Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 SEGURANÇA EM REDES DE COMPUTADORES 1 Sumário NOSSA HISTÓRIA ............................................................................................. 2 INTRODUÇÃO ................................................................................................... 3 O QUE É A SEGURANÇA DE REDE ................................................................ 5 A ARQUITETURA DE SEGURANÇA OSI ......................................................... 9 ATAQUES À SEGURANÇA ............................................................................. 10 Ataques passivos ............................................................................................. 10 Ataques ativos .................................................................................................. 11 SERVIÇOS DE SEGURANÇA ......................................................................... 12 MECANISMOS DE SEGURANÇA ................................................................... 13 OS RISCOS AO NAVEGAR PELA INTERNET ................................................ 15 RISCOS QUE AS EMPRESAS PODEM TER .................................................. 16 ATAQUES EM REDES .................................................................................... 17 TIPOS DE ATAQUES NA REDE ...................................................................... 18 PROTEÇÃO DA REDE .................................................................................... 25 SEGURANÇA NA TRANSFERÊNCIA DE ARQUIVOS .................................... 26 CRIPTOGRAFIA .............................................................................................. 27 CONSIDERAÇÕES FINAIS ............................................................................. 28 REFERÊNCIAS ................................................................................................ 30 2 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós- Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 3 INTRODUÇÃO Quando falamos em Segurança nas redes de computadores atualmente, fazemos uma grande referência à Internet, pois é nessa rede mundial onde os ataques aos nossos computadores ocorrem com maior frequência. Basicamente, dizemos que uma casa está segura, quando as vulnerabilidades dela foram minimizadas. Mas... e vulnerabilidade? Segundo a ISO (International Standardization Organization - Organização Internacional para Padronização), no contexto da computação, é qualquer fraqueza que pode ser explorada para se violar um sistema ou as informações que nele contém. Para proteger a sua empresa, o gestor de TI não deve ignorar a segurança em redes de computadores. Uma parte crucial para o funcionamento do empreendimento, a infraestrutura de rede conecta pessoas e serviços, como a computação na nuvem e ferramentas de e-mail. Para muitos, o investimento nessa área é estratégico, uma vez que brechas na rede podem causar um grande impacto no dia a dia do negócio. (Fonte:https://sites.google.com/site/ifcedavid/home/gerencia-e-seguranca-de- redes-de-computadores) https://sites.google.com/site/ifcedavid/home/gerencia-e-seguranca-de-redes-de-computadores https://sites.google.com/site/ifcedavid/home/gerencia-e-seguranca-de-redes-de-computadores 4 A área de segurança de rede e de Internet consiste de medidas para desviar, prevenir, detectar e corrigir violações de segurança que envolvam a transmissão de informações. Essa é uma definição abrangente que envolve várias possibilidades A fim de lhe oferecer uma ideia das áreas cobertas por este livro, considere os seguintes exemplos de violações de segurança: • O usuário A transmite um arquivo ao usuário B. O arquivo contém informações confidenciais (por exemplo, registros de folha de pagamento) que devem ser protegidas contra divulgação. O usuário C, que não está autorizado a ler o arquivo, é capaz de monitorar a transmissão e capturar uma cópia dele nesse momento. • Um gerente de rede, D, transmite uma mensagem a um computador, E, sob seu gerenciamento. A mensagem instrui o computador E a atualizar um arquivo de autorização para incluir as identidades de diversos usuários novos, que deverão receber acesso a esse computador. O usuário F intercepta a mensagem, altera seu conteúdo para incluir ou excluir entradas, e depois encaminha-a para E, que a aceita como se estivesse vindo do gerente, que atualiza seu arquivo de autorização conforme solicitado. • Em vez de interceptar uma mensagem, o usuário F constrói a sua própria com as entradas desejadas e a transmite para E como se tivesse vindo do gerente D. O computador E a aceita como proveniente do gerente D e atualiza seu arquivo de autorização conforme solicitado. • Um empregado é demitido sem aviso. O gerente de pessoal envia uma mensagem a um sistema servidor para invalidar a conta do empregado. Quando a invalidação é realizada, o servidor deve postar uma nota no arquivo do empregado como confirmação da ação. O empregado é capaz de interceptar a mensagem e adiá-la por um tempo necessário para fazer um acesso final ao servidor e apanhar informações confidenciais. A mensagem é então encaminhada, a ação, tomada e a confirmação, postada. A ação do empregado pode passar despercebida por um tempo considerável. 5 • Uma mensagem é enviada por um cliente a uma corretora de ações com instruções para diversas transações. Depois disso, os investimentos perdem valor, e o cliente nega ter enviado a mensagem. Embora essa lista de forma alguma esgote os tipos possíveis de violações de segurança, ela ilustra a gama de problemas de segurança de rede. O QUE É A SEGURANÇA DE REDE No campo de redes, a área de segurança de rede consiste na provisão e políticas adotadas pelo administrador de rede para prevenir e monitorar o acesso não autorizado, uso incorreto, modificação ou negação da rede de computadores e dos seus recursos associados. Segurança de rede envolve a autorização de acesso aos dados de uma rede, os quais são controlados pelo administrador de rede. Usuários escolhem ou são atribuídos uma identificação e uma senha, ou outra informação de autenticação que permite que eles acessem as informações e programas dentro de sua autorização. A segurança de rede cobre uma variedade de redes de computadores, tanto publicas quanto privadas, que são utilizadas diariamente conduzindo transações e comunicações entre empresas, agências governamentais e indivíduos. Redes podem ser privadas, como as de uma companhia, e outra podem ser abertas para acesso público. Segurança de rede está envolvida em organizações, empresas e outros tipos de instituições. Faz como seu nome sugere: torna a rede segura, assim como protege e supervisiona as operações sendo feitas. A maneira maiscomum e simples de proteger um recurso de rede é atribuir um nome único e uma senha correspondente. Segurança de rede começa com autenticação do usuário, geralmente com um usuário e senha. Já que isto requer apenas um detalhe para autenticar o usuário https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o#Pol.C3.ADticas_de_seguran.C3.A7a 6 e a senha, o que é algo que o usuário “conhece” isto algumas vezes é chamado de autenticação de um fator. No caso da autenticação de dois fatores, alguma coisa que o usuário 'tem' também é utilizado (por exemplo, um Token, um dongle, um cartão de crédito ou um telefone celular; já em uma autenticação de três fatores, alguma coisa que o usuário “é” também é utilizado (impressão digital ou escaneamento de retina). Uma vez autenticado, um firewall aplica políticas de acesso, como os serviços que são permitidos a serem acessados pelos usuários da rede. Embora efetivo na prevenção de acesso não autorizado, este componente pode falhar na checagem de conteúdo potencialmente perigoso, como worms ou Trojans sendo transmitido pela rede. Um software Antivírus ou um Sistema de prevenção de intrusos '(IPS - Intrusion Prevention System)' ajudam a detectar e inibir as ações deste tipo de malwares. Um Sistema de Detecção de Intrusão baseado em anomalias também pode monitorar a rede e o trafego de rede, procurando por um conteúdo ou comportamento inesperado (suspeito) e outras anomalias para proteger os recursos de, mas não limitado a, um ataque de negação de serviço ou um empregado acessando arquivos em horários estranhos. Eventos individuais que acontecem na rede podem ser registrados para serem auditados e para análises posteriores de alto nível. A comunicação entre dois hospedeiros utilizando uma rede pode ser encriptada para manter sua privacidade. O Manual de Segurança de Computadores da NIST [NIST95] define o termo segurança de computadores da seguinte forma: Segurança de computadores: a proteção oferecida para um sistema de informação automatizado a fim de alcançar os objetivos de preservar a integridade, a disponibilidade e a confidencialidade dos recursos do sistema de informação (incluindo hardware, software, firmware, informações/dados e telecomunicações). https://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o#Fatores_de_autentica.C3.A7.C3.A3o 7 Confidencialidade: esse termo cobre dois conceitos relacionados: - Confidencialidade de dados: 1 assegura que informações privadas e confidenciais não estejam disponíveis nem sejam reveladas para indivíduos não autorizados. Privacidade: assegura que os indivíduos controlem ou influenciem quais informações relacionadas a eles podem ser obtidas e armazenadas, da mesma forma que como, por quem e para quem essas informações são passíveis de ser reveladas. Integridade: esse termo abrange dois conceitos relacionados: - Integridade de dados: assegura que as informações e os programas sejam modificados somente de uma maneira especificada e autorizada. - Integridade do sistema: assegura que um sistema execute as suas funcionalidades de forma ilesa, livre de manipulações deliberadas ou inadvertidas do sistema. Disponibilidade: assegura que os sistemas operem prontamente e seus serviços não fiquem indisponíveis para usuários autorizados. Esses três conceitos formam o que é normalmente chamado de tríade CIA (do acrónimo em inglês para confidentiality, integrity and availability). Os três conceitos envolvem os objetivos fundamentais da segurança tanto para dados quanto para serviços de informação e computação. Por exemplo, os padrões FIPS 199 (padrões para categorização de segurança para as informações e sistemas de informação federais) da NIST listam a confidencialidade, integridade e disponibilidade como os três objetivos de segurança para informação e sistemas de informação O FIPS 199 fornece uma caracterização muito útil para 1 RFC 4949 define informação como "Tatos e ideias que podem ser representadas (codificadas) em vários formatos de dados, c dados como "informações em uma representação fisica especifica, usualmente uma sequéacia de simbolos que possuem significado sobretudo, uma representação da informação que pode ser processada ou produzida por um computador A literatura referente à segurança em geral não faz muita distinção entre esses dois termos tampouco o faz este livro. 8 esses três objetivos em termos de requisitos e da definição de uma perda de segurança em cada categoria: Confidencialidade: preservar restrições autorizadas sobre acesso e divulgação de informação, incluindo meios para proteger a privacidade de indivíduos e informações privadas. Uma perda de confidencialidade seria a divulgação não autorizada de informação Integridade: prevenir-se contra a modificação ou destruição imprópria de informação, incluindo a irretratabilidade e autenticidade dela. Uma perda de integridade seria a modificação ou destruição não autorizada de informação, Disponibilidade: assegurar acesso e uso rápido e confiável da informação. Uma perda de disponibilidade é a perda de acesso ou de uso da informação ou sistema de informação Embora o emprego da tríade CIA para definir os objetivos da segurança esteja bem estabelecido, alguns no campo da segurança percebem que conceitos adicionais são necessários para apresentar um quadro completo. Seguem abaixo dois desses conceitos que são mais comumente mencionados: Autenticidade: a propriedade de ser genuíno e capaz de ser verificado e confiável; confiança na vali dação de uma transmissão, em uma mensagem ou na origem de uma mensagem. Isso significa verificar que os usuários são quem dizem ser e, além disso, que cada entrada no sistema vem de uma fonte confiável. Responsabilização: a meta de segurança que gera o requisito para que ações de uma entidade sejam atribuídas exclusivamente a ela. Isso prove irretratabilidade, dissuasão, isolamento de falhas, detecção. e prevenção de intrusão, além de recuperação pós-ação e ações legais. Como sistemas totalmente seguros não são ainda uma meta alcançável, temos que ser capazes de associar uma violação de segurança a uma parte responsável. Os sistemas precisam manter registros de suas atividades a fim de permitir posterior análise forense, de modo a rastrear as violações de segurança ou auxiliar em disputas de uma transação. 9 A ARQUITETURA DE SEGURANÇA OSI Para avaliar efetivamente as necessidades de segurança de uma organização e escolher diversos produtos e políticas de segurança, o gerente responsável precisa de algum meio sistemático de definir os requisitos para a segurança e caracterizar as técnicas para satisfazê-los. Isso já é difícil em um ambiente de processamento de dados centralizado: com o uso de redes locais e remotas, os problemas são ainda maiores. A recomendação X.800 da ITU-T, Security Architecture for OSI, define tal técnica sistemática. A arquitetura de segurança OSI é útil para os gerentes como um meio de organizar a tarefa de fornecer segurança. Além do mais, como essa arquitetura foi desenvolvida como um padrão internacional. fornecedores de computador e de comunicação estabeleceram recursos de segurança para seus produtos e serviços, que se relacionam com essa definição estruturada de serviços e mecanismos. Para os nossos propósitos, a arquitetura de segurança OSI oferece uma visão geral útil, abstrata, de muitos dos conceitos de que este livro trata. Ela focaliza ataques, mecanismos e serviços de segurança. Eles podem ser definidos resumidamente da seguinte forma: • Ataque à segurança: qualquer ação que comprometa a segurança da informação pertencida a uma organização. • Mecanismo de segurança: um processo (ou um dispositivo incorporando tal processo) que é projetado para detectar, impedir ou recuperar-se de um ataque à segurança. • Serviço de segurança:um serviço de processamento ou comunicação que aumenta a segurança dos sis temas de processamento de dados e das transferências de informação de uma organização. Os serviços servem para frustrar ataques à segurança, e utilizam um ou mais mecanismos para isso. 10 De forma literal, os termos “ameaça” e “ataque” possuem o mesmo significado, porém, nos estudos abordados, tais definições serão retiradas da RFC 4949, Internet Security Glossary, sendo elas: Ameaça Ataque Um ataque à segurança do sistema, derivado de uma ameaça inteligente; ou seja, um ato inteligente que é uma ter deliberada (especialmente no sentido de um método ou técnica) de fugir dos serviços de segurança e violar a política de segurança de um sistema. Um ataque à segurança do sistema, derivado de uma ameaça inteligente; ou seja, um ato inteligente que é uma ter deliberada (especialmente no sentido de um método ou técnica) de fugir dos serviços de segurança e violar a política de segurança de um sistema. ATAQUES À SEGURANÇA Uma maneira útil de classificar os ataques à segurança, usada tanto na X.800 quanto na RFC 4949, é em termos de ataques passivos e ataques ativos. Um ataque passivo tenta descobrir ou utilizar informações do sistema, mas não afeta os seus recursos. Um ataque ativo tenta alterar recursos do sistema ou afetar sua operação. Ataques passivos Os ataques passivos estão na natureza de bisbilhotar ou monitorar transmissões. O objetivo do oponente é obter informações que estão sendo transmitidas. Dois tipos de ataques passivos são vazamento de conteúdo de mensagem e análise de tráfego. O vazamento de conteúdo de mensagem é facilmente compreendido. Uma conversa telefônica, uma mensagem de correio eletrônico e um arquivo transferido podem conter informações, sensíveis ou confidenciais. Desejamos impedir que um oponente descubra o conteúdo dessas transmissões. 11 Um segundo tipo de ataque passivo, a análise de tráfego, é mais sutil. Suponha que tivéssemos uma maneira de disfarçar o conteúdo das mensagens ou outro tráfego de informações, de modo que os oponentes, mesmo que capturassem a mensagem, não pudessem extrair as informações dela. A técnica comum para mascarar conteúdo é a encriptação. Se tivéssemos proteção por encriptação, um oponente ainda poderia conseguir observar o padrão dessas mensagens. Ele teria meios para determinar o local e a identidade dos interlocutores em comunicação e poderia observar a frequência e o tamanho das mensagens trocadas. Essa informação seria útil para descobrir a natureza da comunicação que estivesse ocorrendo. Ataques ativos Ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso, e podem ser subdivididos em quatro categorias: disfarce, repasse, modificação de mensagens e negação de serviço. Um disfarce ocorre quando uma entidade finge ser outra diferente. Um ataque de disfarce normalmente inclui uma das outras formas de ataque ativo. Por exemplo, sequências de autenticação podem ser capturadas e reproduzidas depois que houver uma delas, válida, permitindo assim que uma entidade autorizada com poucos privilégios obtenha alguns extras, personificando uma que os tenha. Repasse envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado. Modificação de mensagens simplesmente significa que alguma parte de uma mensagem legítima é alterada, ou que as mensagens são adiadas ou reordenadas, para produzir um efeito não autorizado. A negação de serviço impede ou inibe o uso ou gerenciamento normal das instalações de comunicação. Esse ataque pode ter um alvo específico; por exemplo, uma entidade a suprimir todas as mensagens dirigidas para determinado destino (por exemplo, o serviço de auditoria de segurança). Outra 12 forma de negação de serviço é a perturbação de uma rede inteira, seja desativando-a ou sobrecarregando-a com mensagens, a fim de prejudicar seu desempenho. Os ataques ativos apresentam as características opostas dos ataques passivos. Embora os ataques passivos sejam difíceis de detectar, existem medidas para impedir seu sucesso. Por outro lado, é muito difícil impedir de forma absoluta os ataques ativos, em virtude da grande variedade de potenciais vulnerabilidades físicas, de software e de rede. Em vez disso, o objetivo é detectar ataques ativos e recuperar-se de qualquer rompimento ou atrasos causados por eles. Se a detecção tiver um efeito intimidador, ela também pode contribuir para a prevenção. SERVIÇOS DE SEGURANÇA X.800 define um serviço de segurança como aquele fornecido por uma camada de protocolo de comunicação de sistemas abertos, que garante a segurança adequada dos sistemas ou das transferências de dados. Talvez uma definição mais clara seja encontrada na RFC 4949, que diz: um serviço de processamento ou comunicação que é fornecido por um sistema para dar um tipo específico de proteção aos recursos do sistema; os serviços de segurança implementam políticas (ou diretrizes) de segurança e são implementados por mecanismos de segurança. X.800 divide esses serviços em cinco categorias e quatorze serviços específicos. 13 MECANISMOS DE SEGURANÇA A tabela positivada a seguir, lista os mecanismos de segurança definidos na recomendação X.800. Como podemos ver, os mecanismos são divididos entre aqueles implementados em uma camada de protocolo específica, como TCP ou protocolo da camada de aplicação, e aqueles que não são específicos a camadas de protocolo ou serviços de segurança em particular. Esses mecanismos serão abordados nos lugares apropriados no livro, e, portanto, não 14 trataremos deles agora, exceto para comentar sobre a definição da codificação. X.800 distingue entre mecanismos de codificação reversíveis e irreversíveis. Um mecanismo de codificação reversível é simplesmente um algoritmo de encriptação que permite que os dados sejam encriptados e, então, decriptados Mecanismos de codificação irreversíveis incluem algoritmos de hush e códigos de autenticação de mensagens, que são usados em aplicações de assinatura digital e autenticação de mensagens.de autenticação de mensagens, que são usados em aplicações de assinatura digital e autenticação de mensagens. 15 OS RISCOS AO NAVEGAR PELA INTERNET Aproveitar esses benefıcios de forma segura, entretanto, requer que alguns cuidados sejam tomados e, para isto, ´e importante que você esteja informado dos riscos aos quais está exposto para que possa tomar as medidas preventivas necessárias. Alguns destes riscos são: • Acesso a conteúdos impróprios ou ofensivos: ao navegar você pode se deparar com páginas que contenham pornografia, que atentem contra a honra ou que incitem o ódio e o racismo. • Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensacação são deanonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornografia infantil e sequestro. • Furto de identidade: assim como você pode ter contato direto com impostores, também pode ocorrer de alguém tentar se passar por você e executar acões em seu nome, levando outras pessoas a acreditarem que estão se relacionando com você, e colocando em risco a sua imagem ou reputacão. • Furto e perda de dados: os dados presentes em seus equipamentos conectados á Internet podem ser furtados e apagados, pela acão de ladrões, atacantes e códigos maliciosos. • Invasão de privacidade: a divulgacão de informacões pessoais pode comprometer a sua privacidade, de seus amigos e familiares e, mesmo que você restrinja o acesso, não há como controlar que elas não serão repassadas. Além disto, os sites costumam ter políticas próprias de privacidade e podem altera-las semaviso prévio, tornando público aquilo que antes era privado. • Divulgacão de boatos: as informacões na Internet podem se propagar rapidamente e atingir um grande número de pessoas em curto período de tempo. Enquanto isto pode ser desejável em certos casos, também pode ser usado para a divulgacão de informacões falsas, que podem gerar pánico e prejudicar pessoas e empresas. 16 • Dificuldade de exclusão: aquilo que é divulgado na Internet nem sempre pode ser totalmente excluído ou ter o acesso controlado. Uma opinião dada em um momento de impulso pode ficar acessível por tempo indeterminado e pode, de alguma forma, ser usada contra você e acessada por diferentes pessoas, desde seus familiares até seus chefes. • Dificuldade de detectar e expressar sentimentos: quando você se comunica via Internet não há como observar as expressões faciais ou o tom da voz das outras pessoas, assim como elas não podem observar você (a não ser que vocês estejam utilizando webcams e microfones). RISCOS QUE AS EMPRESAS PODEM TER Não se preocupar com a segurança em redes de computadores é um dos maiores erros que o negócio pode realizar. A infraestrutura de rede é responsável por conectar todos os dispositivos, usuários e serviços do negócio. Portanto, brechas nessa área são capazes de afetar todos os setores da companhia. Os roteadores, por exemplo, podem ser sequestrados para redes zumbis. Utilizados em ataques DDoS, esses dispositivos sobrecarregam a infraestrutura local, impedindo o uso de serviços básicos e, ao mesmo tempo, elevando o custo operacional do negócio: com os dispositivos sendo utilizados além da sua carga operacional mediana, o tempo de vida útil cairá drasticamente. Já os servidores utilizados para salvar arquivos e executar sistemas de gestão podem ficar expostos. Assim, a companhia terá dados críticos sequestrados, algo que leva à perda de clientes, processos judiciais e penas legais. Além disso, se a atividade de profissionais terceirizados não for monitorada corretamente, a aplicação de boas práticas não será suficiente para impedir ataques. Ainda que o negócio consiga reduzir gastos, as práticas diárias colocarão os seus arquivos em risco. 17 ATAQUES EM REDES Um ataque, ao ser planejado, segue um plano de estratégia sobre o alvo desejado, e uma pessoa experiente em planejamento de ataque sempre traça um roteiro a ser seguido a fim de alcançar o objetivo. Um exemplo de roteiro organizado para atacar é exemplificado a seguir: • Localizar o alvo desejado; • Concentrar o máximo de informações possíveis sobre o alvo, geralmente utilizando alguns serviços da própria rede, ou até mesmo, ferramentas utilizadas na administração e gerenciamento da rede alvo; • Disparar o ataque sobre o alvo, a fim de invadir o sistema, explorando a vulnerabilidade do sistema operacional, servidores e serviços oferecidos pela rede. O invasor pode até mesmo abusar um pouco da sorte tentando adivinhar uma senha na máquina alvo, fazendo combinações possíveis; • Não deixar pistas da invasão, pois geralmente as ações realizadas pelos invasores são registradas no sistema alvo em arquivos de log, possibilitando que o administrador do sistema invadido possa vir a descobrir a invasão, a não ser que o invasor se preocupe em eliminar todos e quaisquer vestígios que o incriminem; • O invasor deve conseguir não somente senhas de usuários comuns, pois os privilégios destes usuários são limitados, não dando acesso a recursos mais abrangentes no sistema. Com isso, é de grande importância que o invasor consiga uma senha de administrador, pois terá todos os recursos de gerenciamento do sistema disponíveis, para alterações e até mesmo gerar bug no sistema. Instalar ferramentas que façam a captura de senhas de forma clandestina aos olhos do administrador, para isso existem programas que conseguem rodar em segundo plano sem que a vítima perceba, podendo ser colocados na pasta usada pela vítima; • Criar caminhos alternativos de invasão, logo que a administradora do sistema encontrar uma “porta aberta” que permita a invasão esta será fechada, mas se o invasor gerar outras maneiras de invadir o sistema, certamente terá outra chance de invasão, já que teve a preocupação de criar novas rotas alternativas; 18 • Utilizar a máquina invadida como “portão de entrada” para invasão de outras máquinas da rede e até mesmo do computador central. TIPOS DE ATAQUES NA REDE Adware: este tipo de arquivo malicioso nem sempre é baixado por acidente para o seu computador. Alguns programas carregados de propagandas que só as eliminam após a aquisição de uma licença também são considerados adwares. Em suma, um adware é um aplicativo que baixa ou exibe, sem exigir autorização, anúncios na tela do computador. Application-Layer Attack: os “ataques na camada de aplicação” podem ser feitos tanto em servidores remotos quanto em servidores de rede interna. São ataques nas comunicações dos aplicativos, o que pode gerar permissões de acesso aos crackers em computadores infectados. Aplicativos que utilizam base de dados online (como Adobe Reader) também podem ser atingidos. Backdoor: traduzindo literalmente, “porta dos fundos”. São falhas de segurança no sistema operacional ou em aplicativos, que permitem que usuários acessem as informações dos computadores sem que sejam detectados por firewalls ou antivírus. Muitos crackers aproveitam-se destas falhas para instalar vírus ou aplicativos de controle sobre máquinas remotas. Black Hat: o mesmo que “Cracker”. São os usuários que utilizam os conhecimentos de programação para causar danos em computadores alheios. Bloatware: os “softwares bolha” não são considerados aplicativos de invasão. Na verdade, são programas que causam perda de espaço livre nos computadores por serem muito maiores do que deveriam ser. Ou possuem muitas funções, mas poucas que são realmente funcionais. Alguns dos softwares considerados Bloatwares são iTunes, Windows Vista e Nero. Bluebugging: é o tipo de invasão que ocorre por meio de falhas de segurança em dispositivos Bluetooth. Com equipamentos de captura de sinal Bluetooth e aplicativos de modificação sem autorização, crackers podem roubar dados e 19 senhas de aparelhos celulares ou notebooks que possuam a tecnologia habilitada. Botnet: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente. Crapware: sabe quando você compra um computador pré-montado e ele chega à sua casa com algumas dúzias de aplicativos que você não faz ideia da funcionalidade? Eles são chamados de crapware (em português: software porcaria) e são considerados um “bônus” pelas fabricantes, mas para os usuários são poucos os aplicativos interessantes. Compromised-Key Attack: são ataques realizados para determinadas chaves de registro do sistema operacional. Quando o cracker consegue ter acesso às chaves escolhidas, pode gerar logs com a decodificação de senhas criptografadas e invadir contas e serviços cadastrados. Data Modification: alteração de dados. O invasor pode decodificar os pacotes capturados e modificar as informações contidas neles antes de permitir que cheguem até o destinatário pré-definido. Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis. As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário. Distributed Denial of Service (DDoS): o mesmo que DoS, mas realizado a partirde vários computadores. É um DoS distribuído. DNS poisoning: “envenenamento do DSN” pode gerar alguns problemas graves para os usuários infectados. Quando ataques deste tipo ocorrem, os usuários atingidos conseguem navegar normalmente pela internet, mas seus dados são todos enviados para um computador invasor que fica como intermediário. 20 “Drive by Java”: aplicativos maliciosos “Drive-by-download” são arquivos danosos que invadem os computadores quando os usuários clicam sobre alguns anúncios ou acessam sites que direcionam downloads sem autorização. O “Drive-by-Java” funciona da mesma maneira, mas em vez de ser por downloads, ocorre devido à contaminação de aplicativos Java. Hacker: são usuários mais curiosos do que a maioria. Eles utilizam essa curiosidade para buscar brechas e falhas de segurança em sistemas já criados. Com esse processo, conseguem muito aprendizado e desenvolvem capacidades de programação bastante empíricas. Quando utilizam estes conhecimentos para causar danos passam a ser chamados de crackers. ICMP Attack: ataques gerados nos protocolos de controle de mensagens de erro na internet. Um computador com o IP alterado para o endereço de outro usuário pode enviar centenas ou milhares de mensagens de erro para servidores remotos, que irão enviar respostas para o endereço com a mesma intensidade. Isso pode causar travamentos e quedas de conexão no computador vitimado. ICMP Tunneling: podem ser criados túneis de verificação em computadores invadidos, por meio da emissão de mensagens de erro e sobrecarga da conexão. Com isso, arquivos maliciosos podem passar sem interceptações de firewalls do computador invadido, passando por esses “túneis” de maneira invisível. IP Spoofing: é uma técnica utilizada por crackers para mascarar o IP do computador. Utilizando endereços falsos, os crackers podem atacar servidores ou computadores domésticos sem medo de serem rastreados, pois o endereço que é enviado para os destinatários é falso. Keylogging: é uma prática muito utilizada por ladrões de contas bancárias. Aplicativos ocultos instalados no computador invadido geram relatórios completos de tudo o que é digitado na máquina. Assim, podem ser capturados senhas e nomes de acesso de contas de e-mail, serviços online e até mesmo Internet Banking. Lammer: é o termo utilizado por hackers mais experientes para depreciar crackers inexperientes que utilizam o trabalho de outros para realizar suas 21 invasões. Não se limitam a invadir sites, quando o fazem modificam toda a estrutura e até assinam as “obras” em busca de fama na comunidade. Logic Bomb: este termo pode ser empregado em dois casos. O primeiro refere- se a programas que expiram após alguma data e então deixam de apresentar algumas de suas funcionalidades. O segundo, mais grave, é utilizado em casos de empresas que utilizam aplicativos de terceiros e quando os contratos são rompidos, estes softwares ativam funções danosas nos computadores em que estavam instalados. Malware: qualquer aplicativo que acessa informações do sistema ou de documentos alocados no disco rígido, sem a autorização do administrador ou usuário, é considerado um malware. Isso inclui vírus, trojans, worms, rootkits e vários outros arquivos maliciosos. Man-in-the-Middle-Atack: este tipo de ataque ocorre quando um computador intercepta conexões de dois outros. Cliente e servidor trocam informações com o invasor, que se esconde com as máscaras de ambos. Em termos mais simples: pode ser um interceptador de uma conversa de MSN, que passa a falar com os dois usuários como se fosse o outro. Password-based Attacks: é o tipo de ataque gerado por programas criados no intuito de tentar senhas repetidas vezes em curtos intervalos de tempo. Criando instabilidades na verificação do logon referido, podem ser geradas duplicatas de senhas ou logons válidos. Ping of Death: um invasor realiza constantes Pings na máquina invadida para causar travamentos na banda e até mesmo para travar o computador. É um tipo de ataque Denial of Service. Phishing: mensagens de e-mail enviadas por spammers são criadas com interfaces e nomes que fazem referência a empresas famosas e conhecidas, como bancos. Nestas mensagens são colocados links disfarçados, que dizem ser prêmios ou informações sobre a empresa em questão, mas na verdade são arquivos maliciosos. 22 Phreaker: os hackers de telefonia. São responsáveis pelo roubo de sinal de outros aparelhos e também por desbloquear aparelhos famosos, como é o caso dos especializados em desbloqueio do iPhone. Pod Slurping: é o nome atribuído às práticas de roubo de informações por meio de dispositivos portáteis pré-configurados para a atividade. Podem ser utilizados pendrives, iPods e muitos outros aparelhos de armazenamento portátil. Há ataques diretos desta maneira e também ataques que apenas abrem portas dos computadores para invasões. Port Scanning: atividade realizada por Port scanners. É a varredura de servidores em busca de portas vulneráveis para a invasão posterior. Repudiation Attacks: quando aplicativos ou sistemas não são criados com os comandos corretos de rastreamento de logs, crackers podem utilizar isso para remodelar os envios de comandos. Assim, podem ser modificados os dados de endereçamento das informações, que são enviadas diretamente para servidores maliciosos. Rootkit: tipo de malware que se esconde nas bases do sistema operacional, em localidades que não podem ser encontradas por antivírus comuns. São utilizados para interceptar solicitações do sistema operacional e alterar os resultados. Scareware: malwares que são acessados pelos usuários mais desavisados, pois ficam escondidos sobre banners maliciosos. Podem ser percebidos em páginas da web que mostram informações do tipo: “Você está infectado, clique aqui para limpar sua máquina”. Session hijacking: roubo de sessão. Ocorre quando um usuário malicioso intercepto cookies com dados do início da sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se fosse a vítima e realizar todos os roubos de informações e modificações que desejar. Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades. Script Kiddy: o mesmo que Lammer. 23 Server Spoofing: o mesmo que IP Spoofing, mas direcionado a servidores VPN. Sidejacking: prática relacionada ao Session hijacking, mas geralmente com o invasor e a vítima em uma mesma rede. Muito frequentes os ataques deste tipo em hotspots Wi-Fi sem segurança habilitada. Shovelware: é o tipo de aplicativo que se destaca mais pela quantidade de funcionalidades do que pela qualidade das mesmas. Muitos conversores multimídia fazem parte deste conceito de shovelware. SMiShing: similar a phishing, mas destinado a celulares (SMS). Smurf: o mesmo que ICMP Attack. Sniffer Attack: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado. Snooping: invasões sem fins lucrativos, apenas para “bisbilhotar” as informações alheias. Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança ou mesmo sobre senhas de acesso a dados importantes. Spam: mensagens enviadas em massa para listas conseguidas de maneira ilegal. Geralmente carregam propagandas sobre pirataria de medicamentos. Também podem conter atalhos para páginas maliciosas que roubam listas de contatos e aumentam o poder de ataque dos spammers. Spoof: mascarar informações para evitar rastreamento. Spyware: são aplicativos (malwares) instalados sem o consentimento dos usuários. Eles são utilizados para capturar informações de utilização enavegação, enviando os logs para os invasores. Keyloggers fazem parte desta denominação. 24 TCP Syn / TCP ACk Attack: ataques realizados nas comunicações entre servidor e cliente. Sendo enviadas mais requisições do que as máquinas podem aguentar, a vítima é derrubada dos servidores e perde a conexão estabelecida. Podem ocorrer travamentos dos computadores atingidos. TCP Sequence Number Attack: tentativas de previsão da sequência numérica utilizada para identificar os pacotes de dados enviados e recebidos em uma conexão. Quando é terminada com sucesso, pode emular um servidor falso para receber todas as informações do computador invadido. TCP Hijacking: roubo de sessão TCP entre duas máquinas para interferir e capturar as informações trocadas entre elas. Teardrop: uma forma de ataque Denial of Service. Usuários ofensores utilizam IPs inválidos para criar fragmentos e sobrecarregar os computadores vitimados. Computadores mais antigos podiam travar facilmente com estes ataques. Trojan: tipo de malware que é baixado pelo usuário sem que ele saiba. São geralmente aplicativos simples que escondem funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores. Vírus: assim como os vírus da biologia, os vírus de computador não podem agir sozinhos. Anexam-se a outros arquivos para que possam ser disseminados e infectar mais computadores. São códigos que forçam a duplicação automática para aumentar o poder de ataque e, assim, criar mais estrago. White Hat: hackers éticos. Worm: funcionam de maneira similar aos vírus, mas não precisam de outros arquivos hospedeiros para serem duplicados. São arquivos maliciosos que podem replicar-se automaticamente e criar brechas nos computadores invadidos. Disseminam-se por meio de redes sem segurança. 25 PROTEÇÃO DA REDE Um Firewall e um conjunto de políticas de segurança que tem como objetivo tentar fazer uma segurança eficiente, mas sabendo que esta segurança nunca será cem porcento. E além disso existe um Firewall software. Uma das grandes preocupações na área de segurança de redes é a vulnerabilidade de um computador, que pode comprometer as transmissões pelo meio físico da rede na qual o mesmo está ligado. Muito se tem feito para que o equipamento computacional (host) esteja seguro, impedindo o acesso indevido a seus dados e monitorando qualquer tentativa de invasão. Entretanto, um outro método tem se mostrado bastante eficiente: impedir que informações indesejadas entrem na rede como um todo. Não é um método substituto à segurança do host, mas complementar, e consiste no seguinte: na ligação da rede interna com Internet, instala-se um equipamento que permitirá, ou não, a entrada e saída de informação, baseada em uma lista de permissões e restrições, devidamente configuradas para suprir as necessidades básicas de comunicação da rede interna com a Internet e vice- versa. Nem mais nem menos. Esta configuração é a chave do sucesso ou fracasso de um firewall. É importante lembrar que o firewall deve estar presente em todas as conexões da rede com a Internet. Não adianta nada colocar um firewall super sofisticado na ligação do backbone se dentro da rede interna, existe um micro conectado com outra rede. A utilização de um firewall implica na necessidade de conectar uma Intranet ao mundo externo, a Internet. Para tanto, podemos formular um projeto de firewall específico, implicando em algumas perguntas que se fazem necessárias quando da aquisição destas políticas: • Gostaríamos que usuários baseados na Internet fizessem upload ou download de arquivos de ou para o servidor da empresas? 26 • Há usuários específicos (como concorrentes) aos quais desejamos negar acesso? • A empresa publicará uma página Web? • O site proverá suporte Telnet a usuários da Internet? • Os usuários da Intranet da empresa deverão ter acesso a Web sem restrições? • Serão necessárias estatísticas sobre quem está tentando acessar o sistema através do firewall? • Há pessoal empenhado na monitoração da segurança do firewall? • Qual o pior cenário possível, caso uma ameaça atinja a Intranet? • Os usuários precisam se conectar a Intranets geograficamente dispersas? Construir um firewall é decidir quais políticas de segurança serão utilizadas, ou seja, que tipo de tráfego irá ou não ser permitido na Intranet. Podemos escolher entre um roteador que irá filtrar pacotes selecionados, ou usar algum tipo de software proxy que será executado no computador, além de outras políticas. No geral, uma arquitetura firewall pode englobar as duas configurações, podendo assim maximizar a segurança da Intranet, combinando um roteador e um servidor proxy no firewall. As três arquiteturas de firewall mais populares são: Dual-Homed Host Firewall, Screened Host Firewall e Screened Subnet Firewall, sendo que os dois últimos usam uma combinação de roteadores e servidores proxy. SEGURANÇA NA TRANSFERÊNCIA DE ARQUIVOS A importação descontrolada de arquivos pode facilitar, em sua rede interna, a entrada de softwares "piratas", joguinhos, músicas, vídeos, pornografia e toda sorte de arquivos indesejáveis para os propósitos da organização. Isso pode implicar sua organização em crime e também prejudicar a disponibilidade de seu(s) acesso(s) à Internet, desperdiçando muita largura de banda e espaço em disco de seus servidores e estações. 27 A exportação de arquivos é um problema de segurança ainda maior, pois alguns softwares de transferência de arquivos não garantem que quem está recebendo o arquivo seja uma pessoa autorizada. Além disso, é muito difícil controlar o conteúdo dos arquivos que deixam sua rede rumo a outros computadores da Internet (dados vitais ou críticos podem ser roubados dessa forma). Alguns softwares de transferência de arquivos ("ftp", por exemplo) transitam dados sigilosos (código do usuário e sua respectiva senha) sem encriptação, possibilitando a captura dessas informações por pessoal não autorizado. CRIPTOGRAFIA (Fonte: https://www.tecmundo.com.br/seguranca/153805-criptografia-afeta- voce-diariamente.htm) Podemos então garantir uma comunicação segura na rede através da implantação de criptografia. Podemos, por exemplo, implantar a criptografia na geração dos pacotes, ou seja, apenas as mensagens enviadas de máquina para máquina serão criptografadas. O único problema disso continua sendo a escolha das chaves. Se implementarmos criptografia com chave simples (uma única para criptografar e descriptografar) temos o problema de fazer com que todas as máquinas conheçam esta chave, e mesmo que isso possa parecer fácil em uma rede https://www.tecmundo.com.br/seguranca/153805-criptografia-afeta-voce-diariamente.htm https://www.tecmundo.com.br/seguranca/153805-criptografia-afeta-voce-diariamente.htm 28 pequena, redes maiores que não raramente atravessam ruas e avenidas ou mesmo bairros isto pode ser inviável. Além no mais, talvez queiramos estabelecer conexões confiáveis com máquinas fora de nossa rede e não será possível estabelecer uma chave neste caso e garantir que somente as máquinas envolvidas na comunicação a conhecem. Se, contudo, criptografarmos as mensagens com chave pública e privada, temos o problema de conhecer todas as chaves públicas de todas as máquinas com quem queremos estabelecer comunicação. Isto pode ser difícil de controlar quando são muitas máquinas. Criptografia é junção das palavras gregas kriptos (escondido) e grapho (grafia), consiste na codificação de uma mensagem onde somente o remetente e o destinatário conheçam a forma de traduzi-la. Basicamente, utiliza-se de uma chave, a qual contém os parâmetros de conversão de valores de um texto para um modo criptografado e, em contrapartida, existe uma chave correspondente que contém os parâmetros para decriptar essa mensagem, podendoela ser a mesma do remetente ou até mesmo uma versão inversa. Por ser uma ciência matemática e não computacional, a criptografia é muito anterior aos computadores. Assim sendo, sua aplicação já existe há séculos na história da humanidade. CONSIDERAÇÕES FINAIS Ao falar de rede logo se pensa em algum tipo de compartilhamento. Quando trazido para o meio computacional, isto é entendido como compartilhamento de informações e recursos, que podem ser acessados facilmente a partir de vários pontos na rede. Quando se disponibiliza dados e equipamentos ao alcance de várias pessoas, cria-se um ponto de atenção, a segurança destes dados. 29 Com o aumento da utilização de componentes de redes e da internet, ocorreu um grande crescimento no número de invasões e infecções por vírus, surgiu então à necessidade primária de investimento na área de segurança de redes. A filosofia básica sugerida por CARUSO & STEFFEN (1999, p. 183) em relação à segurança de redes é a do "menor privilégio possível", ou seja, o que não é explicitamente permitido, é proibido. Essa abordagem não tornará o administrador de segurança muito popular na comunidade de usuários, mas é a mais sensata em termos de segurança. 30 REFERÊNCIAS CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança em Informática e de Informações. 2ª ed. rev. e ampl. Senac, São Paulo, 1999. pp. 175-95. KUROSE, James F. ROSS, Keith W. 3ª edição, 2006. MACÊDO, Diego. Segurança de redes de computadores. 1 mar. 2012. Diegomacedo. Disponível em: https://www.diegomacedo.com.br/seguranca-de- redes-de-computadores/. Acesso em: 28 set. 2022. MITSHASHI, Roberto Akio. Segurança de Redes. Disponível em: http://www.fatecsp.br/dti/tcc/tcc0017.pdf. Acesso: 28 set. 2022. OSBORNE, McGraw-Hill, 2004. SOUZA, Wendley. Segurança em redes de computadores. Brasil Escola. Disponível em: https://brasilescola.uol.com.br/informatica/seguranca-redes.htm. Acesso em: 28 set. 2022. STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 6º ed. Pearson. TANENBAUM, Andrew S. 4ª edição, 2003. https://www.diegomacedo.com.br/seguranca-de-redes-de-computadores/ https://www.diegomacedo.com.br/seguranca-de-redes-de-computadores/ http://www.fatecsp.br/dti/tcc/tcc0017.pdf
Compartilhar