Baixe o app para aproveitar ainda mais
Prévia do material em texto
47 SEGURANÇA EM REDES DE COMPUTADORES Unidade II 3 MECANISMOS E ESTRATÉGIAS DE SEGURANÇA EM REDES Segundo Ramos (2008), a proteção de redes e dispositivos de telecomunicações é, sem sombra de dúvida, uma das áreas mais importantes relacionadas à segurança da informação. Por conta dos altíssimos níveis de automatização existentes hoje na grande maioria das organizações e do papel que a internet assumiu como principal meio de comunicação empresarial, desbancando em alguns anos até as redes de telefonia convencional, grande parte das informações que precisamos proteger se encontra armazenada em computadores ou trafegando por diversos tipos de tecnologias de rede e comunicação remota. Proteger essas informações requer conhecimento especializado e abordagens estruturadas de avaliação das reais condições de segurança existentes. Além disso, os profissionais que se especializam em segurança em redes costumam ter, primeiramente, um amplo conhecimento sobre o seu funcionamento e sobre as tecnologias que as suportam. Já para a maioria dos gestores, não há a necessidade de se aprofundar de maneira demasiada nos detalhes técnicos. Porém, entender a finalidade das diversas tecnologias, seus problemas de segurança e as soluções disponíveis para resolvê-los é uma necessidade fundamental, que demanda preparo e capacitação. 3.1 Segurança física A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência é extensa, envolve as instalações físicas, internas e externas em todas as localidades da organização e também cuida da proteção dos ativos quando estão sendo transportados como valores ou fitas de backup. Quando nos referimos à segurança física, a palavra prevenção vem em primeiro lugar, e as medidas preventivas que devem ser tomadas podem ser chamadas de barreiras de segurança. Beal (2008) demonstra uma barreira de segurança como um obstáculo que é colocado para prevenir um ataque. Quando se trata de segurança física, destacam-se como exemplos uma cerca elétrica e uma parede; em segurança lógica, um processo de logon para acesso a uma rede. Se ambas forem combinadas, será formado o perímetro de segurança. A ISO/IEC 27001 (item 7.1.1) define perímetro de segurança como sendo quaisquer elementos que estabeleçam uma barreira ao acesso indevido. Um perímetro de segurança seria como uma linha delimitadora que define uma área separada protegida por um conjunto de barreiras físicas e lógicas. 48 Unidade II Alguns exemplos de barreiras que agregadas podem formar um perímetro de segurança são: salas- cofre; roletas de controle de acesso físico e uso de token ou dispositivo biométrico para autenticação de pessoas antes da liberação da passagem; circuitos internos de TV; detectores de fumaça; sirenes, alarmes e acionadores de água para combate a incêndio. Quadro 12 – Itens de segurança física definidos pela ISO/IEC 27001 Perímetro de segurança deve estar claramente definido Perímetro de prédios ou locais que contenham recursos de processamento de dados fisicamente consistente (sem brechas para facilitar a invasão) Implantação de área de recepção ou outro meio de acesso físico ao local ou prédio e restrição do acesso apenas a pessoas autorizadas Barreiras físicas estendidas da laje do piso até a laje superior, quando necessárias para prevenir acessos não autorizados ou contaminação ambiental causada por fogo, inundação, fumaça etc. Portas de incêndio no perímetro de segurança com sensores de alarme e mola para fechamento automático Diante do escopo abrangente que envolve a segurança física, é necessária a adoção de práticas de gestão idênticas às adotadas na gestão da segurança da informação: análise e avaliação de risco e a elaboração de normas. Tais práticas são exigidas para a correta e eficaz introdução de um processo de gestão da segurança física. Compreender o ambiente físico da organização é o primeiro passo para identificar as vulnerabilidades que podem estar abrindo brechas para as ameaças, as quais podem comprometer seu ambiente físico. As ameaças e vulnerabilidades mais comuns são exemplificadas a seguir. Quadro 13 – Ameaças e vulnerabilidades à segurança física Ameaças Vulnerabilidades Roubos e furtos Ausência ou falha no controle de acesso físico aos edifícios da organização Sabotagem e vandalismo Ativos físicos de fácil acesso ou expostos desnecessariamente Sequestro e chantagem Falha ou ausência na proteção física dos ativos de informação ou na proteção dos colaboradores da organização Terrorismo ideológico ou criminoso Falha ao evitar que a organização entre em temas polêmicos ou ideológicos Interrupção em serviços básicos como água, energia e gás Ausência ou falhas em planos de contingência Problemas em sistemas de suporte como ar-condicionado e ventilação Ausência ou falhas em planos de contingência Fogo e fumaça Ausência ou falhas em mecanismos de detecção de incêndio Vazamento de água e enchentes Ausência ou falhas nos mecanismos de prevenção A análise de risco para os aspectos físicos auxilia na identificação das instalações físicas e dos ativos de negócio que estão associados à proteção física. Assim, será possível adotar mecanismos que contrabalancem investimento e benefício, uma vez que controles físicos requerem investimentos razoavelmente altos. 49 SEGURANÇA EM REDES DE COMPUTADORES A segurança da informação deve interferir o mínimo possível na rotina de uma organização. Todavia, quando o assunto é segurança física, essa intervenção é inevitável e necessária para tornar o ambiente seguro. Desse modo, devem ser adotados padrões mínimos para a proteção física da organização, de seus ativos de informação e de seus colaboradores. Quanto maior a necessidade de proteção, maior será a intervenção da segurança da informação na rotina da organização, que, consequentemente, causará desconforto aos colaboradores. O grande desafio da segurança da informação, em especial da segurança física, é adotar um mecanismo de proteção que equilibre as dificuldades e as proteções para evitar o excesso de procedimento de controle. O uso de planos de conscientização ajuda a dividir as responsabilidades, reduzindo a sensação de desconforto causada pela implantação de mecanismos de proteção física no ambiente da empresa. A padronização dos mecanismos de proteção física nas áreas comuns da organização é uma preocupação que transcende a segurança da informação porque envolve a própria edificação da estrutura de construção da empresa. O conceito de prevenção criminal através do desenho ambiental vem sendo desenvolvido faz 35 anos e ainda está em evolução. Após a sua elaboração inicial na década de 1960, em 1972 Oscar Newman estabeleceu as bases do assunto com o livro Defensible space. A teoria pauta-se na possibilidade de reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas. Para isso, são utilizadas duas abordagens básicas. A primeira acentua que é possível desenhar ambientes que reduzem as oportunidades para que um crime possa ocorrer. A segunda tem foco na redução do medo do crime e no aumento da sensação de segurança pessoal, melhorando a qualidade de vida das pessoas e o seu relacionamento com medidas necessárias de segurança. Alguns princípios básicos são dispostos pela teoria e devem ser seguidos por pessoas responsáveis pelo projeto de construções e espaços urbanos: • A iluminação deve ser adequada (diurna e noturna) para melhorar a sensação de segurança e desencorajar a prática do crime, porque inibirá a ação do criminoso e aumentará a capacidade de vigilância. • A definição do campo de visão visa projetar áreas em que os usuários possam ter um largo campo de visão que lhes permita antecipar as proximidades, dando-lhes a sensação de segurança e de antecipação. Um bom campo de visão de uma área aumenta naturalmente a quantidade de pessoas vigando o ambiente. • Os pontos de esconderijo devem ser evitados, como vielasou reentrâncias em construções, porque podem servir de refúgio para criminosos. 50 Unidade II • Evitar prever os movimentos através de construções que podem predizer por onde as pessoas devem necessariamente passar, como túneis para pedestres ou passarelas, o que facilitaria a ação de criminosos. • Projetar ambientes que possam permitir um bom campo de visão aumenta a vigilância natural e a exposição de alguém que deseja cometer um crime. • O uso misto de áreas (residenciais e comerciais) promove uma boa distribuição de pessoas em diversos horários, garantindo a vigilância a qualquer hora do dia. • Deve-se criar espaços que geram atividades, que tragam as pessoas para ocupá-los, os chamados geradores de atividades, que podem ser representados por parques e praças de alimentação em ambientes abertos. • As áreas devem criar um senso de propriedade nas pessoas que passam por lá. Assim, é preciso haver manutenções constantes, que devem ser programadas, e estas, além de manter a limpeza, desencoraja a ação de vândalos. • Devem estar sinalizados claramente as localidades e os caminhos possíveis. Isso transmite a sensação de segurança aos usuários, que podem identificar facilmente pontos de apoio ou rotas de fuga alternativas. Outro aspecto importante está relacionado à localidade das instalações. A localização geográfica interfere diretamente na segurança da informação e é crucial na hora de identificar as ameaças, vulnerabilidades e os riscos para aquele ambiente. Por meio da localização geográfica, é possível analisar a probabilidade de ocorrerem problemas de ordem natural ou climática. Algumas perguntas devem ser respondidas quando analisamos a localização física: • O local pode ser alvo de ataques terroristas? • Manifestações públicas são constantes ou esperadas? • Existe histórico de problemas recorrentes com o fornecimento dos serviços básicos? • A área traz riscos inerentes, como proximidade com aeroportos, bases militares ou zonas de alto índice de incidência de crimes? Os projetos de construção devem pensar nos aspectos de segurança relacionados à entrada de veículos, colaboradores, visitantes, prestadores de serviço e entregadores, bem como logística, fornecimento de serviços básicos, sistema de ar-condicionado e ventilação para garantir que a operação de organização não seja interrompida. Os projetos de construção devem pensar na implantação de mecanismos de proteção em sua própria concepção, e a primeira forma de proteção é a chamada perimetral ou periférica, e as barreiras que compõem a segurança periférica visam ser a primeira proteção física de uma organização. 51 SEGURANÇA EM REDES DE COMPUTADORES Quadro 14 – Barreiras perimetrais ou periféricas Barreiras Características Cercas Podem ser construídas de aço galvanizado, ferro ou até mesmo eletrificada e servem para demarcar a fronteira externa de uma construção. O maior benefício é manter o nível de visão e ruído que produz quando alguém tenta ultrapassar. Sua desvantagem é que pode ser facilmente cortada e transposta Paisagismo Tem como principal objetivo criar barreiras naturais de proteção, como arbustos ou paredes feitas de árvores Portões São mecanismos de controle de acesso físico que se aplica às pessoas e, com maior frequência, aos veículos Barreiras veiculares Formadas por colunas de concreto ou metal, são colocadas nas calçadas para impedir a aproximação ou o estacionamento de veículos, sem atrapalhar o tráfego de pedestres As barreiras de proteção podem ter efeitos detectivos e preventivos, quando inibem ou detectam a ação de um intruso no ambiente físico. A seguir, vamos estudar algumas dessas barreiras. Iluminação Não serve apenas para deixar o ambiente mais claro, para a segurança física, ela tem papel fundamental, pois aumenta o campo de visão no período noturno e inibe a ação de intrusos prevenindo assim a ação um criminoso. Alarmes de intrusão São utilizados geralmente como barreiras externas e têm a finalidade de alertar sobre a existência de um possível intruso no perímetro de proteção. Costumam ser fixados na extensão total dos muros através de pequenos fios, e estes, quando rompidos, disparam um alarme sonoro ou visual para a intervenção dos seguranças. Sensores de presença Usam diversos tipos de tecnologias na tentativa de detectar a presença de pessoas não autorizadas dentro de ambientes controlados. As tecnologias mais comuns são a quebra de circuito elétrico, interrupção de feixe de luz, infravermelho passivo, detector ultrassônico e dispositivos micro-ondas. Circuito elétrico Funciona quando a transmissão da corrente é interrompida por conta da interrupção de um fio, como um conector que se fecha quando a porta está fechada e se abre quando a porta está aberta, acusando a violação. 52 Unidade II Sistema de feixe de luz Existe um feixe de luz produzido por dispositivos fotoelétricos que, quando interrompidos por uma pessoa, disparam um alarme para acusar a intrusão. O feixe pode ser visível e invisível e também pode ser utilizado com detector de incêndio. Infravermelho passivo Tem operação semelhante ao feixe de luz, porém a energia infravermelha é emanada no ambiente por um único sensor, capaz de detectar variações na reflexão causada pelo movimento. Detectores ultrassônicos Produzem padrões de energia acústica não percebida por seres humanos no ambiente, e esses padrões são alterados caso uma pessoa entre no local. A vantagem desse sistema é ser imperceptível aos seres humanos, porém, como desvantagem, algum barulho externo pode gerar um alarme falso positivo. Dispositivos de micro-ondas São semelhantes aos dispositivos ultrassônicos, com a vantagem de não sofrer interferência externa. Utilizam antenas que permitem cobrir uma grande área de monitoramento, porém existe a dificuldade de confinar o sinal no mesmo ambiente. Circuitos fechados de TV Trata-se de um sistema de monitoramento que capta imagens através do uso de câmeras e transmite essas imagens remotamente, permitindo o monitoramento; as imagens geradas podem servir de provas em um processo de perícia e investigação. De acordo com a qualidade das imagens e a frequência que são capturadas, os circuitos fechados de TV possuem alguns níveis básicos. Os circuitos fechados de TV detectivos visam identificar a presença de um corpo estranho, sem que seja possível a identificação. Circuitos um pouco mais avançados permitem o reconhecimento, sendo possível diferenciar um homem de um animal, por exemplo. Já os circuitos mais avançados permitem a identificação em detalhes de um corpo, com a habilidade de verificar traços faciais para identificar uma pessoa. Os componentes básicos também refletem a qualidade dos circuitos fechados de TV: 53 SEGURANÇA EM REDES DE COMPUTADORES Quadro 15 – Componentes básicos de sistemas CFTV Componentes Descrição Câmera e lente Capta as imagens através de lentes intercambiáveis que permitem a substituição de lentes conforme a necessidade Iluminação A luz é um fator primordial para a captação de imagens; em última instância, é exatamente aquilo que é captado pela câmera Mídia de transmissão Pode ser com ou sem fio, e existe a possibilidade de uso de cabos coaxiais, linhas telefônicas, redes elétricas, redes de dados, redes wi-fi e outras Monitores Utilizados na visualização de imagens, a tecnologia dos monitores interfere na qualidade das imagens apresentadas Dispositivos de armazenamento Armazenam as imagens captadas; o armazenamento é opcional e pode ser realizado em sistemas digitais ou analógicos No aspecto físico, a segurança da informação deve estar atenta em outras formas de proteger a segurança dos ativos de informação físicos. Segundo a norma ISO/IEC 27001, devem ser protegidos: escritórios, salas e instalações de processamento; áreas de expedição e carga; documentos em papel; mídias de computador; arquivo de documentos eletrônicos; hardware; cabeamento; proteção, remoção e descarte de equipamentos;políticas de mesa limpa e tela limpa. A proteção de escritórios, salas e instalações de processamento definidas pela ISO/IEC 27001 contempla que esses locais devem ser devidamente fechados e que os equipamentos devem efetuar o bloqueio de acesso por inatividade, evitando o acesso indevido. As áreas de expedição e carga devem ter acesso restrito e supervisão constante para prevenir atividades não autorizadas. Os mecanismos de proteção recomendados para essas áreas são equipamentos fotográficos, de vídeo, áudio e gravação. Indica-se também que esses locais fiquem distantes e isolados das áreas de processamento. O isolamento evita que pessoas ou empresas tenham acesso a áreas que possuem informações confidenciais. Observação A segurança física do ambiente é muito eficaz para proteção contra acesso indevido às estruturas de redes cabeadas, porém pode se tornar ineficiente em estruturas de redes sem fio. A norma ISO/IEC 27001 recomenda que os documentos em papel tenham procedimentos de tratamento que cubram no mínimo os seguintes aspectos: cópia, armazenamento, transmissão pelo correio, fax e entregadores e descarte seguro. A norma procura esboçar as melhores práticas para proteger os ativos de informação em papel em todo o seu ciclo de vida e também seguindo a classificação da informação, dispondo dos seguintes mecanismos de proteção. 54 Unidade II • Usar rótulos para identificar documentos que requerem tratamento confidencial. • Estabelecer uma política para armazenamento de papéis que assegure a guarda em local protegido para informações confidenciais ou críticas ao negócio, como cofres ou arquivos resistentes a fogo. • Adotar medidas especiais para impressão e transmissão via fax de documentos confidenciais. • Definir procedimentos especiais para o envio de documentos em papéis via correio ou escolher meios para entregar informações confidenciais, usando, por exemplo, envelopes lacrados. • Proteger mídias de computador (CDs, disquetes, DVDs, fitas magnéticas, discos removíveis etc.), bem como os documentos em papéis, que precisam ser controlados e fisicamente protegidos. A proteção das fitas de backup é uma das grandes preocupações da segurança física. As principais medidas de proteção para mídias são acentuadas a seguir: Quadro 16 – Medidas de proteção para mídias Armazenamento em ambiente protegido contra furto e compatível com as especificações do fabricante Remoção do conteúdo de qualquer meio magnético reutilizável Descarte de seguro (exemplo: trituração ou incineração de mídias) Uso de rótulos para e identificação de mídias com conteúdo confidencial e adoção de serviços e mecanismos compatíveis Mídias que serão levadas para fora das instalações devem sujeitar-se a procedimentos de proteção e normas para que sejam devidamente protegidas fora do ambiente organizacional Os arquivos de documentos eletrônicos requerem atenção quando da guarda permanente desses documentos, que devem ser guardados e organizados de forma a serem facilmente achados para consultas futuras. Segundo Beal (2008, p. 84), “documentos eletrônicos, cada vez mais presentes nas organizações, alteram o foco da gestão para questões como a exigência de mediação e a exigência de mecanismos de segurança”. A premissa da mediação exige que, para serem compreensíveis aos seres humanos, os documentos eletrônicos devem utilizar aparatos técnicos e informáticos, ou seja, são necessários softwares para mediar o acesso aos documentos eletrônicos. A exigência de mecanismos de segurança é vital, uma vez que documentos eletrônicos são mais suscetíveis a adulterações do que os documentos em papel. Assim, tais mecanismos protegem a confidencialidade, a integridade e a disponibilidade das informações. A proteção dos dispositivos de hardware também é necessária, e o processo possui as mesmas dificuldades de proteção dos outros ativos físicos. Os computadores são de fácil remoção (por isso podem ser facilmente furtados). Podem conter informações importantes em seus discos rígidos, e é preciso se preocupar com descargas elétricas causadas por raios. Deve-se observar a integridade física 55 SEGURANÇA EM REDES DE COMPUTADORES do hardware para que ele possa operar de forma adequada, prevenindo-se contra panes causadas por derramamento de líquidos no teclado e excesso de umidade do ambiente. Observe o que destaca Beal (2008, p. 86): “a proteção de problemas ambientais e acidentais depende de um planejamento cuidadoso de medidas de proteção, a iniciar-se pelo levantamento dos ativos físicos existentes e de sua localização e importância para a organização”. Problemas ou falhas no próprio hardware também devem ser previstos pela segurança da informação; defeitos de fabricação ou mau funcionamento podem ocasionar danos irreversíveis aos ativos de informação de uma organização. A manutenção correta dos equipamentos pode minimizar os defeitos ou falhas em hardware, e toda instalação de qualquer tipo de equipamento relacionando à TI deve ser feita após uma avaliação do ambiente, para reduzir o nível de exposição a acessos desnecessários, sabotagem, espionagem etc. A criação de regras que inibam ações que possam colocar os equipamentos em risco é necessária para a correta proteção dos ativos físicos. Deve-se adotar “políticas específicas para restrição de alimentos, bebidas e fumo próximos às instalações de processamento de informações, monitoração de aspectos ambientais que possam afetar as instalações” (BEAL, 2008, p. 88). A remoção, o descarte e o transporte de equipamentos devem receber atenção especial. Desse modo, controles específicos devem ser fixados para evitar o vazamento de informações. Problemas como furto de componentes, a exemplo de discos rígidos ou peças dos computadores, requer atenção, e o uso de lacres ou cadeados nos dispositivos reduz esse risco. O envio de equipamento para manutenção em lojas autorizadas ou empresas contratadas pode representar risco à segurança da informação quando não são adotados procedimentos para as informações confidenciais armazenadas nos equipamentos. Contratos de confidencialidade podem ser firmados para salvaguardar as informações ou então a retirada do disco rígido antes de enviar os dispositivos para a manutenção pode ser uma alternativa. Toda e qualquer intervenção técnica em aparelho deve ser acompanhada por pessoa responsável. Ao recolher o equipamento para descarte definitivo, deve-se eliminar corretamente todos os softwares e dados contidos; se houver informações sensíveis, confidenciais ou importantes, a destruição definitiva do disco rígido é mais segura. Dispositivos portáteis transportados por colaboradores em viagens devem ser levados como bagagens de mão e acondicionados em recipientes que não revelem o que é. O uso de senhas de acesso e de mecanismos criptográficos é uma ação de proteção recomendável. A segurança física dos cabeamentos elétricos e de telecomunicações também faz parte dos assuntos recomendados pela ISO/IEC 27001. 56 Unidade II Quadro 17 – Melhores práticas para cabeamento ISO/IEC 27001 Sempre que possível, usar linhas elétricas e de telecomunicação subterrânea, ou pelo menos sujeitas à proteção alternativa adequada Cabeamento de rede protegido contra interceptações não autorizadas ou danos, por exemplo, pelo uso de conduítes ou evitando a instalação em áreas públicas Cabos elétricos separados dos cabos de comunicação para prevenir interferências Controles adicionais para sistemas críticos, como: uso de conduítes blindados e salas ou gabinetes trancados nos pontos de inspeção e terminais; cabeamento de fibra ótica; e varredura para identificação de dispositivos não autorizados conectados aos cabos A organização deve considerar a adoção de uma política de mesa limpa para papéis e mídias removíveis e uma política de tela limpa para os recursos de processamento da informação, de forma a reduzir riscos de acesso não autorizado, perda e danos à informação durante e forado horário normal de trabalho. A política deve levar em consideração as classificações da segurança das informações, os riscos correspondentes e os aspectos culturais da organização. As informações deixadas em mesas de trabalho também são alvos prováveis de danos ou destruição em um desastre como incêndio, inundações ou explosões. Recomenda-se que os seguintes controles sejam considerados: • Onde for apropriado, é conveniente que papéis e mídias de computador sejam guardados, quando não estiverem sendo utilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho. • Informações sensíveis ou críticas ao negócio, quando não forem requeridas, devem ser guardadas em local distante, de forma segura e fechada (de preferência em um cofre ou arquivo resistente a fogo), sobretudo quando o escritório estiver vazio. • Computadores pessoais, terminais de computador e impressoras não devem ser deixados ligados quando não assistidos e devem ser protegidos por senhas, chaves ou outros controles quando não estiverem em uso. • Pontos de recepção e envio de correspondências e máquinas de fax e telex não assistidas devem ser protegidos. • Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso não autorizado) fora do horário normal de trabalho. • Informações sensíveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora. Algumas áreas requerem segurança maior por tratarem de assuntos confidenciais ou possuírem ativos físicos de maior valor ou importância para a organização. Elas são chamadas de áreas de segurança. Manuais e controles adicionais podem ser necessários para melhorar as condições de uma área de segurança. Isso inclui controles tanto para o pessoal da organização como para prestadores de serviços 57 SEGURANÇA EM REDES DE COMPUTADORES que trabalham em áreas de segurança, abrangendo as atividades terceirizadas que possam ocorrer nessa área. Recomenda-se que os seguintes itens sejam considerados: • Os colaboradores só podem ter conhecimento da existência de área de segurança ou de atividades dentro dela quando necessário. • Deve ser evitado o trabalho sem supervisão nas áreas de segurança, tanto por razões de segurança como para prevenir oportunidades para atividades maliciosas. • É preciso que as áreas de segurança desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. • Recomenda-se que o pessoal de serviço de suporte terceirizado tenha acesso restrito às áreas de segurança ou às instalações de processamento de informações sensíveis; somente devem entrar nesses locais quando suas atividades o exigirem e o acesso deve ser autorizado e monitorado. • Barreiras e perímetros adicionais para controlar o acesso físico podem ser necessários em áreas com diferentes requisitos de segurança dentro de um mesmo perímetro de segurança. • É importante que não se permita o uso de equipamentos fotográficos, de vídeo, de áudio ou de outro dispositivo de gravação, a menos que seja autorizado nas locações da organização. 3.2 Estratégias de segurança Durante muito tempo, a segurança em redes foi considerada uma alternativa para a segurança em estações. O principal argumento sempre foi a facilidade e a praticidade, já que diversas máquinas poderiam ser protegidas desde que a rede a qual essas máquinas estivessem conectadas fosse segura. Com o passar do tempo, a adoção de criptografia nos protocolos de rede fez com que essa abordagem perdesse parte de sua eficácia. Uma vez que os pacotes estavam codificados apenas para o destino final, equipamentos que tentassem analisá-los no meio do caminho não poderiam ler seus dados. Desde então, a discussão sobre a complementação dessa abordagem com medidas de segurança em hosts vem se aprofundando. Para aproveitar esse nicho de mercado, diversas empresas têm elaborado soluções comerciais que permitem gerenciar de maneira centralizada mecanismos de proteção semelhantes aos de rede, porém sendo executados de maneira distribuída em diversas máquinas. A seguir, serão acentuadas diversas estratégias de proteção. Segurança via obscuridade Para Ramos (2008), essa estratégia parte do princípio de que um ativo de informação só pode ser atacado se alguém souber de sua existência, portanto, uma empresa que possuísse um servidor desconhecido pelo mundo externo estaria segura. Em linhas gerais, o conceito pode ter o seu significado expandido para qualquer abordagem onde a segurança dependa total ou parcialmente de conhecimento sobre o funcionamento dos controles ou dos ativos a serem protegidos. Por razões óbvias, essa abordagem nunca se mostrou eficaz de maneira isolada, mas é fato que ocultar informações que poderiam ser 58 Unidade II possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança como um todo. Segurança na comunicação É fundamental, pois, além de trafegar em redes e estações de trabalho, as informações trafegam por componentes bastante específicos das redes que demandam atenção: os links de comunicação. As tecnologias podem ser dos mais diversos tipos: internet, linhas privadas, links de rádio, Frame Relay etc. Cada uma delas traz, em geral, preocupações particulares do ponto de vista da segurança, mas sempre com os mesmos objetivos em mente: garantir a confidencialidade, a integridade e a autenticidade da comunicação. Essa forma de proteção é particularmente útil quando há um controle muito grande no acesso aos dispositivos de um determinado ambiente, mas o mesmo controle não é possível nos links, já que estes normalmente são fornecidos por terceiros ou utilizam tecnologias passíveis de interceptação, como comunicação via rádio. As estratégias de proteção são extremamente importantes, mas devem se adequar às situações definidas, podendo ser mais relevantes em determinadas situações que outras, mas, no geral, elas podem estar presentes no ambiente como um todo, sobrepondo-se e complementando-se. Confiança Trata-se de um dos formatos de proteção mais utilizados, embora isso nem sempre fique evidente. Quando uma pessoa passa seu cartão de crédito em um restaurante, ela, de certa forma, está confiando os dados desse cartão ao estabelecimento. O leitor pode estar modificado de forma proposital e, dessa forma, coletar seus dados sem que o cliente perceba, permitindo a posterior clonagem do cartão. Normalmente, esses leitores possuem lacres invioláveis para detectar modificações não autorizadas, mas esse nem sempre é um procedimento padronizado e ensinado para os clientes. Assim, o que a maioria das pessoas faz, mesmo que inconscientemente, é simplesmente confiar. Olhando para o ambiente da maioria das empresas, pode ser vista uma situação muito semelhante: muitas vezes, controles de segurança não existem porque a estratégia usada é confiar nas pessoas. Contudo, a confiança não deve ser utilizada de forma irresponsável, pois, como toda medida de segurança, ela é fruto de uma relação custo/benefício, com riscos calculados e conhecidos. Quando um funcionário é contratado, o RH tem como obrigação fazer todos os testes possíveis para avaliar sua idoneidade. Quando o indivíduo começa a trabalhar, assina uma série de termos que permitirão à empresa processá-lo caso sejam cometidas violações como um vazamento de informações. Isso funciona também como um desencorajador. Além desses, muitos outros controles tentam cobrir diversas situações: uso de câmeras em áreas críticas, monitoramento de e-mails e uso da internet etc. Todavia, o que existe no final é, ainda, um número imenso de situações para as quais não existe controle e, por isso, decidimos simplesmente confiar, pois normalmente o custo de proteção não compensa ou porque o volume de perdas estimado medido não justifica as medidas. 59 SEGURANÇA EM REDES DE COMPUTADORES O mais importante, porém, é não confiar de forma não calculada, e sim ter uma visão clarade até onde chega a confiança nas pessoas, até onde existem controles disponíveis e quais os riscos existentes. Privilégio mínimo Baseia-se na restrição das permissões de acesso que os componentes de um sistema, normalmente usuários, possuem. A ideia é que esses componentes devem, sempre que possível, ter apenas os privilégios essenciais para desempenhar suas tarefas e nunca possuir privilégios adicionais desnecessários, pois eles aumentam os riscos sem nenhum benefício em troca. Defesa em profundidade O uso dessa estratégia pode ser comparado com a nossa entrada em um prédio. Normalmente, passamos por diversos tipos de controles diferentes: portão externo com guarita, recepção interna com câmeras e catracas nos andares, por exemplo. A estratégia por trás dessa estrutura é a chamada defesa em profundidade, a qual prega que, do ponto de vista da segurança, é muito mais eficaz que os nossos recursos sejam divididos em diversos controles, que se complementam e servem de redundância entre si, em vez de um único controle, dito infalível. Assim, a ideia básica é que não existem controles infalíveis. Sempre há espaço para brechas de segurança, mesmo que mínimas, e os controles devem se complementar para reduzir suas vulnerabilidades de maneira mútua. Isso também faz com que o número de proteções que um atacante necessita burlar seja maior, dificultando o seu trabalho. Ponto de estrangulamento Segundo Ramos (2008, p. 122), quanto menos entradas um prédio tem, mais fácil e mais barato fica protegê-las e vigiá-las. Esse mesmo conceito se aplica de forma perfeita para segurança em redes: quanto menos entradas uma determinada rede possui, mais fácil é o processo de monitorá-las e torná-las seguras. Elo fraco Acentua que a segurança de um sistema é igual à segurança de seu dispositivo mais frágil. Proteger um ambiente é uma tarefa assimétrica: quem protege deve ter atenção a todos os pontos; quem ataca precisa achar apenas um ponto falho para obter sucesso. Por isso, com frequência, comparamos essa situação com uma corrente: qualquer estratégia séria de proteção deve considerar os elos fracos que todo ambiente possui e tratá-los de forma especial. Em muitos casos, os usuários são considerados o elo mais fraco da estrutura, pois seriam os elementos mais susceptíveis a manipulação e mais difíceis de controlar. 60 Unidade II Failsafe Demostra que para controles de segurança é preferível que, em caso de falha, eles bloqueiem todos os acessos. Imagine a catraca de um prédio: em caso de falta de energia, é preferível que ela não deixe ninguém entrar em vez de permitir a passagem de todos. Convém lembrar que, obviamente, o prédio deve possuir um mecanismo manual de abertura e um procedimento manual de verificação para a liberação de entrada e saída. Participação universal Nessa estratégia, de podemos observar que muitos dos controles de segurança existentes em um ambiente são implementados através de procedimentos. Uma rede pode ter diversas máquinas Unix conectadas e, para que esse ambiente tenha um bom nível de segurança, é comum padronizar algumas configurações dessas máquinas, por exemplo. Essa medida será mais efetiva, porém somente se todas elas estiverem de acordo com o procedimento. O mesmo vale para os procedimentos seguidos pelos usuários. Buscar a uniformidade na aplicação das medidas de segurança é uma característica dessa estratégia. Esta, na maioria das vezes, vai além dos aspectos técnicos, envolvendo procedimentos de treinamento e conscientização de usuários. Na estratégia de defesa em profundidade, destacou-se que só é eficaz se os diversos controles utilizados forem diferentes. De nada adianta colocar dez portas iguais entre uma rua e um data center. Se o atacante for capaz de abrir uma, ele é capaz de abrir todas. Por isso, devemos trabalhar a ideia de profundidade com diversidade, variando os tipos de controles adotados. Simplicidade Talvez seja a mais importante estratégia de segurança. Se ela não for considerada no momento em que os controles forem projetados, os ambientes podem se tornar desnecessariamente complexos, fazendo com que a simples avaliação de brechas, por exemplo, se torne uma tarefa mais difícil do que deveria. Lembrete A adoção de uma única estratégia de proteção não evita a invasão, os profissionais das redes devem estar atentos pensando em mais de uma estratégia, evitando a falsa sensação de segurança. 3.3 Criptografia e infraestrutura de chaves A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura. Este capítulo vai discutir o papel da criptografia, sua segurança e também a PKI (Public Key Infraestructure – Infraestrutura de Chaves Públicas). 61 SEGURANÇA EM REDES DE COMPUTADORES Para saber como chegamos aos conceitos aplicados hoje em dia, é preciso voltar ao passado e entender onde tudo começou. Aproximadamente 1900 a.C., escribas hebreus utilizaram um sistema de substituição do alfabeto, ou seja, de forma reversa. Esse método foi denominado Atbash. Dessa forma, chamamos essa técnica de cifras de substituição, ou seja, os caracteres da mensagem original são substituídos pelos da mensagem cifrada. Tempos mais tarde, por volta de 100 e 44 a.C., Júlio Cesar utilizou um sistema chamado de cifra de Cesar, que consiste em deslocar as letras do alfabeto em algumas posições. Por exemplo, utilizado a chave 3, o alfabeto cifrado seria: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Usando essa técnica para descrever “BOM DIA” o resultado seria “ERP GLA” Até hoje, muita coisa aconteceu e os métodos de criptografia evoluíram cada vez mais, a exemplo de novos algoritmos, como DES, 3 DES, Twofish, Blowfish, entre outros. Utilizando os mecanismos disponíveis para o processo de criptografia, descrevemos a seguir um resumo dos serviços de segurança que a criptografia pode nos oferecer: • Confidencialidade: protege o sigilo das informações contra o acesso de terceiros não autorizado. • Autenticação: verifica a identidade de um indivíduo ou de um sistema. • Autenticidade: serve para assegurar que a mensagem foi gerada por quem realmente alega ser. • Integridade: garante que as informações não foram alteradas desde a sua geração. • Não repúdio: impede que uma pessoa ou um sistema negue sua responsabilidade sobre seus atos. Para usar cada um desses serviços, diversas técnicas são empregadas. A seguir, estudaremos a criptografia simétrica e a assimétrica. A criptografia simétrica possui dois elementos fundamentais: um algoritmo e uma chave, que deve ser compartilhada entre os participantes na comunicação; a mesma chave é utilizada tanto para codificar como para decodificar as mensagens. Quanto ao canal de transmissão dessas informações (chave e mensagens), e considerando que toda a segurança desse sistema depende do sigilo da chave, ela não pode ser transmitida no mesmo canal da mensagem. Para isso, são utilizados canais seguros para a troca das chaves, devido ao alto custo, e canais não tão seguros para a transmissão das mensagens. 62 Unidade II A figura a seguir mostra um exemplo simples de como funciona a criptografia simétrica: Mensagem original Mensagem original Criptografa mensagem Descriptografa mensagem Mensagem cifrada Chave cripitografia Chave cripitografia Figura 10 – Criptografia simétrica Com base nesses conceitos, dá para perceber que esse mecanismo tem algumas desvantagens aparentes, como escalabilidade na troca das chaves e garantia de não repúdio e falta de mecanismos seguros de autenticação. Como vantagens, acentua-se a baixa demanda de processamento e memória. Na tabela a seguir, há alguns exemplos de algoritmos simétricos e suas particularidades: Tabela 1 Algoritmo Comprimento da chave Descritivo DES 56 bits Primeiro padrãomundial 3DES 168 bits (efetivo de 112) Nova versão do DES Blowfish Variável até 448 bits Alternativa ao DES RC4 Variável de 40 a 256 bits Utilizado nos protocolos SSL, WEP e WPA As funções de hash têm por objetivo macro garantir que a mensagem não seja alterada durante o caminho. Para isso, a mensagem a ser criptografada recebe uma chave simétrica que é utilizada para gerar o MAC (Message Autentication Code). Esse processo é bastante complexo, pois são empregadas funções fáceis de serem calculadas em uma direção, mas extremamente difíceis na direção contrária. Dessa forma, a chave empregada para gerar o MAC não pode ser a mesma que é usada para criptografia da mensagem, ou seja, é preciso um canal seguro para fazer a troca das chaves. Entretanto, para as chaves simétricas, será necessário usar duas chaves, uma para criptografar as mensagens e outra para gerar o MAC. Assim, quanto mais usuários utilizarem esse mecanismo, mais chaves serão necessárias, o que torna o processo de gestão extremamente complexo. Para resolver esse problema, foi criado o conceito de chaves assimétricas. A criptografia assimétrica surgiu na década de 1970 junto com o conceito de chaves assimétricas. Em sua essência, usa duas chaves matematicamente relacionadas, sendo uma pública e outra privada. O objetivo principal de seu desenvolvimento foi resolver os problemas de troca segura de chaves e escalabilidade encontrados nas cifras simétricas. 63 SEGURANÇA EM REDES DE COMPUTADORES De forma básica, quando uma mensagem é codificada com uma chave pública, ela somente pode ser interpretada utilizando a chave privada e vice-versa. Tecnicamente, esse mecanismo parte do seguinte princípio: é fácil fazer a multiplicação de dois números primos, mas sua fatoração (processo inverso) para descobrir quais foram os números iniciais é um problema ainda muito difícil de ser resolvido. Um exemplo de aplicação dessa metodologia é o algoritmo RSA, proposto por Rivest, Shamir e Adleman em 1977. Saiba mais Para conhecer mais sobre a aplicação prática da criptografia como fator de segurança e vantagem estratégia, assista ao filme a seguir: O JOGO da imitação. Direção: Morten Tyldum. Reino Unido: StudioCanal, 2014. 114 min. Mensagem original Utiliza a chave privada de A para decodificar o texto Mensagem cifrada Internet Chave pública usuário A Chave pública usuário A Criptografa o texto utilizando chave pública de A Figura 11 – Criptografia assimétrica Até hoje, a grande complexidade desse sistema e o tamanho das chaves utilizadas são fatores que garantem o sucesso desse algoritmo; entretanto, devido à quantidade de cálculos processados, o modelo exige uma grande capacidade de processamento. Para resolver problemas de verificação de autenticidade de uma mensagem, os sistemas de chaves públicas utilizam as chamadas assinaturas digitais, que funcionam da seguinte forma: 64 Unidade II • O remetente gera um hash da mensagem a ser envidada. • Codifica com sua chave privada, gerando uma assinatura digital. • Adiciona a mensagem, que é cifrada com a chave pública do destinatário. Dessa forma, se o hash da assinatura for igual ao gerado a partir da mensagem recebida, a assinatura será confirmada e a mensagem será autêntica e íntegra. Com base nesses conceitos, nota-se que tanto os algoritmos simétricos como os assimétricos possuem vantagens e desvantagens. Quadro 18 – Comparativo entre criptografia assimétrica versus simétrica Sistema Criptografia assimétrica Criptografia simétrica Vantagens Chaves podem ser negociadas através de um canal inseguro Velocidade Maior escalabilidade Elevado nível de segurançaUtilizada em outros serviços, como assinatura digital Desvantagens Lentidão A troca das chaves deve ocorrer em um canal seguro Necessita de uma chave maior para obter segurança Baixa escalabilidade Não proporciona outros serviços Para o melhor aproveitamento dessas tecnologias, alguns produtos utilizam uma abordagem mista, conhecida como criptografia híbrida, aproveitando a vantagem de cada sistema. Nesse modelo, a mensagem seria codificada através da criptografia simétrica com uma chave gerada de forma pseudorrandômica, e sua transmissão ocorreria através de algoritmos assimétricos. Um exemplo disso é o protocolo SSL, em que uma das partes (cliente) gera uma chave simétrica e a codifica com uma chave pública do servidor; quando essa chave é recepcionada, o servidor abre usa um algoritmo simétrico para criptografar as mensagens em si. Nesse exemplo, são utilizados o desempenho da criptografia simétrica e a segurança na troca das chaves através da criptografia assimétrica. 3.4 Certificados digitais Os certificados digitais, os sistemas de chaves públicas e seus conceitos resolveram uma série de problemas, e o mesmo ocorreu com o uso de sistemas híbridos; entretanto, destaca-se a seguinte pergunta: como é possível garantir a propriedade de uma chave pública em todos esses processos? Para isso, é necessário que exista uma entidade terceira responsável por verificar a identidade do proprietário de uma chave pública, assinando digitalmente sua comprovação. Por essa razão é que foram criadas as ACs (Autoridades Certificadoras), cujo objetivo é atestar a propriedade de sua chave pública, assim, na troca de informações, cada uma das partes solicita seus respectivos certificados digitais para as ACs. 65 SEGURANÇA EM REDES DE COMPUTADORES Todavia, esse modelo não seria viável devido às diferenças de localização e à quantidade de solicitações para uma única AC. Essa demanda foi resolvida com o relacionamento entre as ACs, que podem se dividir basicamente em três formatos: • Hierárquico: uma AC raiz tem a função de assinar o certificado de outras ACs, sendo que essas ACs podem ter outras ACs subordinadas e assim por diante. • Certificação cruzada: a AC raiz de uma cadeia assina o certificado de outra AC raiz de uma nova cadeia. • Híbrido: são utilizados os dois conceitos. Por exemplo, se a AC raiz “x” assina o certificado da AC raiz “y”, consequentemente todas as ACs abaixo dessas cadeias confiam entre si. Embora as ACs tenham diversos problemas resolvidos quanto à comprovação da identidade do responsável por uma chave pública, algumas questões de gestão dos certificados ainda necessitam ser tratadas. Assim, adota-se a estrutura chamada de ICP (Infraestrutura de Chaves Públicas), a qual deve combinar a utilização de software, hardware, protocolos, padrões e processos, para fornecer seus serviços. Uma ICP é um conjunto de tecnologias e processos desenhados para prover diversos serviços de segurança. Uma ICP tem, entre seus componentes básicos, usuários, aplicações, ACs, certificados digitais, além de ARs (Autoridades Registradoras) e diretórios/repositórios de dados. As ARs têm por objetivo interagir com o usuário e repassar as solicitações de, por exemplo, emissão ou renovação de certificados digitais, para o processamento das ACs, garantindo a proteção das ACs contra ações externas. Por sua vez, os diretórios/repositórios de dados fornecem um local de fácil acesso para os terceiros acessarem os certificados emitidos pelas ACs. Saiba mais Para mais informações sobre a estrutura de chaves da PKI, leia: BRASIL. Presidência da República. ICP-Brasil. Brasília: ITI, 2017. Disponível em: http://www.iti.gov.br/icp-brasil. Acesso em: 16 abr. 2020. A infraestrutura de chaves públicas, além de tecnologia, políticas e processos estabelecidos para garantir segurança, destaca-se como último elemento nesse processo a legislação, cujo objetivo é validar legalmente os mecanismos criptográficos utilizados. Confidencialidade, autenticidade e o não repúdio 66 Unidade II são os principais serviços oferecidos pela criptografia, assim, a assinatura digital e os certificados digitais possibilitam a criação de leis que reconheçam esses registros. Diante disso, em agosto de 2001, foi editada a Media Provisória 2200-2, que criou a ICP-Brasil, dandovalidade a documentos assinados digitalmente; ou seja, tem por objetivo: [...] garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras (BRASIL, 2001, art. 1). Essa MP também instituiu a formação de um Comitê Gestor da ICP-Brasil, cuja missão é “adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil”. Também foi instituída a AC raiz como primeira entidade da cadeia de certificação da ICP-Brasil, além das ACs e ARs, em conformidade com as normas do Comitê Gestor (BRASIL, 2001). A segurança contra ataques criptográficos e a avaliação da segurança de algoritmos representam a facilidade ou não com que uma pessoa consegue decifrar as mensagens. A forma mais simples de ataque a algoritmos é o ataque de força bruta, porém o menos eficiente e, às vezes, impossível de ser implementado, devido ao tamanho das chaves. Existem outras técnicas que podem ser utilizadas pelos criptoanalistas, as quais descrevemos a seguir: • COA (Ciphertext Only Attack): o foco é o comprometimento da confidencialidade das informações. O criptoanalista tem acesso apenas a uma ou mais mensagens codificadas e seu objetivo é descobrir as mensagens originais. • KPA (Know Plaintext Attack): o criptoanalista tem acesso ao texto cifrado e no texto plano que o originou e, ao usar, essas informações, tenta obter a chave em uso. • CPA (Choose Plaintext Attack): o adversário é capaz de escolher o texto plano que será cifrado. • ACPA (Adaptative Choosen Plaintext Attack): são enviados diversos pequenos blocos de dados, que são adaptados conforme o criptoanalista vai coletando informações. Seu objetivo é descobrir a chave em uso. Todos os sistemas criptográficos possuem níveis diferentes de segurança, dependendo da facilidade ou dificuldade com que eles são quebrados. A segurança de um criptossistema não deve ser baseada nos algoritmos que cifram as mensagens, mas sim no tamanho das chaves usadas. Podemos dizer que um algoritmo é considerado forte quando é praticamente impossível quebrá-lo em um determinado espaço de tempo em que as informações ainda sejam relevantes, isto é, ainda possam ser utilizadas por pessoas não autorizadas. Geralmente, a maneira mais fácil de afirmar se um algoritmo é considerado forte é publicando sua descrição, fazendo com que várias pessoas possam testar e avaliar sua eficiência. Programas que usam 67 SEGURANÇA EM REDES DE COMPUTADORES algoritmos proprietários não divulgam sua especificação, pois a simples divulgação do método revelará também seus pontos fracos. 4 AMEAÇAS E MECANISMOS DE ATAQUE A REDES A transmissão da informação em um processo de comunicação requer atenção especial, pois nesse momento a informação irá trafegar de um ponto a outro e poderá haver problemas como interceptação e alteração fraudulenta de documentos. Em razão disso, as organizações necessitam adotar processos adicionais para garantir a segurança da informação. Emissor Canal Receptor Interceptação e alteração Transmissão Figura 12 – Processo de comunicação adulterado Diante desse cenário vulnerável, é vital adotar procedimentos de segurança para proteger as informações e assegurar a comunicação de um ponto a outro. Segundo Beal (2008), garantir a integridade do conteúdo da mensagem é assegurar que a mensagem que foi enviada pelo emissor chegue ao receptor de forma completa e exata. A irretratabilidade da comunicação é a garantia de que a comunicação da mensagem foi realmente bem-sucedida, evitando que o emissor ou o receptor negue esse fato. Já a autenticidade do emissor e do receptor envolve garantir que ambos sejam realmente quem dizem ser no processo de comunicação. É essencial assegurar a confidencialidade do conteúdo, ou seja, apenas os destinatários devem ter acesso ao conteúdo da informação. Por fim, caso ocorram problemas na comunicação, o receptor deve ser capaz de recuperar o conteúdo em sua forma original. Quando falamos do controle de acesso lógico e na interligação em redes, os problemas de segurança se multiplicam de forma alarmante. Basta um único usuário descuidado para comprometer toda a segurança de uma rede. Em redes conectadas à internet, a proteção física já não garante a segurança da informação, pois os equipamentos físicos se tornam lógicos no chamado ciberespaço. Nesse ambiente, potencializam-se ameaças externas como invasões, ataques de negação de serviço e ameaças internas como erros, abusos de privilégios, fraudes etc. Todas as novas tecnologias devem ser analisadas para que as medidas de segurança sejam devidamente implementadas. “Os controles lógicos podem ser fundamentais para adequar a organização aos seus requisitos de segurança” (BEAL, 2008, p. 92). 68 Unidade II Para facilitar a execução e o controle dos mecanismos de proteção lógica, a segmentação dos problemas em áreas pode ser uma solução. 4.1 Formas de ataque a redes A ausência de segurança em redes amplia os riscos para a segurança de dados, informações e serviços, pois, no processo de comunicação, é no canal de comunicação que a informação corre mais risco. Hoje as redes se confundem com o próprio negócio da organização, assim, instituir um mecanismo de segurança para redes é fundamental. A segurança em redes sempre foi considerada uma alternativa à segurança em estações de trabalho. O argumento sempre foi a praticidade, e pensava-se que se a rede estivesse protegida as máquinas estariam seguras. Com o passar do tempo, a adoção de criptografia nos protocolos de rede fez que essa abordagem perdesse parte de sua eficácia. A ameaça que pode explorar as vulnerabilidades das redes pode agir de forma interna ou de forma passiva. As ameaças internas são desencadeadas por ataques que interagem diretamente com o ambiente. Nas ameaças passivas, não há interação direta com a máquina atacada, o foco é a coleta de informação sobre o alvo, através da interceptação de comunicações ou buscas em quaisquer fontes de pesquisa que possam ter informações relevantes. As ameaças às redes de dados podem ser tipificadas dependendo dos objetivos que elas possuem em relação ao alvo atacado; podem ser de interceptação, modificação, interrupção ou de fabricação. Na interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz com que essa comunicação passe por ele, assim, o atacante consegue copiar as informações que estão sendo transmitidas. Tráfego normal Atacante Atacante redireciona o tráfego, fazendo-o passar pela sua máquina Estação 1 Estação 2 Figura 13 – Ataque de interceptação 69 SEGURANÇA EM REDES DE COMPUTADORES Um dos principais tipos de ataque dessa classificação é o man-in-the-middle, em que o invasor simula ser o parceiro de ambas as partes envolvidas na conexão, assumindo a identidade de um usuário válido. Por sua vez, o ataque de modificação visa alterar a comunicação entre duas partes, atacando a integridade das informações comunicadas naquele canal. Tráfego normal Atacante Atacante captura o tráfego entre as estações e o reenvia com alterações Estação 1 Estação 2 Figura 14 – Ataque de modificação Um exemplo de ataque dessa classificação é o replay, em que parte de uma transmissão da rede é copiada e reproduzida posteriormente, simulando um usuário autorizado. O ataque de interrupção acontece quando o atacante se posiciona entre as partes que estão em comunicação, conseguindo que o tráfego gerado pela origem não chegue ao destino. Tráfego normal Atacante Atacante ataca a Estação 2 comprometendo seu funcionamento normal e indisponibilizando os seus serviços Estação 1 Estação 2 Figura 15 – Ataque de interrupção O principal tipo de ataque classificado como interrupção é o Denial of Service (DoS), que é o envio de requisições em massa para um determinado computador, e este não consegueresponder todas elas, ficando sobrecarregado, fazendo com que o serviço pare de funcionar. 70 Unidade II Quando um ataque de fabricação é proferido, o atacante produz mensagens para um destino se passando por algum outro componente, como se elas tivessem sido originalmente produzidas por ele. Tráfego normal Atacante Pacotes IP falsificados com o endereço IP de rede da Estação 1 Estação 1 Estação 2 Figura 16 – Ataque de fabricação O tipo de ataque mais comum de fabricação é o IP spoofing, que consiste na substituição do endereço IP do computador do invasor, fazendo com que ele se passe por um computador confiável da rede, podendo obter privilégios na comunicação. 4.2 Vulnerabilidades e ameaças Quando uma organização se depara com os recursos tecnológicos para proteção dos ativos de informação, ela está preocupada em defender três ativos de informação em especial: seus dados, seus recursos e sua reputação diante dos clientes e do mercado. Para a organização obter melhor eficácia na utilização dos recursos tecnológicos para proteger a segurança da informação, alguns itens devem estar bem definidos na mente dos profissionais de segurança da informação e de TI, como: vulnerabilidades, ameaças, possíveis formas de ataque, quem são os atacantes e, principalmente, como se proteger. A vulnerabilidade pode ser definida como uma falha no projeto ou na implementação em um software ou sistema operacional, e esta, quando explorada por um atacante, resulta na violação da segurança de um computador. Existem casos em que um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável. Segundo a Cert, 95% das invasões é resultado de vulnerabilidades conhecidas ou erros de configuração. A grande maioria das vulnerabilidades pode ser facilmente prevenida se devidamente conhecida. 71 SEGURANÇA EM REDES DE COMPUTADORES Por sua vez, as ameaças sempre vão existir, ao contrário das vulnerabilidades, que podem ser sanadas, minimizadas ou protegidas. As ameaças ficam sempre à espreita, na espera de explorar uma vulnerabilidade para concretizar o ataque e tentar causar danos, mas quem é o agente que utiliza essas ameaças? Destacaremos no próximo capítulo. 4.3 Diferença entre hacker e cracker Um hacker é uma pessoa intensamente interessada nos trabalhos misteriosos e esotéricos de qualquer sistema operacional de computador. Frequentemente, os hackers são programadores. Como tal, eles têm conhecimento avançado de sistemas operacionais e linguagens de programação, sabem como descobrir brechas dentro de sistemas e as razões para tais brechas. Os hackers constantemente buscam mais conhecimento, compartilham livremente o que descobrem e nunca corrompem dados intencionalmente. Um cracker é alguém que domina ou viola a integridade de um sistema de máquinas remotas com intenção maliciosa. Os crackers, tendo adquirido acesso não autorizado, destroem os dados vitais, negam serviço de usuários legítimos ou basicamente causam problemas para seus alvos. Eles podem ser facilmente identificados porque suas ações são maliciosas. Essas definições são exatas e precisas. Infelizmente, definições tão rigorosas são frequentemente complicadas no mundo real. O termo cracker refere-se ao responsável por uma condição em que a rede da vítima sofreu uma invasão não autorizada. Há vários graus dessa condição. Eis alguns exemplos: • O invasor ganha acesso e nada mais (acesso sendo definido como entrada simples: entrada que é não autorizada em uma rede que requer, no mínimo, login e senha). • O invasor ganha acesso e destrói, corrompe ou altera os dados. • O invasor ganha acesso e toma controle de uma parte compartimentalizada do sistema ou do sistema inteiro, talvez negando acesso até a usuários privilegiados. • O invasor não ganha acesso, ele forja mensagens de seu sistema. Isso é feito com frequência para enviar correio não solicitado ou fazer inundação (spam). • O invasor não ganha acesso, mas implementa procedimentos maliciosos que fazem com que essa rede falhe, reinicialize, trave ou manifeste uma condição inoperável, seja permanente, seja temporariamente. Técnicas modernas de segurança tornaram a atividade do cracker mais difícil. Entretanto, a distância entre as palavras difícil e impossível é ampla. Hoje, os crackers têm acesso a uma grande riqueza de informações sobre segurança, muitas das quais estão livremente disponíveis na internet. O equilíbrio de conhecimento entre crackers e especialistas de segurança de boa-fé não é substancialmente desproporcional. De fato, essa lacuna está se fechando a cada dia. 72 Unidade II 4.4 Ferramentas de ataque Para concretizar um ataque, os crackers necessitam utilizar-se de ferramentas que auxiliam na ação contra as redes e os computadores. Essas ferramentas são chamadas de dispositivos destrutivos, que são programas que realizam um dos seguintes objetivos: incomodar ou destruir dados. Dispositivos destrutivos são geralmente usados por usuários imaturos, funcionários descontentes ou crianças, puramente sem malícia ou pelo prazer de atormentar os outros. A maioria dos dispositivos destrutivos não apresenta riscos de segurança, mas sim aborrecimentos. Entretanto, esses programas podem ocasionalmente ameaçar a capacidade de sua rede funcionar adequadamente. Por exemplo, um programa que leva um roteador ou servidor de correio sob um ataque de recusa de serviço contínuo pode constituir um risco de segurança. Certamente, até o fim de tal ataque, os usuários de rede legítimos serão incapazes de acessar recursos valiosos de rede. Enquanto o ataque não resulta em acordo de sistema, ele rompe operações de sistema. Doravante, cada novo administrador de sistema deveria aprender sobre recusa de serviço e dispositivos destrutivos em geral. Podemos destacar três dispositivos destrutivos importantes: • bombas de correio eletrônico e inscrição em lista de mala direta; • negação de ferramentas de serviço; • vírus. 4.4.1 Bombas de correio eletrônico e lista de mala direta As bombas de correio eletrônico raramente culminam em perda de dados ou brecha de segurança. Trata-se de ferramentas que incomodam e atrapalham a disponibilidade da informação. Uma bomba tradicional de correio eletrônico é simplesmente uma série de mensagens (talvez milhares) enviadas para sua caixa de correio. O objetivo do atacante é inundar sua caixa de correio com lixo. A maioria dos usuários de internet recebe uma bomba de correio eletrônico em um ano de conexão on-line. O atacante é geralmente alguém que discordou de você em um fórum de discussão. O tamanho médio de uma bomba de correio eletrônico é de aproximadamente 2 MB. Isso pode traduzir-se em aumento de encargos de conexão e desperdício de tempo, ou seja, atacando a disponibilidade das informações. Pacotes de bomba de correio eletrônico são programas que automatizam o processo de enviar bombas de correio eletrônico para alguém. Os administradores de redes devem estar cientes desses pacotes e dos nomes de arquivo associados a eles. Embora esse conhecimento não impeça ataques ao seu sistema, ele pode impedir que seus usuários ataquem outros sistemas e redes. 73 SEGURANÇA EM REDES DE COMPUTADORES Destruição de arquivos, esquemas de exclusão e filtros de correio são formas de evitar a bomba de correio eletrônico. Utilizando essas ferramentas, você pode automaticamente rejeitar correio enviado do endereço de origem. Há várias maneiras de implementar um esquema de exclusão. Há diversas fontes on-line, e é recomendável que os usuários adquiriram ferramentas de filtragem de mensagens. Caso alguém começar a bombardeá-lo, você também pode tentar uma abordagem humana entrando em contato com seu postmaster. Isso geralmente é eficaz; o usuário será aconselhado que esse comportamentoé desnecessário e que ele não será tolerado. Na maioria dos casos, isso prova ser um impedimento suficiente. Alguns provedores são enérgicos o suficiente para encerrar o caso prontamente. Outra solução é um pouco meticulosa, mas funciona bem e pode ser automatizada. Escreve-se um script que captura o endereço de correio eletrônico ofensivo. Para cada mensagem recebida, é preciso autorresponder com uma recomendação gentil, de dez páginas, sobre como tais ataques violam políticas de utilização aceitáveis e se, em certas circunstâncias, eles podem violar a lei. Depois que a parte ofensiva recebeu mil retornos ou mais dessa natureza, seu provedor vai se desequilibrar e então cortará o acesso do ofensor. Observação Nem todos os provedores de acesso são responsáveis. Alguns não se importam se os usuários estão bombardeando correio eletrônico dos outros. Se você se encontrar nessa situação, deverá procurar a justiça. Os ataques por meio de bombas de correio eletrônico podem resultar em queda do serviço e é muito comum que impeçam os usuários de acessar suas mensagens. Nesse caso, deve-se contatar as autoridades. Isso é especialmente aplicável quando o atacante varia sua origem, escapando dos filtros de correio ou esquemas de exclusão no nível de roteador. É provável, se o ataque for persistente, que seu único remédio seja ir à polícia. Existem pacotes de bombas de correio que automatizam o processo de inscrição em mala direta. Os resultados dessa vinculação podem ser desastrosos. A maioria das listas de mala direta gera pelo menos cinquenta mensagens de correio diárias e algumas dessas incluem anexos binários. Se o atacante vincula você a cem listas, receberá 5 mil mensagens de correio eletrônico por dia. A forma mais simples de sanar esse problema é desvincular e cancelar as listas que esses grandes endereços então inscritos. Contudo, essa atitude não é tão simples. Uma razão é que novas listas raramente incluem instruções para cancelar a inscrição. Portanto, você pode ser forçado a rastrear essas informações na web. Se fizer, pode esperar várias horas de paralisação. A capacidade de cancelar rapidamente e efetivamente a inscrição de todas as listas também dependerá amplamente de seu pacote de correio eletrônico. Se o cliente de correio eletrônico tem funções poderosas de pesquisa que permitem varrer assunto e títulos de remetente, é possível reunir os endereços de servidor de lista muito rapidamente. Entretanto, se você utiliza um cliente de correio 74 Unidade II eletrônico que tem funções não estendidas de pesquisa, você enfrentará uma batalha árdua. Se tiver sido inscrito em muitas listas, o recomendado é obter um novo endereço de correio eletrônico e eliminar seu antigo, é a forma mais rápida de resolver o problema. Outra questão que irrita muitos administradores de sistemas e redes é o relay de correio eletrônico. Este ocorre quando clientes conectados a outros provedores utilizam seu servidor para correio eletrônico. Isso permite que usuários com endereços de IP diferentes usem seus serviços de correio eletrônico (ao contrário de apenas aqueles endereços em sua sub-rede ou sua rede). Como resultado, os spammers e outros alimentadores de lixo (bottom-feeders) sequestram parte de seu sistema de correio e o utilizam para poluir a internet com correio lixo (junk mail). Se você cair no relay, você fica encalhado nessa situação. A única solução é filtrar por endereço de IP, fechando redes indesejáveis. 4.4.2 Negação de ferramentas de serviço Os ataques de recusa de serviço (Denial of Service – DoS) são aborrecimentos semelhantes às bombas de correio eletrônico. Entretanto, os ataques DoS são infinitamente mais ameaçadores, particularmente se você mantém uma rede corporativa ou provedor de acesso. Eis o porquê: ataques DoS podem temporariamente incapacitar sua rede inteira (ou pelo menos aqueles hosts que estão baseados em TCP/IP). O primeiro ataque DoS relevante foi o Morris Worm. Estima-se que cerca de cinco mil máquinas foram tiradas de serviço durante várias horas. Na época (novembro de 1988), foi um desastre para centros acadêmicos de pesquisa, mas gerou pouco impacto no resto do mundo. Hoje, um ataque DoS comparável pode resultar perdas de milhões de dólares. O objetivo de um ataque DoS é simples e direto: arremessar seu host fora da internet. Exceto quando especialistas de segurança conduzem testes DoS contra suas próprias redes (ou outros hosts que consentem isso), os ataques DoS são sempre maliciosos. Não há razão legítima para qualquer pessoa incapacitar sua rede. Ataques DoS são proibidos, é há uma variedade de leis estaduais e federais para recorrer. Se você rastrear alguém que está fazendo ataques DoS contra sua rede, deve alertar as autoridades. Esses ataques não são obra de hackers curiosos, são atos criminosos feitos com intenções hostis. Ataques DoS atingem o núcleo das implementações de IP. Portanto, eles podem aflorar em qualquer plataforma. Pior ainda, como as implementações de IP não são drasticamente diferentes de plataforma para plataforma, um único ataque DoS pode trabalhar em vários sistemas operacionais. Além disso, análises de versões de código DoS mostram de modo consistente que, uma vez que um novo ataque está em andamento, ele provavelmente funcionará em quase todas as plataformas, mesmo que não seja de início. Novas variedades de ataques DoS são lançadas aproximadamente a cada duas semanas. Em geral, essas versões são gravadas em uma plataforma. Uma vez que tal código é lançado, ele é examinado por comunidades hacker e cracker. Dentro de dias, alguém lança uma versão modificada (uma mutação) que pode incapacitar uma variedade mais ampla de sistemas operacionais. 75 SEGURANÇA EM REDES DE COMPUTADORES Deve-se levar ataques DoS muito a sério. Eles são sujos e facilmente executados, até mesmo por crackers com mínima perícia de programação. Portanto, ferramentas DoS são armas que qualquer pessoa pode obter e qualquer pessoa pode utilizá-las. Ainda mais perturbador é o fato de que os órgãos de polícia são às vezes reticentes em seguir ataques DoS, mesmo se o culpado estiver prontamente disponível. Tais entidades ainda não entenderam que o conceito dessa recusa de serviço é uma questão crucial. 4.4.3 Softwares maliciosos O mais conhecido dos softwares maliciosos (malwares) é o vírus de computador. Trata-se do dispositivo destrutivo mais perigoso de todos. Além da recusa de serviço, muitos vírus podem destruir dados. Alguns vírus, embora um número muito limitado, podem incapacitar complemente uma máquina. Os vírus são únicos por todas essas razões. Em relação à internet, os vírus representam um risco especial de segurança. Eis o porquê: os vírus são mais perigosos quando liberados em ambientes de redes, e nenhum ambiente ajusta-se a essa descrição mais que a internet. Um vírus de computador é um programa que se anexa aos arquivos na máquina-alvo. Durante a anexação, o código original do vírus é anexado aos arquivos da vítima. Esse procedimento é denominado infecção. Quando um arquivo é infectado, ele é convertido de um arquivo comum em um portador. Desse ponto em diante, o arquivo infectado pode infectar ainda outros arquivos (replicação). Por meio da replicação, os vírus podem espalhar-se através de uma unidade de disco rígido, alcançando infecção sistêmica. Em geral, há poucos avisos antes de a infecção sistêmica estabelecer-se. O vírus é um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo; este, quando executado, também executa o vírus, dando continuidade ao processo de infecção. Ao afetar um computador, um vírus pode assumir o controle total, desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas e arquivos do disco. Para que exista a infecção por um vírus de computador, é preciso que, de alguma maneira, um programa previamente infectadoseja executado. Isso pode ocorrer de diversas maneiras, por exemplo, ao: • Abrir arquivos anexados aos e-mails. • Abrir arquivos do Word, Excel e outros. • Abrir arquivos armazenados em outros computadores, por meio de compartilhamento de recursos. • Instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, de pendrives, cartão de memória ou de mídias magnéticas. 76 Unidade II E possível que um computador seja infectado por um vírus sem que o usuário perceba. A maioria dos vírus permanece oculta, infectando arquivos do disco e executando uma série de atividades. Ainda existem outros tipos que permanecem inativos durante certos períodos, entrando em atividade em datas específicas ou quando acionados por seus programadores (redes zumbis). Uma ferramenta de grande capacidade para propagação de vírus são os e-mails. Normalmente, o usuário recebe um arquivo anexado a uma mensagem de correio eletrônico. O conteúdo dessa mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado. Quando esse tipo vírus entra em ação, além de infectar arquivos e programas, envia cópias de si mesmo para todos os contatos encontrados nas listas de endereços de e-mail armazenadas no computador. É importante ressaltar que esse tipo específico de vírus não é capaz de se propagar automaticamente. O usuário precisa executar o arquivo anexado que contém o vírus, ou o programa de e-mail precisa estar configurado para autoexecutar arquivos anexados (TEIXEIRA FILHO, 2015). Outra forma de infecção pode ser pelos vírus de macro. Uma macro é um conjunto de comandos que são armazenados em alguns aplicativos e usados para automatizar algumas tarefas repetitivas. Exemplo: um editor de textos que visa definir uma macro que contenha a sequência de passos necessários para imprimir um documento com a orientação de retrato e utilizando a escala de cores em tons de cinza. Um vírus de macro é escrito de forma a explorar essa facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que usa macros (TEIXEIRA FILHO, 2015, p. 101). Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, a partir daí, o vírus poderá executar uma série de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. Caso esse arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo for executado, o vírus também será. Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access são os mais suscetíveis a esse tipo de vírus. Arquivos nos formatos RTF e PDF são menos suscetíveis, mas isso não significa que não possam conter vírus (TEIXEIRA FILHO, 2015, p. 104). Os malwares englobam os vírus, mas também existem variações de formato e de atuação desses softwares maliciosos. Observe o quadro a seguir. 77 SEGURANÇA EM REDES DE COMPUTADORES Quadro 19 – Tipos de software maliciosos e suas funções Tipos Atuação Vírus Infecção e propagação para destruir ou se alastrar para outros programas Trojan (cavalo de Troia) Programa que, além de executar as funções para as quais foi aparentemente projetado, executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário Worm Propagação automática através de cópias de si mesmo. Não requer execução AD-Aware Programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador Backdoor Programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para esse fim Bot Programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente Spyware Programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros Rootkit Conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido Phishing Tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário pela utilização combinada de meios técnicos e engenharia social, os quais são enviados para o e-mail da vítima Smishing Tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário pela utilização combinada de meios técnicos e engenharia social, os quais são enviados para o dispositivo móvel da vítima Ransoware É um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário Adaptado de: CERT.br (s.d.). O worm (verme) é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Geralmente, o worm não tem como consequências ou os mesmos danos gerados por um vírus, por exemplo, a infecção de programas e arquivos ou a destruição de informações. Isso não quer dizer que não represente uma ameaça à segurança de um computador ou que não cause qualquer tipo de dano. Worms são notadamente responsáveis por consumir muitos recursos, degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores devido à grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias (TEIXEIRA FILHO, 2015). Nesse contexto, destacam-se os backdoors, que são programas de retorno a um computador comprometido que utilizam serviços criados ou modificados para esse fim. Como ocorre sua ativação? Quando uma atacante tenta retornar a um computador comprometido sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, a intenção do atacante é poder retornar ao computador comprometido sem ser notado (TEIXEIRA FILHO, 2015). 78 Unidade II A forma usual de inclusão de um backdoor consiste na adição de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente incluindo recursos que permitam acesso remoto (através da internet). Outra forma se dá por meio de pacotes de software, tais como Back Office e NetBus, da plataforma Windows, conhecidos por disponibilizarem backdoors nos computadores em que são instalados. Observação Desenvolvido pela Microsoft, o Back Office permite o acesso remoto, e os crackers utilizam-no para atacar as estações e obter acesso. Já o NetBus é um sistema de administração remoto. A existência de um backdoor não depende necessariamente de uma invasão, como: na instalação de um vírus através de um cavalo de Troia; na inclusão como consequência da instalação; e na má configuração de um programa de administração remota. Alguns fabricantes incluem backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. É importante ressaltar que os casos acentuados constituem uma séria ameaça à segurança de um computador que contenha um desses produtos instalados, mesmo que backdoors sejam incluídos por fabricantes conhecidos. Todos os sistemas operacionais podem ter backdoors inclusos, isso não é restrito a alguns sistemas operacionais. Conta a mitologia grega que o cavalo de Troia foi uma grande estátua utilizada como instrumento de guerra pelos gregos para obter acesso à cidade de Troia. A estátua teria sido preenchida com soldados, que, durante a noite, abriram os portões da cidade e dominaram o local. Foi daí surgiu a expressão “presente de grego”. Para TI, um cavalo de Troia (Trojan horse) é um programa
Compartilhar