Slides de Aula Unidade VII

Prévia do material em texto

Prof. Ricardo Sewaybriker
UNIDADE VII
Segurança Física e Lógica
 Após a implantação dos dispositivos tecnológicos de segurança, a grande 
dificuldade dos administradores de rede é saber se tudo aquilo que foi implantado 
e investido está efetivamente protegendo as informações que trafegam na rede. 
Para isso, os administradores podem aplicar os testes de invasão, que podem 
verificar na prática se os dispositivos tecnológicos estão atendendo seu propósito 
e também já pensando nas mais diversas formas de ataque, que pode incorrer de 
uma hora para outra e, assim, reconfigurar os dispositivos para evitar esses 
ataques, inclusive nas tecnologias eminentes.
7. Teste de invasão e segurança em tecnologias emergentes 
 Testes de invasão ou pentesting (não confundir com testes de caneta 
esferográfica ou de canetas-tinteiro) envolvem a simulação de ataques reais para 
avaliar os riscos associados a potenciais brechas de segurança. Em um teste de 
invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só 
identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas 
também exploram essas vulnerabilidades, sempre que possível, para avaliar o 
que os invasores poderiam obter após uma exploração bem-sucedida das falhas 
(WEIDMAN, 2014, p. 30). 
7.1 Teste de invasão, conceito 
 O escopo dos testes de invasão pode variar de cliente para cliente, assim como 
ocorrerá com as tarefas. Algumas organizações terão uma postura excelente 
quanto à segurança, enquanto outros terão vulnerabilidades que permitiriam aos 
invasores violar o perímetro e obter acesso aos sistemas internos.
 Às vezes será necessário também ser responsável pela avaliação de uma ou mais 
aplicações web personalizadas. Isso poderá exigir ataques de engenharia social e 
do lado do cliente para obter acesso à sua rede interna. Alguns testes de invasão 
exigirão atuações como se fosse alguém de dentro – um funcionário mal caráter ou 
descontente ou um invasor que já tenha violado o perímetro – à medida 
que realizar um teste de invasão interno.
7.1 Teste de invasão, conceito 
 Algumas situações exigirão um teste de invasão externo, em que será necessário 
simular um ataque por meio da internet. E algumas organizações podem querer 
que seja avaliada a segurança das redes wireless de seus escritórios. Em alguns 
casos, você poderá até mesmo efetuar uma auditoria nos controles de segurança 
físicos da organização.
7.1 Teste de invasão, conceito 
 Os testes de invasão têm início com a fase de preparação (pre-engagement), que 
envolve definir os objetivos para o teste de invasão, o mapeamento do escopo (a 
extensão e os parâmetros do teste) e assim por diante. Quando o pentester e a 
organização chegarem a um acordo sobre o escopo, a formatação do relatório e 
outros assuntos, sobre o formato do teste de invasão, após essas definições, o 
teste terá início. 
7.2 Processos de um teste de invasão
 Na fase de coleta de informações (information-gathering), o pentester procura 
informações disponíveis publicamente sobre a organização e identifica maneiras 
em potencial de conectar-se com seus sistemas. 
 Na fase de modelagem das ameaças threat-modeling, o pentester usa essas 
informações para determinar o valor de cada descoberta e o impacto sobre o 
cliente caso a descoberta permita que alguém invada um sistema. Essa avaliação 
permite ao pentester desenvolver um plano de ação e métodos de ataque.
7.2 Processos de um teste de invasão
 Antes que o pentester possa começar a atacar os sistemas, ele realiza uma 
análise de vulnerabilidades (vulnerability analysis). Nessa fase, o pentester
procura descobrir vulnerabilidades nos sistemas que poderão ser exploradas na 
fase de exploração de falhas (exploitation). Um exploit bem-sucedido pode 
conduzir a uma fase de pós-exploração de falhas (post-exploitation), em que se 
tira vantagem do resultado da exploração de falhas, de modo a descobrir 
informações adicionais, obter dados críticos, acessar outros sistemas 
e assim por diante.
 Por fim, na fase de geração de relatórios (reporting), o 
pentester sintetiza as descobertas tanto para os 
profissionais executivos quanto para os técnicos.
7.2 Processos de um teste de invasão
 Por fim, na fase de geração de relatórios (reporting), o pentester sintetiza as 
descobertas tanto para os profissionais executivos quanto para os técnicos.
 Assim que termina a fase de coleta de informações, chega a hora da modelagem 
das ameaças, em que de acordo com o conhecimento obtido na fase de coleta de 
informações, será dada sequência à modelagem das ameaças. Nesse ponto, 
pensaremos como os invasores e desenvolveremos planos de ataque de acordo 
com as informações coletadas. 
7.2 Processos de um teste de invasão
 Por exemplo, se o cliente desenvolver um software proprietário, um invasor 
poderá devastar a empresa ao obter acesso aos seus sistemas de 
desenvolvimento internos, em que o código-fonte é desenvolvido e testado, e 
vender os segredos comerciais da empresa a um concorrente. De acordo com os 
dados encontrados durante a fase de coleta de informações, desenvolveremos 
estratégias para invadir os sistemas da organização.
7.2 Processos de um teste de invasão
 A análise de vulnerabilidades representam a etapa a seguir do processo em que 
os pentesters começam a descobrir ativamente as vulnerabilidades a fim de 
determinar até que ponto suas estratégias de exploração de falhas poderão ser 
bem-sucedidas. Os exploits que falharem poderão desativar serviços, disparar 
alertas de detecção de invasão e arruinar suas chances de efetuar uma 
exploração de falhas bem-sucedida. 
7.2 Processos de um teste de invasão
O que é realizado na fase de modelagem das ameaças nos testes de invasão?
a) Define os objetivos para o teste de invasão e o mapeamento do escopo. 
b) Usa informações para determinar o valor de cada descoberta e o impacto sobre 
o cliente. 
c) Procura informações disponíveis publicamente.
d) Gera relatórios sobre os testes de invasão.
e) Exploração das vulnerabilidades levantadas. 
Interatividade
O que é realizado na fase de modelagem das ameaças nos testes de invasão?
a) Define os objetivos para o teste de invasão e o mapeamento do escopo. 
b) Usa informações para determinar o valor de cada descoberta e o impacto sobre 
o cliente. 
c) Procura informações disponíveis publicamente.
d) Gera relatórios sobre os testes de invasão.
e) Exploração das vulnerabilidades levantadas. 
Resposta 
 Com frequência, durante essa fase, os pentesters executam scanners de 
vulnerabilidades, que usam bancos de dados de vulnerabilidades e uma série de 
verificações ativas para obter um palpite melhor a respeito de quais 
vulnerabilidades estão presentes no sistema de um cliente. Entretanto, embora os 
scanners de vulnerabilidade sejam ferramentas eficazes, elas não podem 
substituir totalmente o raciocínio crítico, portanto, também devem ser realizadas 
análises manuais nessa etapa.
7.2 Processos de um teste de invasão
 A exploração de falhas vem a seguir e é com certeza a parte mais interessante: 
nesse ponto, executamos exploits contra as vulnerabilidades descobertas (às 
vezes, usando uma ferramenta como o Metasploit) em uma tentativa de acessar 
os sistemas de um cliente. Algumas vulnerabilidades são muito fáceis de serem 
exploradas, por exemplo, fazer login com senhas default.
7.2 Processos de um teste de invasão
 No pós-exploração de falhas, os testes de invasão realmente começam somente 
após a exploração de falhas, na fase de pós-exploração. Agora que você 
conseguiu entrar no sistema, mas o que essa invasão realmente significa para a 
organização? Sevocê invadir um sistema legado, sem patches (correções), que 
não faça parte de um domínio ou que não esteja ligado a alvos muito valiosos, e 
esse sistema não contiver nenhuma informação que interesse a um invasor, o 
risco dessa vulnerabilidade será significativamente menor do que se você 
pudesse explorar um controlador de domínio ou um sistema de desenvolvimento 
de um cliente. 
7.2 Processos de um teste de invasão
 Durante a fase de pós-exploração de falhas, reunimos informações sobre o 
sistema invadido, procuramos arquivos interessantes, tentamos elevar o nível de 
nossos privilégios quando necessário e assim por diante. Por exemplo, podemos 
fazer um dump das hashes de senha para ver se podemos revertê-las ou usá-las 
para acessar sistemas adicionais. Também podemos tentar usar o computador 
explorado para atacar sistemas que não estavam anteriormente disponíveis a nós 
se efetuarmos um retorno para esses sistemas. 
7.2 Processos de um teste de invasão
7.2 Processos de um teste de invasão
Processo Realiza
Preparação Define os objetivos para o teste de invasão e o 
mapeamento do escopo. 
Coleta de informações Procura informações disponíveis publicamente.
Modelagem das 
ameaças 
Usa essas informações para determinar o valor 
de cada descoberta e o impacto sobre o cliente. 
Análise de 
vulnerabilidades 
Procura descobrir vulnerabilidades nos sistemas 
que poderão ser exploradas na fase de 
exploração de falhas.
Exploração de falhas Exploração das vulnerabilidades levantadas.
Pós-exploração de 
falhas 
Tira vantagem do resultado da exploração de 
falhas, de modo a descobrir informações 
adicionais.
Geração de relatórios Sintetiza as descobertas tanto para os 
profissionais executivos quanto para os técnicos.
Fonte: adaptado do livro-texto
 Na geração de relatórios está descrita a última etapa do processo. É nessa etapa 
que informamos as nossas descobertas de maneira significativa. Dizemos o que 
eles estão fazendo corretamente, os pontos em que devem melhorar sua postura 
quanto à segurança, como você conseguiu invadir, o que você descobriu, como 
corrigir os problemas e assim por diante.
7.2 Processos de um teste de invasão
 O relatório do teste de invasão deve incluir tanto um sumário executivo como um 
relatório técnico. 
O sumário executivo descreve os objetivos do teste e oferece uma visão geral 
das descobertas. O público-alvo que se pretende atingir são os executivos 
responsáveis pelo programa de segurança. Seu sumário executivo deve 
incluir o seguinte:
7.2 Processos de um teste de invasão
 Histórico – uma descrição do propósito do teste, definições de qualquer termo que 
possa não ser familiar aos executivos, vulnerabilidades e medidas de prevenção.
 Postura geral – uma visão geral da eficiência do teste, os problemas encontrados 
(por exemplo, a exploração da vulnerabilidade MS08-067 da Microsoft) e 
problemas gerais que causam vulnerabilidades, como a ausência de 
gerenciamento de patches.
7.2 Processos de um teste de invasão
 Perfil do risco – uma classificação geral da postura da empresa quanto à 
segurança, quando comparada com organizações semelhantes, com medidas –
como alto, moderado ou baixo. Você também deve incluir uma explicação sobre a 
classificação, ou utilizar a matriz de risco da organização caso ela o tenha.
 Descobertas gerais – uma sinopse geral dos problemas identificados, juntamente 
com estatísticas e métricas sobre a eficiência de qualquer medida de prevenção 
implantada.
7.2 Processos de um teste de invasão
 Resumo das recomendações – uma visão geral das tarefas necessárias para 
corrigir os problemas descobertos no teste de invasão.
 Mapa estratégico – oferece objetivos de curto e de longo prazo ao cliente para 
melhorar a sua postura quanto à segurança. Por exemplo, você pode dizer a eles 
para aplicarem determinados patches agora para endereçar as preocupações de 
curto prazo, porém, sem um plano de longo prazo para o gerenciamento de 
patches, o cliente estará na mesma posição após novos patches terem sido 
disponibilizados.
7.2 Processos de um teste de invasão
O relatório técnico oferece detalhes técnicos sobre o teste. Ele deve incluir:
 Introdução – um inventário dos detalhes como escopo, 
contatos e assim por diante.
 Coleta de informações – detalhes das descobertas da fase de coleta de 
informações. De particular interesse, são os rastros do cliente (footprint) 
deixados na internet.
7.2 Processos de um teste de invasão
 Avaliação de vulnerabilidades – detalhes das descobertas da fase de análise de 
vulnerabilidades do teste.
 Exploração de falhas/verificação de vulnerabilidades – detalhes das descobertas 
da etapa de exploração de falhas do teste.
 Pós-exploração de falhas – detalhes das descobertas da fase de pós-exploração 
de falhas do teste.
 Risco/exposição – uma descrição quantitativa do risco 
identificado. Essa seção faz uma estimativa das perdas 
caso as vulnerabilidades identificadas sejam exploradas 
por um invasor.
 Conclusão – uma visão geral final do teste.
7.2 Processos de um teste de invasão
 Relatórios dos testes de invasão. 
7.2 Processos de um teste de invasão
Relatório executivo Relatório técnico 
Histórico Coleta de informações 
Postura geral Avaliação de vulnerabilidades 
Perfil do risco 
Exploração de falhas/verificação de 
vulnerabilidades 
Descobertas gerais Pós-exploração de falhas 
Resumo das 
recomendações 
Risco/exposição
Mapa estratégico Conclusão
Fonte: adaptado do livro-texto
O relatório executivo do teste de invasão tem como objetivo:
a) Descrever os objetivos do teste e oferecer uma visão geral das descobertas. 
b) Demonstrar dados técnicos do teste de invasão.
c) Descrever dados operacionais do teste de invasão. 
d) Gerar relatório tático sobre os testes de invasão.
e) Demonstrar soluções operacionais de segurança. 
Interatividade
O relatório executivo do teste de invasão tem como objetivo:
a) Descrever os objetivos do teste e oferecer uma visão geral das descobertas. 
b) Demonstrar dados técnicos do teste de invasão.
c) Descrever dados operacionais do teste de invasão. 
d) Gerar relatório tático sobre os testes de invasão.
e) Demonstrar soluções operacionais de segurança. 
Resposta
 Os administradores de Redes devem estar em constante aperfeiçoamento de 
suas habilidades, atualizando seus conhecimentos sobre as novas tecnologias e 
suas implicações no quesito segurança, uma vez que essas tecnologias 
demostram quase sempre redução de custos ou melhoras significativas de 
desempenho e que, na grande maioria das vezes, a segurança das informações 
fica em segundo plano e é responsabilidade dos Administradores de Redes 
trazerem à tona discussões sobre as implicações de segurança nas implantações 
ou adesões a essas tecnologias. 
7.3 Segurança em tecnologias emergentes
 A computação em nuvem, ou cloud computing, refere-se a uma tecnologia antiga 
que ganhou força em 2008. Nada mais é do que utilizar, armazenar, desenvolver 
dados, informações ou aplicações das mais variadas formas e formatos utilizando 
aplicações independentemente do local ou da plataforma e de maneiras variadas 
por meio da internet. 
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 Dessa forma, aquele e-mail que acessamos por meio do nosso navegador está na 
nuvem, desde sempre, porém a partir de 2008 foram desenvolvidas soluções 
comerciais que, além de facilitar a administração, também reduzem custos. 
 Com a computação em nuvem, os aplicativos e os arquivos não precisam mais 
estar instalados ou armazenados no computador do usuário ou em um servidorpróximo. Esse conteúdo está disponível nas nuvens, isto é, na internet.
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
Fonte: adaptado do livro-texto
 Exemplo prático dessa situação é o Office 386, da Microsoft, serviço que 
disponibiliza aos usuários acesso aos recursos do pacote Office de forma 
inteiramente online, basta ao usuário possuir acesso à internet, pagar o serviço e 
criar sua conta e senha e, por meio de qualquer navegador, o acesso será 
fornecido.
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 Benefícios da nuvem. 
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
Fonte: livro-texto
Estão disponibilizados os mais diversos serviços em nuvem, em que os mais 
comumente oferecidos são: 
 No Software as a Service (SaaS) ou, Software como Serviço refere a um formato 
de serviço em que o contratante não necessita adquirir a licença de uso para 
instalação ou mesmo investir em computadores, ele simplesmente contrata os 
serviços de software por assinatura e paga-se um valor periódico pelo uso do 
mesmo e por um tempo definido em contrato. 
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 A Platform as a Service (PaaS): Plataforma como Serviço é uma solução 
completa que, na maioria das vezes, inclui quase todos os recursos necessários 
ao trabalho como armazenamento, banco de dados, escalabilidade (aumento 
automático da capacidade de armazenamento ou processamento), suporte a 
linguagens de programação, segurança, entre outros.
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 A Database as a Service (DaaS): Banco de Dados como Serviço. É oferecido aos 
clientes que desejam o fornecimento de serviços para armazenamento e acesso 
de volumes de dados. A vantagem está na flexibilidade para expandir o banco de 
dados, compartilhar as informações com outros sistemas.
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 Infrastructure as a Service (IaaS): Infraestrutura como Serviço. Muito semelhante 
ao PaaS, porém destinado à estrutura de hardware ou de máquinas virtuais, com 
o usuário tendo inclusive acesso a recursos do sistema operacional.
 Testing as a Service (TaaS): disponibiliza ambiente de teste das aplicações de 
sistemas desenvolvidos pelo cliente, inclusive como simulações do 
comportamento destes em nível de execução.
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
Não podemos considerar como característica da implantação da computação em 
nuvem: 
a) Diversidade.
b) Disponibilidade.
c) Unicidade de informações em qualquer lugar.
d) Custo elevado quando comparado à implantação física.
e) Controle de gastos.
Interatividade
Não podemos considerar como característica da implantação da computação em 
nuvem: 
a) Diversidade.
b) Disponibilidade.
c) Unicidade de informações em qualquer lugar.
d) Custo elevado quando comparado à implantação física.
e) Controle de gastos.
Resposta 
 Quando os administradores de Redes se deparam com a implantação de um ou 
mais desses serviços em nuvem devem ter consciência que os problemas de 
segurança apenas mudaram de endereço, não simplesmente deixaram de existir. 
A análise no aspecto de segurança ficará a cargo de qual formato de nuvem a 
organização adotou. 
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 As nuvens podem ser estruturadas em três formatos diferentes, sendo públicas, 
privadas ou híbridas. Quando falamos de nuvem pública nos referimos ao 
conceito do fornecimento de determinados serviços em plataformas distantes, 
gerenciadas por um terceiro que são acessadas pela internet. 
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 Já a nuvem privada ou private cloud apresenta os mesmos benefícios inclusive os 
usuários da rede nem percebem a diferença entre as duas, porém o que ocorre 
por trás faz toda diferença. Os equipamentos e os sistemas utilizados para 
constituir a nuvem ficam dentro da infraestrutura da própria corporação, em outras 
palavras é uma nuvem particular. Um terceiro modo aparece para unificar as duas 
nuvem híbridas mesclam as nuvens privadas que, geralmente, ficam para as 
atividades mais críticas ao negócio ou que sofrem imposição legal e para o 
modelo privado resta tudo que não for crítico ou imposto pela lei, proporcionando 
segurança, desempenho e redução de custos. 
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 Aparentemente, as nuvens híbridas parecem mais eficazes, pensando em 
segurança da informação. Realmente elas são, isso pelo motivo bem óbvio de 
que a esta (terceirizada) apenas as informações menos importantes da 
organização e o restante está protegido com as políticas de segurança da própria 
e mantidas devidamente gerenciadas pela própria.
7.3 Segurança em tecnologias emergentes – cloud computing ou 
computação na nuvem
 É impossível separar os conceitos de criptomoedas e blockchain, mas a pergunta 
é até onde essas tecnologias podem atrapalhar ou ajudar os administradores de 
rede quando falamos em segurança da informação?
 A criptomoeda é a composição de uma programação aritmética complexa que 
requer grande processamento dos processadores e que gera um número único 
que, por usa vez, é registrado sequencialmente em uma cadeia de blocos 
(blockchain). 
7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain
 Desenvolvido para alicerçar as operações em Bitcoin o Blockchain (cadeia de 
blocos) pode ser definido como uma estrutura composta de banco de dados 
compartilhado, no qual cada integrante é capaz de ler tudo, mas não há controle 
de uma única entidade e de quais integrantes podem escrever. A grosso modo, 
podemos entender o blockchain como registro ou livro razão distribuído, que 
providencia uma forma de gravar e compartilhar informações (imutáveis e 
atualizadas) dentro de determinada estrutura (comunidade/serviço).
7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain
 Comparativo entre os modelos transacionais centralizados e descentralizados
7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain
Fonte: livro-texto
Modelo Descentralizado
(Criptomoedas - Blockhain)
Modelo Centralizado
(Sistema Financeiro)
 Relação de Confiança Blockchain
7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain
Fonte: livro-texto
 O conceito de internet das coisas (do inglês, Internet of Things, IoT) foi um termo 
definido em 1992 para definir algo que estava sendo viabilizado com a introdução 
do IPV6 (que multiplicou o número de endereços IP válidos na internet). A partir 
desse momento, iniciaram os estudos para introduzir exatamente tudo na internet, 
desenvolvendo uma rede de objetos físicos, veículos, prédios e outros que 
possuem tecnologia embarcada, sensores e conexão com rede capaz de coletar e 
transmitir dados.
7.4 IOT – Internet das Coisas 
 Os administradores de Rede, que antes deveriam se preocupar apenas com sua 
segurança perimetral, agora devem enfrentar o avanço dessa tecnologia rumo à 
sua convergência com as demais como bigdata, inteligência artificial, mobilidade, 
moedas criptográficas, blockchain e computação na nuvem. 
7.4 IOT – Internet das Coisas 
É correto afirmar sobre o uso das cadeias de confiança do Blockchain:
a) Trata-se de modelo descentralizado de confiança nas transações.b) Não possui controle das transações. 
c) Não apresenta segurança nas transações.
d) Trata-se de um modelo centralizado de confiança nas transações.
e) Não apresenta integridade nas transações. 
Interatividade
É correto afirmar sobre o uso das cadeias de confiança do Blockchain:
a) Trata-se de modelo descentralizado de confiança nas transações.
b) Não possui controle das transações. 
c) Não apresenta segurança nas transações.
d) Trata-se de um modelo centralizado de confiança nas transações.
e) Não apresenta integridade nas transações. 
Resposta 
ATÉ A PRÓXIMA!