Baixe o app para aproveitar ainda mais
Prévia do material em texto
Tópicos Especiais em Redes de Computadores Material Teórico Responsável pelo Conteúdo: Prof. Dr. Vagner da Silva Revisão Textual: Prof.ª Me. Natalia Conti Segurança em Ambiente de Redes – Novos Desafios • Considerações sobre Segurança; • Conceitos Fundamentais; • Novas Tecnologias exigem Novos Métodos de Segurança - IoT ; • Defesas. • Compreender os novos problemas e, consequentemente, os desafi os relacionados à segu- rança de redes de computadores bem como a segurança do próprio ser humano; • Entender como os novos dispositivos IoT conectados à internet podem colocar em risco toda a rede de computadores e porque será difícil controlar as vulnerabilidades por eles apresentadas. OBJETIVOS DE APRENDIZADO Segurança em Ambiente de Redes – Novos Desafi os Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam- bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Segurança em Ambiente de Redes – Novos Desafios Considerações sobre Segurança A informação é considerada o bem mais valioso que uma empresa possui. Man- tê-la em segurança para que outros não tenham acesso tornou-se um desafio tão grande quanto sua importância. Com o avanço da tecnologia observamos um novo cenário em que os bens mais valiosos de uma empresa foram convertidos para o mundo digital. Antes mesmo da digitalização das informações, as empresas já se preocupavam com elas, mas as técnicas usadas para mantê-las seguras eram diferentes das utili- zadas atualmente. Na época em que a digitalização das informações e a rede de computadores não eram ainda usadas pelas empresas as preocupações ficavam a cargo das práticas de espionagens industriais. Todo o cuidado era preciso para que as informações não caíssem em mãos erradas, pois caso acontecesse elas poderiam beneficiar outras empresas e até influenciar a competitividade do mercado. Muitos são os casos de empresas que se beneficiaram com as informações, o caso mais popular na área de tecnologia envolveu a Apple e a Microsoft, a negligência de Steve Jobs (Apple) acabou cedendo informações para Bill Gates (Microsoft) sobre a interface gráfica do sistema operacional que estavam desenvolvendo. Por ter acesso a estas informações a Microsoft se beneficiou e saiu na frente no desenvolvimento dessas interfaces gráficas e hoje domina as vendas de sistemas operacionais. Há muitos outros exemplos no mundo, pois onde há competição, há interesses em saber o que os concorrentes estão fazendo, desta forma a empresa poderá se manter no mercado ou até ganhar grande parte dele como ocorreu com a Microsoft. Os computadores, ao longo do tempo, foram ficando mais acessíveis, as empresas foram investindo na área de tecnologia da informação, as informações foram digita- lizadas e as redes de computadores foram se tornando cada vez mais importantes. Com todas essas facilidades, as informações foram multiplicando-se e um novo formato foi dado para o armazenamento e recuperação delas. Portanto, o que anteriormente era registrado em papel, agora é, em sua grande parte, digitalizado e mantido em arquivos no computador ou armazenados em mídia eletrônica che- gando à possibilidade de inseri-los na nuvem. Consequentemente, devido à forma como as informações são agora armazenadas, são proporcionadas grandes facili- dades para que pessoas mal-intencionadas possam obtê-las. Pelos fatos citados até o momento a segurança da informação passa a ser um desafio para todos que usam tecnologia da informação, pois isto afeta diretamente os negócios da empresa e até a vida do ser humano. 8 9 Conceitos Fundamentais Alguns conceitos vinculados à segurança devem estar bem sedimentados. As in- formações são adquiridas por pessoas mal-intencionadas por meio de alguns dos conceitos que são definidos a seguir. • Vulnerabilidade: refere-se à exploração de pontos fracos ou falhas, sejam eles de software, hardware e até mesmo configurações para obter acesso às informações; • Ameaça: está relacionada a qualquer atividade que possa explorar uma vulnera- bilidade para obter informações que visa benefício, seja ela intencional ou não; • Risco: é considerado o potencial de perda, dano ou destruição de um ativo como resultado de uma ameaça que explora as vulnerabilidades. Ataques Comuns Os ataques geralmente são feitos devido à existência de vulnerabilidades que podem ser criadas por configurações erradas ou softwares, hardwares e firmwares desenvolvidos de forma insegura. A seguir estão descritos alguns dos ataques já conhecidos. • Port scanning attack: consiste em utilizar ferramentas para encontrar vul- nerabilidades. Utilizado para varrer servidores em busca de portas abertas e possíveis informações que possam ser utilizadas para invasão; • DDoS attack: o Distributed Denial of Service (DDoS) tem a mesma finalida- de do DoS, porém a forma de ataque é diferente, pois são usadas várias má- quinas para atacar um alvo. Estes ataques podem ser feitos utilizando-se de um vírus instalado na máquina de uma pessoa. Esses vírus instalados em milhares de máquinas podem ativar o ataque em uma hora determinada, milhares de requisições feitas ao mesmo tempo fazem com que o alvo não consiga respon- der a todas elas e o serviço não é mais oferecido; • Ataques de força bruta: consistem em fazer um ataque utilizando várias tenta- tivas de conexões a partir das credenciais de um provável usuário da máquina a ser atacada. Várias combinações de senhas são inseridas ou criadas em uma lista que é usada para fazer o ataque; • Ataques pelo browser: baseiam-se em engenharia social e diferentes técnicas de phishing para encontrar vulnerabilidades. Geralmente feito por URL suspei- tas, links que encaminham o usuário para outros sites; • Ataques Evasivos: consistem em uso dos malwares que são alterados de for- ma que os firewall´s não consigam identificá-los; • Ataques furtivos: os que mais vem sendo utilizados, eles têm como função roubar dados e desviar dinheiro. Podem até ser realizados por um dispositivo móvel para a invasão; 9 UNIDADE Segurança em Ambiente de Redes – Novos Desafios • MAC Floding attack: consiste em atacar o switch da rede. O switch armazena na sua tabela MAC as correspondências de endereço MAC e porta do switch. Assim, quando um quadro chega ao switch,ele tem como abrir o quadro para ler o endereço MAC de destino e verificar por qual porta esse quadro deverá sair. O problema está na limitada quantidade de memória para armazenar es- tes endereços MAC; • ARP Flooding: o ataque ocorre a partir do momento que uma máquina mal- -intencionada recebe esta solicitação (por broadcast) e responde com o seu endereço MAC. Assim, ele passa a receber quadros da rede local e poderá capturá-los para análise; • Ransomware: consiste em sequestrar os dados da empresa impossibilitando o acesso a eles. Muitas vezes os ataques são feitos pelo acesso remoto ao com- putador alvo, há casos em que ela ocorre ao selecionar links maliciosos e por algumas vulnerabilidades na máquina; • ROP – Return-Oriented Programming: é uma forma de ataque contra software que consiste no encadeamento de sequência de instruções binárias de um programa, com o objetivo de forçar ações não originalmente desejadas pelos desenvolvedores da aplicação (Shacham 2007). Esses ataques são usados após a exploração de algum tipo de vulnerabilidade, como estouro de buffer, estouro de inteiros, entre outras. Após explorar uma vulnerabilidade, um ata- cante passa a controlar o fluxo de execução da aplicação alvo. Mais detalhes sobre ROP em: https://bit.ly/2GVdJV8 Ex pl or • Bots sociais: as redes sociais como Facebook e Twitter chamam atenção pela quantidade de informações pessoais que são disponibilizadas por seus usuários. Essas informações podem ser usadas para identificar tendências e serem usadas para algum tipo de ação maliciosa como tentar manipular opiniões de usuários por meio de notícias falsas ou propaganda enganosa. O bot social é um software que interage com o ser humano pela criação desses conteúdos maliciosos. Casos Reais Muitos ataques são feitos a todo o momento no mundo, feitos de vários tipos e propósitos. Algumas empresas de segurança monitoram esses ataques em tempo real; no entanto, são ataques conhecidos e são monitorados e apresentados para que possamos, dentre outras, tomar consciência sobre a importância da segurança da in- formação. A figura 1 apresenta a página de monitoramento de ataques da Kaspersky. Veja em Tempo Real os Ataques: https://bit.ly/31sTgPu Ex pl or 10 11 Figura 1 – Ataques Fonte: Reprodução O acesso a dados pessoais por cibercriminosos estão rendendo às empresas como o Facebook e British Airways multas milionárias, além de ter seu patrimônio reduzido devido à redução de usuários no uso de suas plataformas. No caso do Facebook informações de aproximadamente 50 milhões de usuários foram usadas pela empresa “Cambridge Analytica” para levantar preferências e preparar publicidade política direcionada. Como resultado, o Facebook teve queda em seu patrimônio de aproximadamente 35 bilhões de dólares. Vazamento de Dados: https://bit.ly/2ZJF6c5 Ex pl or A British Airways teve os dados de aproximadamente 500 mil clientes roubados, informações estas que os usuários haviam inserido nos formulários online como: nome de usuários e senhas, endereços, informações do cartão bancário incluindo o código de segurança. Os crackers infectaram o site da empresa e até os usuários de aplicativos móveis foram vítimas. As empresas que processam dados pessoais de cidadãos europeus devem as- segurar a segurança das informações, esta é uma das disposições do GDPR (Re- gulamento Geral de Proteção de Dados) e caso as informações sejam adquiridas por pessoas mal-intencionadas, como foi o caso do Facebook e a British Airways, multas milionárias são aplicadas. Tudo sinaliza que as leis e regulamentos sendo definidos estipulam multas com valores altíssimos, o que direciona as empresas que manipulam informações de usuários a aplicarem modelos de segurança com altos custos, pois implementá-las é muito mais barato que as multas. Além dos altos investimentos em iniciativas de segurança da informação, os ata- ques cibernéticos ainda causam perdas significativas para as empresas. 11 UNIDADE Segurança em Ambiente de Redes – Novos Desafios Novas Tecnologias exigem Novos Métodos de Segurança - IoT Com o advento da internet das coisas (IoT) a segurança da tecnologia não deve ficar somente no campo dos dados, mas sim também sobre os objetos, sobre os dispositivos. Tudo que é controlado por software deve ter atenção redobrada para evitar vulnerabilidades. A segurança física passou a ter importância muito grande devido aos dispositivos que podem ser conectados à internet. A segurança tem sido uma preocupação fundamental em hardware, software e configuração para evitar problemas como o ataque usando botnet, como o Mirai que infectou milhares de dispositivos de IoT em todo o mundo. Há suspeitas que o botnet Mirai foi inserido em dispositivos de IoT para au- mentar a capacidade de ataque do tipo DDoS à empresa Dyn que controla grande parte de servidores de DNS da Internet. Como consequência sites como o twitter, yheguardian, Netflix, Reddit, CNN e outros tantos na Europa como também nos Estados Unidos foram afetados em seus serviços. A Dyn estimou que o ataque envolveu cerca de 100.000 dispositivos mal inten- cionados gerando cerca de 1,2 Tbps de tráfego. Muitos especialistas em ataques relataram não ter visto um ataque DDoS como o que aconteceu nos servidores da Dyn e que isso abre uma perspectiva para estudos e melhorias nos dispositivos IoT em relação à segurança. Riscos Com a possibilidade de conectar cada vez mais dispositivos à rede de computa- dores, aumentam também a quantidade de dispositivos que podem ser atacados. O monitoramento contínuo dos dispositivos que estão conectados na internet gera uma quantidade imensa de informações, pois esses dispositivos geram dados e logs que devem ser armazenados. Geralmente, essas informações deverão ser armazenadas na nuvem e podem ser adquiridas por hackers desde que a segurança seja falha. Um fator importante que devemos levar em consideração é o poder de processa- mento desses dispositivos IoT. Eles não têm processadores com poder computacio- nal elevado, isso causa alguns transtornos ao ter que implantar nesses dispositivos criptografias ou outros recursos de segurança mais avançados. A flexibilidade que os dispositivos móveis oferecem os tornam atraentes e isso inclui os dispositivos IoT, porém se eles têm poucos recursos computacionais para tratar a criptografia, então eles passam a ser uma porta de entrada para os hackers que estão no perímetro de alcance das ondas eletromagnéticas desses dispositivos. 12 13 Vulnerabilidades Em 2014 pesquisadores indicaram que 70% dos 10 tipos mais populares de dispositivos IoT estavam vulneráveis a serem hackeados ou comprometidos. Nesse mesmo ano (2014) descobriram-se aproximadamente 25 vulnerabilidades de segurança por dispositivo IoT. Researchers find about 25 security vulnerabilities per Internet of Things device. Disponível em: https://bit.ly/2WCdvYGEx pl or Em 2019 ainda encontram-se problemas com os dispositivos IoT. Grande parte disso se dá pela pouca preocupação em segurança ao desenvolver os firmwares des- ses dispositivos. A princípio eles não foram desenvolvidos para serem conectados à internet e oferecem vulnerabilidades que comprometem a rede de computadores. Ainda encontram-se problemas em câmeras de segurança, babá eletrônica e campainhas inteligentes. Na conexão P2P esses equipamentos usam iLnkP2P que contém duas vulnerabilidades. Mais informações sobre iLinkP2P: http://bit.ly/2KDCuGw Ex pl or Há ferramentas na internet que facilitam a identificação de dispositivos IoT conec- tados. O Shodan, apresentado na figura 2, é um site semelhante ao Google, no en- tanto ele é direcionado a apresentar informações de dispositivos IoT. Ele faz um mape- amento na internet e traz informações referente a quais portas estão abertas naquele dispositivo, além de informar o endereço IP e outros dados que facilitam o ataque. Figura 2 – Site Shodan descoberta de IoT conectados Fonte: Reprodução 13 UNIDADESegurança em Ambiente de Redes – Novos Desafios Com o Shodan é possível pesquisar por regiões considerando todos os conti- nentes, com ele você poderá verificar que os dispositivos não estão escondidos e informações como versões dos softwares usados serão apresentados em detalhes. Como já aconteceu com as vulnerabilidades apresentadas nos computadores ao se conectarem a internet, os dispositivos IoT estão passando por esse processo agora. Há casos de vulnerabilidades criadas por falhas de hardware, falhas de software, configurações e outras já bem conhecidas em redes de computador. Essas vulnerabilidades são exploradas pela utilização de exploit que são progra- mas desenvolvidos em várias linguagens para explorar vulnerabilidades. Há reposi- tórios desses exploits, a figura 3 apresenta um deles. Figura 3 – Site exploit-db Fonte: Reprodução O site da figura 3 mantém exploits que foram usados para atacar as mais diver- sas plataformas, servidores e aplicações; sendo esses ataques feitos localmente ou remotamente. Esses exploits podem ser baixados e, seguindo as instruções para estabelecer um ataque, provavelmente terão respostas satisfatórias. A OWASP (Open Web Application Security Project) que se estabelece como uma comunidade aberta dedicada a permitir que as organizações concebam, de- senvolvam, adquira, operem e mantenham aplicativos confiáveis apresentou uma lista das 10 maiores vulnerabilidades apresentadas na IoT. A seguir há a descrição sobre elas. • Senhas consideradas fracas: uso de força bruta facilmente incluindo backdoors em firmware ou software; • Serviços de rede inseguros: serviços de redes não são necessários estarem configurados ou inseguros rodando no próprio dispositivo, especialmente aqueles conectados à internet, comprometendo a confidencialidade, integrida- de/autenticidade; • Interfaces de ecossistema inseguro: insegurança na web, backend API, nuvem, interfaces móbile que comprometem o dispositivo ou componente relacionado; 14 15 • Falta de mecanismo de atualização segura: falha na atualização dos disposi- tivos. Inclui falha de validação de firmware, falha na segurança de entrega por não estar criptografado; • Uso de componentes inseguros ou desatualizados: uso de softwares, com- ponentes ou bibliotecas depreciadas que comprometem o dispositivo. Inclui customização de sistema operacional; • Proteção de privacidade insuficiente: informação pessoal do usuário armaze- nado no dispositivo que possa ser usada de forma imprópria ou sem permissão; • Transferência e armazenamento de dados inseguros: falta criptografia e controle de acesso de dados sensíveis; • Falta de gerenciamento de dispositivo: falta de suporte à segurança sobre dispositivos empregados na produção; • Configuração padrão insegura: dispositivos ou sistemas com segurança pa- drão inseguras ou falta de habilidades para fazer o sistema mais seguro ou operação restrita; • Falta de endurecimento físico: falha física no dispositivo, permitindo ata- ques potenciais para obter informações sensíveis que podem auxiliar em um ataque remoto. Os ataques exploram as vulnerabilidades apresentadas anteriormente, algumas delas são difíceis de controlar, por exemplo, muitos desses dispositivos recebem um firmware e não há como atualizá-los facilmente, sendo assim se alguma vulnerabi- lidade for encontrada ela ficará nesse dispositivo durante sua vida útil. Até os sistemas considerados seguros atualmente como os blockchains, que são uma base de dados distribuída resistente a adulterações por utilizar funções hash e assinatura digital em sua estrutura, podem não ser resistentes a ataques realizados por computadores quânticos de alta capacidade de processamento. Isso possibili- ta adulteração de uma transação tornando inseguras as aplicações desenvolvidas em blockchains. Defesas Com a evolução das tecnologias e o avanço, cada vez maior, do uso dos recursos disponíveis na nuvem, como aplicações, armazenamento, servidores virtualizados, redes definidas por software (SDN) está mudando a forma como os administrado- res devem considerar a segurança da informação. Com o advento da tecnologia outras vulnerabilidades devem ser consideradas como: permitir que colaboradores trabalhem remotamente (home Office) acessan- do a rede da empresa utilizando VPN; que colaboradores de confiança possam acessar a rede e aplicativos da empresa usando dispositivos móveis e que esses 15 UNIDADE Segurança em Ambiente de Redes – Novos Desafios dados possam ser armazenados fora da empresa (nuvem) como critério de contin- gência e backup. Estamos em outro contexto em que apenas os recursos utilizados atualmente para bloquear ataques e invasões não são mais eficazes e exigem que novos recur- sos de segurança sejam pesquisados e implementados, como auxílio a tudo que temos até hoje usado na segurança da informação. Diante do exposto é importante que se tenha um conjunto de equipamentos e softwares que possam atender a demanda por novos ataques e invasões. Uma das premissas discutidas entre os especialistas está no uso de recursos que possam, além de prever, também corrigir, pois mesmo usado recursos para prevenir, a inva- são em algum momento irá ocorrer. Um desses recursos refere-se ao DLP (Data Loss Prevention), um software usa- do para a empresa não perder suas informações. É uma ferramenta que trabalha de forma distribuída, podendo ser instalada nas estações e dispositivos móveis com o objetivo de ficar monitorando esses dispositivos para evitar perdas relacionadas ao vazamento de dados. Outro recurso que pode ser usado é o SWG (Secure Web Gataweys), ele é um firewall que consegue entender o que está ocorrendo na camada de aplicação do modelo de referência OSI. Ele consegue detectar os malwares que estão na internet. Em conjunto com os recursos já descritos anteriormente pode-se acrescentar o ASA (Advanced Security Analytics), que tem como função analisar ataques em tempo real, para isso se utiliza de grandes volumes de dados para atingir seu obje- tivo. Ela procura entender e prever o que está acontecendo na rede. Prever ataques pode representar uma economia de milhões de reais, e embora a segurança não deva ser baseada somente na prevenção há pesquisas e estudos desenvolvendo produtos e softwares que procuram por padrões de uso de recursos de informática que indiquem comportamentos suspeitos. Essas ferramentas chamadas de UBA (User Behavior Analytics) têm como finali- dade avaliar comportamento incomum não só dos usuários mas também de hacker, malwares ou processos sendo executados dentro da empresa. Essa evolução da segurança de redes para ferramentas inteligentes utilizando-se de inteligência artificial se faz necessário devido à existência de grande volume e evolução dos ataques e invasões. Os perfis de ataques devem ser estudados para que se possam tomar providên- cias antes mesmo que eles aconteçam em larga escala. Para o estudo desses perfis há duas técnicas identificadas como honeynet e honeyspot. Os mais envolvidos com segurança de redes já ouviram comentários sobre estas duas possibilidades de auxílio à levantamento de informações sobre ataques e invasões. Vamos estudar e entender o que significa cada uma delas. 16 17 Honeypots São armadilhas preparadas com recursos computacionais para permitir invasões na rede para levantamento do perfil dos ataques, o objetivo é desviar o foco dos equipamentos reais de uma empresa em um possível ataque de hackers. Possibilitar que esses recursos sejam propositalmente invadidos é o principal objetivo oferecido por este tipo de rede, assim é possível avaliar quais são as formas de ataques usadas pelos hackers. Segundo Montes (2003), há duas classificações de honeypots, os de baixa intera- tividade e os de alta interatividade. Os de baixa interatividade limitam as ações dos atacantes e coletam poucas informações sobre um ataque, porém são mais simples de se gerenciar e introduzem pequeno risco no ambiente de rede,visto que o ata- cante não tem acesso total ao sistema. Eles podem emular serviços de rede como FTP, HTTP, entre outros. Por outro lado, o honeypots de alta interatividade é capaz de executar as versões reais dos serviços de rede e permite que o atacante tenha acesso total à máquina comprometida. Esta categoria de honeypots, geralmente empregada em honeynets, é usada como um recurso para auxiliar no aperfeiçoamento das formas de proteção do ambiente de rede. Os honeypots de alta interatividade coletam mais informações que os honeypots de baixa interatividade, eles permitem o acompanhamento dos passos dos invaso- res e a coleta de ferramentas utilizadas por eles. Honeynet Uma honeynet é composta por vários honeypots, enquanto o honeypots refere- -se aos recursos da rede a honeynet é a própria rede formada por estes recursos. Ela é uma ferramenta de pesquisa voltada exclusivamente para monitorar o perfil dos invasores, permitindo análises detalhadas das ferramentas usadas, comandos aplicados e quais vulnerabilidades foram explorados. Ela deve ter mecanismos para impedir que os atacantes consigam entrar na rede real da empresa. Uma honeynet é composta por honeypots com sistemas operacionais e aplicati- vos diversos, desta forma um invasor, hipoteticamente, não saberá distinguir se está na rede da empresa ou se está em uma honeynet. Uma vez feita a invasão, alguns aplicativos irão alertar e outros irão monitorar todo o caminho percorrido, tudo será registrado para que uma avaliação possa ser feita e, consequentemente, levantar o perfil dos invasores. Segundo o site do CERT.br (https://bit.ly/1zidUAA) há dois tipos de honeynets: as reais e as virtuais. Vamos entender as diferenças de cada uma delas.Ex pl or 17 UNIDADE Segurança em Ambiente de Redes – Novos Desafios Honeynets Reais Segundo o site do CERT.br, em uma rede honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de cole- ta de informações, são físicos e podem ser compostos pelos seguintes dispositivos: • Diversos computadores, um para cada honeypot. Cada um deles com um sis- tema operacional, aplicações e serviços reais instalados; • Um computador com um firewall instalado, atuando como mecanismo de con- tenção e de coleta de dados; • Um computador com uma IDS (Sistema de Identificação de Intrusos) instalada, atuando como mecanismo de geração de alertas e de coleta de dados; • Um computador atuando como repositório dos dados coletados; • Switches e roteadores para fornecer a infraestrutura de rede da honeynet. Esse tipo de honeynet tem como vantagem permitir que os invasores interajam com ambientes reais, além de ter custo baixo por equipamento. A desvantagem está em manter esta estrutura somente para montar uma armadilha para os inva- sores, pois o custo total é mais elevado. Honeynet Virtuais Segundo o site do CERT.br, uma honeynet virtual baseia-se na ideia de ter todos os computadores implementados em um número reduzido de dispositivos físicos. Para isso, normalmente é utilizado um único computador com um sistema opera- cional instalado que serve de base para a execução de um software de virtualização, como o VMWare ou UML (User Mode Linux). Como você já deve estar ciente, os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados. As vantagens de uma honeynet virtual estão na manutenção mais simples e exigem- -se menos esforços, a desvantagem está no maior custo por equipamentos, pois há necessidade de equipamentos mais robustos e que sejam poucos tolerantes às falhas. O conjunto honeypots e honeynets deve ser usado como complemento de se- gurança e não como único ou principal componente de segurança da empresa. O uso de honeypots de baixa interatividade pode ser usado em redes que não tenha disponibilidade para manter máquinas e outros recursos dentro de uma solução de honeypots de alta interatividade. Ele está associado aos seguintes objetivos: • Detectar ataques; • Identificar varreduras e ataques automatizados; • Identificar tendências; • Manter ataques afastados de sistemas importantes; • Coletar códigos maliciosos. 18 19 O honeynet de alta interatividade é indicado para pesquisa, ou seja, empresas que trabalham com segurança da informação poderão montar e manter estes tipos de redes para levantar o perfil dos invasores tendo como objetivo criar metodolo- gias e mecanismos para evitar uma invasão em uma rede real. Abaixo é apresentada uma tabela comparando o honeynet de baixa e alta prioridade. Tabela 1 – Comparativo Características Honeypot de baixa interatividade Honeypot de alta interatividade/Honeynet Instalação Fácil Mais difícil Manutenção Fácil Trabalhosa Risco de comprometimento Baixo Alto Obtenção de informações Limitada Extensiva Necessidade de mecanismos de contenção Não Sim Atacante tem acesso ao S.O. Real Não (em teoria) Sim Aplicações e serviços oferecidos Emulados Reais Atacante pode comprometer o honeypot Não (em teoria) Sim Fonte: www.cert.br Com isso, aspectos como vulnerabilidades em aplicativos e falhas de segurança em equipamentos podem ser analisados pelos logs criados por aplicativos especí- ficos. Após a análise de todos os registros feitos são estabelecidas e divulgadas as ações para prover maior segurança em redes reais. Para instalar um honeypot/honeynet em uma empresa, deve-se tomar os devidos cuidados para que não sejam oferecidas vulnerabilidades na rede real. Para que isso seja possível é interessante determinar uma faixa de endereço que esteja fora da rede real. Ela deve ser segmentada da rede da empresa e deve usar endereços roteáveis. É de extrema importância que a rede honeynet não seja acessada pelo adminis- trador da rede ou qualquer outro usuário, pois nessa rede estarão sendo executados softwares de monitoramento de eventos e qualquer acesso a ela irá gerar informações que poderão contaminar e, consequentemente, não trazer os resultados esperados. A segurança da informação passou a ser um componente importante para os ne- gócios da empresa e os riscos devem ser avaliados de forma correta para dimensio- nar os investimentos em segurança. Há vários recursos que podem ser implementa- dos nas redes de computadores para evitar perdas e acesso a informações sensíveis. Há uma grande expansão nas soluções envolvendo inteligência artificial em pra- ticamente todas as vertentes relacionadas à computação e esta tendência deve ser levada também à segurança da informação. Com o aumento de dispositivos conectados à internet outro aspecto deve ser considerado em relação à segurança, pois nesse caso além das informações deve-se preservar a vida do ser humano. O acesso a dispositivos conectados como carros e eletrodomésticos faz do proprietário um alvo elementar. 19 UNIDADE Segurança em Ambiente de Redes – Novos Desafios Se um hacker tem acesso aos controles de um carro a vida do ser humano fica em perigo. O mesmo acontece caso a localização pela utilização de dispositivos com GPS seja possível como é o caso de smart whatch ou outro wearable qualquer. Há muitos desafios pela frente, o certo é que não temos e não teremos uma rede de computadores totalmente segura, sempre haverá vulnerabilidades intencionais ou não que colocarão informações e vidas em perigo, o que deve ser levado em conta nesses casos será em quanto tempo o problema pode ser corrigido e o mais importante, em quanto tempo os dispositivos serão atualizados. 20 21 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos Boas Práticas de Segurança para Sistemas Autônomos https://youtu.be/abLRqSNQKNU Leitura Como Hackear uma Casa Inteligente https://bit.ly/2yLdvLX O Futuro da Segurança da Informação https://bit.ly/2sabNja Preservando a Privacidade na Internet das Coisas com Pseudônimos Usando SDN https://bit.ly/2ZLGsTN 21 UNIDADE Segurança em Ambiente de Redes – Novos DesafiosReferências MONTES, .A. FRANCO, L. H. Procedimentos e Ferramentas para Manuten- ção de Honeypots de Alta Interatividade. Laboratório Associado de Computa- ção e Matemática Aplicada – Instituto Nacional de Pesquisas Espaciais. São José dos Campos, SP, 2003. Disponível em: <http://mtc-m16c.sid.inpe.br/col/lac.inpe. br/worcap/2003/10.24.09.54.24/doc/hp-worcap.pdf>. Acesso em: 14.07.2019. SHACHAM, H. (2007). The geometry of innocent flesh on the bone: Return- -into-libc without function calls (on the x86). In CCS, pages 552–561, New York, USA. ACM. 22
Compartilhar