O Land pode auxiliar na pesquisa da vulnerabilidade 
TCP/IP, fazendo com que a origem e destino tenham a mesma 
porta, caso estejam dentro da rede corporativa, evitando o IP 
Spoofing de endereços internos a rede.
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
www.esab.edu.br 45
Ilustração de ataque IP Spoofing (http://www.las.ic.unicamp.br/
edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf)
Ataques de negação de serviços ou DoS
 SYN flood ou ataque SYN é uma forma de ataque de negação 
de serviço (também conhecido como Denial of Service – DoS) em 
sistemas computadorizados, na qual o atacante envia uma 
seqüência de requisições SYN para um sistema-alvo e, ao 
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
www.esab.edu.br 46
atingirem um alvo, deixam o sistema indisponível os usuários 
legítimos. Na maioria das vezes, realizam o Syn Flood enviando 
grande número de conexões que não são completadas, somente 
para aumentar o uso dos recursos aos equipamentos alvos. Um 
exemplo, é o envio de Smurfs, que causam interrupção nos 
serviços.
 A condição propícia para este tipo de ataque está no mau 
desenvolvimento de aplicações, sistemas operacionais e 
protocolos, que fornecem brechas de segurança que podem ser 
exploradas. Citamos como exemplo, os servidores Unix e Linu, 
que aoreceberem um grande número de conexões sem conseguir 
responder, seu processo sobe para o total de 1500, causando uma 
parada no servidor. Do Windows, podemos citar o caso do 
mapeamento de DLL, que ao ser acessado, pode referenciar outra 
DLL, com o mesmo nome, podendo exercer atividade diferente.
•	 Syn Flood: é o envio de conexões (Syn) em quantidade 
capaz de fazer com que o servidor não consiga responder. A 
pilha da memória sofre overflow, desprezando as requisições 
legítimas dos usuários. Pode ser evitado com a comparação 
com o número de conexões novas e em aberto, alertando 
quando o valor padrão for ultrapassado.
 Outra vulnerabilidade é o controle dos pacotes que trafegam 
pela rede e sua seqüência, que devem estar no padrão esperado. 
Para evitar este ataque deve-se aumentar a fila de conexões e 
diminuindo o time-out handshake. Esta opção não elimina, mas 
minimiza o problema. Fragmentação de pacotes: é preciso 
entender porque o protocolo IP permite a fragmentação de pacotes. 
Se o tamanho do pacote > MTU do meio, então ocorre fragmentação.
 É possível sobrescrever cabeçalhos durante a remontagem 
dos pacotes a fim de driblar as regras de filtragem do firewall. Existe 
a capacidade máxima de cada tipo de meio físico de tráfego de dados, 
denominada Maximun Transfer Unit ou MTU. A rede Ethernet limita a 
transferência a 1500 octetos e a FDDI a 4770 octetos, por exemplo.
www.esab.edu.br 47
 
Como existem informações maiores que este tamanho, o endereço 
IP especifica que é permitido fragmentar em pacotes as mensagens 
com tamanho maior que o MTU, afim de que as mesmas atinjam 
o destino. Neste caso, o pacote é fragmentado de um tamanho 
que possa trafegar pela rede, após negociação entre os hosts, de 
forma que no host destino seja remontado.
Existem alguns problemas neste processo:
•	 O primeiro é que o pacote pode alterar a porta de conexão 
no meio da transmissão, facilitando o acesso a sistemas que 
não são permitidos ao usuário.
•	 O segundo é que se o reagrupamento de pacotes for maior 
do que o permitido ocorre o chamado buffer overflow – 
causando indisponibilidade e travamento no sistema, um 
DoS. No fim de 1996, ocorreu o Ping O´Death que nada 
mais foi do que a exploração desta vulnerabilidade. Era 
enviado ping de tamanho grande, que gerava o travamento 
de sistemas. O problema é resolvido através de patch, que 
corrigiram o que fazer quando acontece overflow no kernel.
•	 O terceiro é que por ser processado no host, é complicado 
saber se é um ataque ou não, para um Firewall ou sistema 
de detecção de intrusão, por melhor configurado que seja.
•	 O quarto é que os filtros de pacotes não podem restringir a 
fragmentação. Usar NAT não resolve estes problemas, pois 
o mesmo encontra-se vulnerável a este ataque.
www.esab.edu.br 48
 Teardrop é uma ferramenta que explora a fragmentação de 
pacotes IP, auxiliando os administradores para a defesa de ataque 
por fragmentação de pacotes.
•	 Smurf e fraggle: Smurf é uma técnica que gera tráfego na 
rede através de broadcast de ping (ICMPecho) na rede, a 
partir de um IP falsificado (IP Spoofing). Desta forma, a rede 
tenta responder à requisição e não consegue, afetando o 
seu desempenho. O fraggle seria a mesma técnica, porém 
utilizando o UDP echo.
Ataque Smurf e fraggle (http://www.las.ic.unicamp.br/edmar/
Palestras/UFV/Seguranca_Vulnerabilidades.pdf)
 Para resolver este problema, o administrador deve configurar 
os roteadores a não permitirem broadcast, não permitindo desta 
forma o uso de ping na rede. Outra forma de minimizar problemas 
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
www.esab.edu.br 49
com Smurf é o egress filtering. O método consiste em somente 
aceitar requisições de ping da rede corporativa, evitando que 
endereços desconhecidos trafeguem pela rede. A filtragem se 
torna fundamental, especialmente para ataques coordenados.
Ataques ativos contra o TCP
 Uma conexão TCP é definida por quatro informações 
básicas:
•	 Endereço de IP do cliente.
•	 Porta de TCP do cliente.
•	 Endereço de IP do servidor.
•	 Porta de TCP do servidor.
 Todo byte enviado é identificado por uma seqüência de 32 
bits, diferente em cada conexão e de forma seqüencial, que é 
reconhecida pelo receptor da mensagem. Aproveitando a 
desincronicidade do protocolo TCP, que não garante que a sequência 
ser preservada após estabelecida a conexão, dois hosts começam 
a trocar informações, então, um terceiro host (do hacker) coloca a 
seqüência certa em seus pacotes, interferindo no meio da 
comunicação, enviando pacotes válido, ocasionando o ataque 
chamado man-in-the-middle. O problema deste ataque é a 
quantidade de TCP ACK, pois ao receber um ACK invalido a 
seqüência é enviada a outro host sucessivamente, até que alguém 
o negue. Existem dois métodos que auxiliam na desincronização de 
conexões: early desyncronization (interrompe conexão e forma 
outra internamente com nova sequência) e null data desyncronization 
(envio de grande quantidade de dados para o servidor e clientes, de 
forma que os mesmos não percebam).
Ataques coordenados ou DDoS
 Modalidade de ataque onde existem vários hosts que são 
coordenados por um hacker para atacar determinado site ou 
servidor. É muito eficiente, pois normalmente a vítima não tem 
como minimizar a situação, por não saber identificar a origem 
do ataque.
www.esab.edu.br 50
Ataque DdoS (http://www.las.ic.unicamp.br/edmar/Palestras/UFV/
Seguranca_Vulnerabilidades.pdf)
 Os primeiros ataques DDoS utilizavam quatro níveis 
hierárquicos. O hacker coordena diversos servidores master. 
Através das vulnerabilidades de sistemas conhecidas nestes 
servidores, através de scannings, é instalado daemons – programas 
que irão atacar as vítimas. Este tipo de ataque utiliza alta tecnologia, 
inclusive de criptografia entre servidores master e daemons. A 
instalação de daemons é realizada de modo dinâmico e são 
implementadas diversas formas de se esconder as evidencias do 
ataque. Como exemplo de ferramentas utilizadas para ataques 
DDoS, podemos citar:
•	 Trinoo: é um ataque DDoS para o protocolo UDP. Ele utiliza 
um reduzido número de servidor máster e grande número 
de daemons, instruídos para atacar certos IP’s. O trinoo não 
utiliza IP Spoofing e o tráfego com os servidores masters 
requerem senhas. Em 1999, este tipo de ataque tornou 
indisponível o site da Universidade de Missota. Porém, este 
tipo de ataque possui assinatura que pode ser colocada no 
IDS para sua detecção, além de outros pontos falhos que 
podem ser diagnosticados, mas existe aumento de 
complexidade de gerenciamento.
•	 TFN: é um ataque DDoS para o protocolo TCP e implementa 
o IP Spoofing, TCP SYN Flooding e ICMP . O processo é 
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf
www.esab.edu.br 51
acionado quando o hacker dá especificação aos masters 
para iniciar o ataque através dos daemons. Neste tipo de 
ataque, as origens e os pacotes podem ser alterados de 
forma aleatória. Existe assinatura que ajudam sua detecção 
na rede para IDS.
Ataque no nível de aplicação
 Exploram as brechas de seguranças dos protocolos, 
servidores e aplicativos, no nível de aplicação. Tipos mais comuns:
•	 Buffer Overflow.
•	 Ataque através de gateways da rede.
•	 Vulnerabilidades no protocolo FTP e SNMP.
•	 Vírus.
•	 Trojans.
•	 Worms.
•	 Buffer Overflow: é um ataque onde o hacker envia mais 
dados do que o tamanho do buffer, preenchendo o espaço 
da pilha, com intuito de que os dados sejam perdidos devido 
a falha na camada de aplicação, sendo possível a execução 
de comandos que podem dar permissão, até mesmo de 
administradores do sistema, reescrevendo o código na pilha 
do sistema. É um dos ataques mais utilizados por hackers.
Frames no cache da pilha (www.inf.ufrgs.br)
http://www.inf.ufrgs.br
www.esab.edu.br52
 Um exemplo prático que pode acontecer é um hacker enviar 
uma string na URL com tamanho superior ao manipulável. Se a 
aplicação não estiver tratando esta situação, é possível acontecer 
pane no sistema, ajudando a acontecer um ataque buffer overflow. 
Por este ataque ser característico de cada aplicação sua prevenção 
é muito complicada – em geral, está resumida à correção em 
aplicativos. A maior parte destas correções são geradas a partir 
dos incidentes ocorridos, de forma reativa. É o famoso 
desenvolvimento voltado à venda e não a segurança, conforme 
expomos nesta disciplina. Há uma técnica que pode auxiliar neste 
processo, que na realidade vem localizar de forma aleatória o 
buffer overflow, não permitindo que o hacker venha a gravar as 
informações da maneira que lhe é interessante (seqüencialmente) 
e com conhecimento de sua localização na pilha. Um produto que 
oferece este recurso é o Secured da Memco.
•	 Ataques a gateways da rede: é um ataque que se aproveita 
das vulnerabilidades de bugs em servidores, navegadores 
de Internet, Common Gateway Interface (CGI) e Active 
Server Pages (ASP).
Ataques mais comuns:
•	 Web defacement: alteração em conteúdo das paginas por 
hackers, chamadas “pixações” de sites.
•	 Poison null: possibilita a visualização do conteúdo dos 
diretórios, muitas vezes permitindo a alteração e consulta 
através de servidores Web, utilizando o mascaramento dos 
comandos de checagem de segurança CGI (null byte – 
pacote de dados não detectados pelo scriptCGI).
•	 Upload Bombing: ataque direcionado a sites com upload, 
cuja finalidade é enviar arquivos que preencham o disco 
rígido da vítima, já que não é realizada a checagem de 
espaço em disco disponível.
•	 Web Spoofing ou Hyper Spoofing: são as famosas páginas 
falsas que muitas vezes são sugeridas por links em e-mails. 
www.esab.edu.br 53
Neste ataque, as pessoas pensam estar numa página 
legitima de uma organização, quando, na verdade, está 
fornecendo seus dados pessoais a um hacker.
Como dica de segurança é sempre melhor a pessoa escrever a 
URL no browser, e não clicar em links – caso clicar, verificar se a 
página que está aparecendo é a que realmente ela pensa estar. 
Desabilitar o Javascript é bom, pois os scripts podem alterar 
características da página, porém muitos sites perderão 
funcionalidades.
Conectividade
http://www.linorg.cirp.usp.br/Guias_Conectiva/
Guias_V.10.0/servidor/pt_BR/ch14.html
DICA
http://www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch14.html
http://www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch14.html
www.esab.edu.br 54
 Problemas com protocolo SNMP: o Simple Network 
Management Protocol (SNMP) fornece informações, como 
sistema, tabelas de rotas, tabela ARP (Address Resolution 
Protocol), conexões UDP e TCP, entre outras informações 
para gerenciamento de rede.
Funcionamento do SMTP
 O problema deste protocolo é que existem muitas 
vulnerabilidades de segurança, principalmente quanto à facilidade 
de obter informações do sistema, motivo que é altamente 
recomendável este tipo de sistema estar devidamente protegido. 
O SNMP não possui mecanismo de travamento de senhas após x 
tentativas, possibilitando a hackers utilizar programas de senhas 
para conseguir acesso, sem ser percebido. É também um ponto 
de falha para softwares de segurança, como o TCP Wrapper. No 
entanto, o SNMP é um protocolo útil para o gerenciamento e na 
maioria das organizações são utilizados. Para minimizar os efeitos 
das vulnerabilidades, são adotados alguns procedimentos:
•	 Habilitação somente de daemons e serviços específicos do 
SNMP, pois quanto maior o número de serviços e daemons 
disponíveis, maior a probabilidade de ataques – isto é valido não 
só para este protocolo, mas para qualquer tipo servidor e serviço.
www.esab.edu.br 55
•	 Os nomes da comunidade devem ser manipulados como 
senhas, adotando políticas de senhas, para que hackers 
não consigam prever as mesmas e acessar informações 
secretas.
•	 Permitir que somente hosts específicos consiga obter 
informações SNMP, com usuários específicos, como o 
administrador.
•	 Vírus e Worm: os vírus de computador são programas 
altamente sofisticados e desenvolvidos em linguagens 
específicas de programação para infectar e alterar sistemas. 
Normalmente eles possuem tamanhos reduzidos e são 
projetados por programadores extremamente hábeis, 
visando afetar de forma adversa o seu computador. Portanto, 
não os subestime. Os worms se diferem dos vírus somente 
por se espalharem rapidamente, sem interação dos usuários.
 
A prevenção é a melhor vacina para se evitar a contaminação de 
computadores por qualquer tipo de vírus. Uma das posturas 
preventivas a ser adotada é estar sempre alerta com documentos 
ou arquivos que são transmitidos pela Internet. Manter sempre 
cópias de segurança dos arquivos mais importantes é outro 
procedimento recomendável em qualquer situação, pois pode ser 
o último recurso para salvaguardar informações. Não existe 
computador, principalmente que esteja conectado à Internet, 
imune aos vírus.
 Centenas de novos vírus são detectados mensalmente. 
Portanto, é importante atualizar o programa de antivírus 
periodicamente, aumentando as chances de estar protegido dos 
vírus já conhecidos. Porém, quanto aos vírus recém criados, existe 
www.esab.edu.br 56
o perigo de ser atacado sem ter vacina disponível, mesmo com 
antivírus atualizado. Salienta-se que sua segurança perfeita está 
no seu hábito de prevenção. Os poucos minutos perdidos por dia 
podem valer horas, dias ou até meses de trabalho.
•	 Trojans ou Trojan Horses: trojans são programas que 
são furtivamente instalados no computador sem o 
conhecimento do usuário. Geralmente, o usuário instala o 
programa no computador, sem saber, enquanto pensa estar 
instalando outro software que deseja.
 
Com a disseminação da Internet, os trojans começaram a vir como 
anexos em e-mails, ao abrir o anexo automaticamente o usuário 
instala o programa em seu computador. Já existem trojans mais 
sofisticados que podem ser instalados sem ação do usuário, 
através de scripts em páginas web, aproveitando-se, principalmente 
das propriedades do ActiveX (em ambiente Microsoft).
 A origem do nome vem da mitologia grega, mais precisamente 
da odisséia de Ulisses, que para vingar-se dos Troianos, com 
quem já batalhavam por dez anos e resgatar sua amada Helena 
que por eles havia sido raptada, mandou construir um gigantesco 
cavalo de madeira para presentear os troianos. No interior do 
cavalo, soldados gregos entraram em Tróia e assaltaram a cidade. 
O elemento surpresa foi fundamental para o sucesso grego. Aliás, 
esta história deu origem à expressão “presente de grego”.
 Similarmente, os trojans se alojam no micro do incauto 
usuário que pensa estar acessando algo de seu interesse. Os 
trojans são programas que podem ter ações das mais variadas, 
dependendo apenas do código escrito pelo seu autor. Muitos 
podem danificar o sistema, apagar arquivos e causar outros danos 
maiores. Um tipo de trojan muito utilizado pelos crackers é o 
www.esab.edu.br 57
Backdor Trojan ou Remote Access Trojan (RAT’s). Este tipo de 
trojan executa ações que preparam o computador da vítima para 
ser invadido remotamente, através de programas que permitem 
uma conexão no sistema do micro onde se instalam que passa a 
funcionar como servidor do micro invasor que executa o programa 
cliente. Eles também podem conter programas keystroke-logging, 
para capturar senhas e outras informações confidenciais.
Os mais famosos trojans são:
•	 Back Orifice, NetBus (RAT);
•	 K2pS (RAT+Keystroke-logging);
•	 Portscan, Xitame: Busca portas abertas no micro.
 O motivo para o surgimento de tantos trojans é a facilidade 
e rapidez de sua criação, principalmente se comparado aos vírus, 
e não exigirem tanto conhecimento técnico para desenvolvê-los. A 
grande maioria é desenvolvida em linguagens de alto nível, como 
Visual Basic ou Delphi. Além disto, os trojans