Análise de ataques cibernéticos

Prévia do material em texto

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 1/42
Análise de ataques cibernéticos
Prof. Fred Sauer
Descrição
Análise de ataques cibernéticos, seus tipos e formas de mitigação.
Propósito
A correta identificação da anatomia de um ataque cibernético possibilita uma rápida e precisa resposta ao
incidente, reduzindo ou até mesmo evitando os seus impactos. Com o aumento das formas e da intensidade
dos ataques, é importante que todo profissional de TI possua essa competência para contribuir com a
proteção das informações de uma corporação.
Objetivos
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 2/42
Módulo 1
Ataques de interceptação
Analisar ataques de interceptação.
Módulo 2
Ataques de negação
Analisar ataques de negação.
Módulo 3
Ataques de fabricação
Analisar ataques de fabricação.
Módulo 4
Ataques de modi�cação
Analisar ataques de modificação.
É inegável que todos nós temos uma dependência de recursos computacionais. Cada vez mais,
transferimos nossas informações para mídias digitais, tornando-nos dependentes de celulares,
computadores, conectividade pública e privada e, mais recentemente, armazenamento em nuvem.
Introdução
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 3/42
Esses recursos são usados para aprender, ensinar, se relacionar com outras pessoas e se divertir —
não necessariamente nessa ordem —, mas também são utilizados para comprar, movimentar
recursos financeiros e outras atividades que envolvem transferência digital da propriedade de bens e
valores, e com isso os “criminosos virtuais” surgiram.
É importante frisar que a Internet foi idealizada por estudantes e pesquisadores, cuja principal
preocupação era a de garantir a comunicação, mesmo diante da indisponibilidade de elementos
funcionais de uma rota, o que provoca a busca por rotas alternativas. Dessa forma, nossos “pacotes”
navegam entre a origem e o destino por caminhos variáveis e imprecisos, facilitando os ataques
cibernéticos. Questões de segurança não foram incluídas nas especificações, ou eram muito fáceis
de serem contornadas, então vários protocolos de comunicação em uso atualmente possuem as
chamadas “brechas” de segurança.
Existem inúmeros tipos de ataques, mas eles podem ser classificados segundo a sua mecânica em
quatro tipos principais: de interceptação, de negação, de fabricação ou de modificação. Ser capaz de
analisar um ataque cibernético permite o tratamento adequado de cada tipo, por meio de técnicas
preventivas de mitigação e, eventualmente, de continuidade dos negócios.
Neste conteúdo, vamos nos aprofundar na fase inicial de uma resposta a incidentes, que é a
identificação do tipo de ataque, dos atores envolvidos e dos efeitos impactantes, de forma a escolher
a forma mais adequada de reação.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 4/42
1 - Ataques de interceptação
Ao �nal deste módulo, você será capaz de analisar ataques de interceptação.
Fundamentos teóricos
Antes de apresentarmos as características deste e dos demais tipos de ataques, precisamos identificar os
elementos pertinentes ao tema. Embora atualmente os ataques cibernéticos sejam tratados como caso de
polícia, nos quais temos um hacker representando o criminoso e o usuário como a vítima, para a análise
técnica do incidente usaremos outros atores (ABNT, 2019a):
Vulnerabilidade
Elemento passivo, existente no ativo, que pode ser explorado por uma ameaça. Importante observar desde
já que, se eliminarmos determinada vulnerabilidade, a ameaça não poderá mais ser utilizá-la em um ataque.
Ameaça
Elemento ativo, explora uma vulnerabilidade de um ativo da corporação causando impactos.
Impactos
Consequências do ataque. Deve refletir tanto a sua parte tangível, como os prejuízos financeiros
diretamente contabilizáveis, quanto os intangíveis, como perdas de credibilidade junto aos clientes.
Também usaremos, nesta discussão, alguns atributos da informação (ISO, 2018). É importante conhecê-los
porque existem soluções peculiares para cada um deles, que devem ser utilizadas corretamente, pois não
adianta proteger uma propriedade da informação, mas expor outras:
Busca evitar que uma informação seja acessada por alguém não autorizado.
Confidencialidade 
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 5/42
Procura evitar que uma informação que tenha sido alterada ou corrompida, por alguém não
autorizado, seja utilizada.
Visa garantir que uma informação esteja disponível sob demanda, ou seja, possa ser utilizada
quando um agente autorizado necessitar dela.
Busca assegurar a origem de uma informação, garantindo que uma entidade é quem diz ser.
Também conhecido como irretratabilidade, é a capacidade de se provar determinada ocorrência, bem
como as entidades envolvidas. Assim, o autor de uma transação não poderá negá-la posteriormente.
Outra classificação relevante é referente à postura da ameaça em um ataque. Os ataques podem ser
(STALLINGS, 2015):
Passivos
Não envolvem alteração dos dados. Por isso, são difíceis de detectar, já que não há mudança que
permita ao emissor ou ao receptor interpretar como um ataque.
Integridade 
Disponibilidade 
Autenticidade 
Não repúdio 

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 6/42
Ativos
Envolvem mudança no formato dos dados ou até mesmo a introdução de mensagens falsas em um
fluxo entre emissor e destinatário. Os ataques nos quais o fluxo de tráfego é desviado ou interrompido
também é ativo.
Apresentada a nomenclatura e as classificações básicas, conheceremos agora os tipos de ataques.
Características dos ataques de interceptação
Ataques de interceptação permitem que usuários não autorizados acessem nossos dados, aplicativos ou
ambientes e são principalmente um ataque contra a confidencialidade. A interceptação pode ser realizada
apenas pela visualização ou pela cópia não autorizada de arquivos, como a espionagem de conversas
telefônicas ou a leitura de e-mail, e podem ser conduzidas com dados em repouso ou em movimento. Esse
tipo de ataque pode ser muito difícil de detectar. A imagem a seguir ilustra um ataque de interceptação.
Ataque de interceptação.
Como é possível observar, o tráfego enviado pelo emissor é interceptado passivamente pela ameaça, o que
não é percebido pelo destinatário. O ataque de interceptação compromete a confidencialidade das
mensagens capturadas e a ameaça mantém um comportamento passivo com relação ao tráfego entre o
emissor e o destinatário.
Exemplos de ataques de interceptação
São exemplos desses ataques:
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 7/42
Escutas (“grampos”) da comunicação VoIP em redes locais.
Captura de informações como tokens de sessão, autenticadores, senhas e outras informações que
possam ser usadas pela ameaça para obter acesso.
Captura de tráfego de valor estratégico para o emissor e para o destinatário.
Há muitas variações de ataques, entretanto, podemos observar de uma forma geral a mecânica da
interceptação em técnicas como:
Direcionado a fluxos de e-mail, web, instant messaging, VoIP e outros, a ameaça captura
passivamente o tráfego privado. Normalmente, esse mecanismo de ataque é apoiado pelo uso de
sniffers, aplicações que capturam o tráfego de uma interface e permitem filtragens e estatísticas,
entre outras funcionalidades. São exemplos o wireshark e o TCPdump.
A ameaça captura uma mensagem legítima de autenticação enviada pelo emissor para uso posterior,
de forma a se personificar como ele.
Uso de Rogue APs de redes sem fio em ambientespúblicos – A ameaça captura senhas e outras
informações privadas antes de redirecionar o tráfego.
Vamos entender uma técnica para interceptar mensagens em uma rede local.
Equipamentos de conectividade layer 2 (L2) são os responsáveis por comutar mensagens entre os nós
dentro de um mesmo domínio de broadcast. Para isso, eles usam uma tabela denominada CAM (Content
Addressable Memory), na qual o endereço MAC (Medium Access Control) de cada dispositivo conectado é
associado a uma (ou mais) portas. A dinâmica de atualização e controle dessa tabela é detalhe de
implementação de cada modelo.
Evesdropping (espionagem) 
Ataque por replay 
Rogue APs (Access Points falsos) 
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 8/42
Ao ligar, em princípio o equipamento está com a tabela CAM vazia. Ao receber um quadro em qualquer uma
de suas portas, o switch lê o MAC address de origem e introduz na tabela CAM, associando-o à porta pela
qual o quadro foi recebido. Ele então procura o MAC address de destino do quadro na mesma tabela. Se o
MAC for encontrado, ele despacha o quadro apenas para a(s) porta(s) associada(s) ao MAC address de
destino. Se não houver uma entrada para esse MAC address, o switch despacha o quadro para todas as
suas portas, exceto a porta por onde ele foi recebido.
Uma técnica muito simples para capturar quadros destinados a outro dispositivo é
o MAC spoofing. Nessa técnica, um computador conectado fisicamente ao mesmo
switch que o alvo pode despachar quadros com o MAC address do alvo. O switch
“aprenderá” o MAC address de origem, associando-o à porta pela qual foi recebido.
Ao receber um quadro destinado a esse MAC address, despachará esse quadro por
todas as portas associadas a esse MAC address, permitindo a captura
(interceptação) dos quadros destinados ao alvo.
Proteções contra os ataques de interceptação
A proteção contra esse tipo de ataque não busca prioritariamente evitar que ele aconteça, e sim impedir que
a ameaça possa ter acesso à informação. Isso se dá por meio da criptografia das informações entre o
emissor e o destinatário. Pode-se dizer então que o foco da proteção contra os ataques de interceptação
deve ser a prevenção, e não a detecção (STALLINGS, 2015).
Saiba mais
Criptografia é uma técnica milenar de modificação reversível da informação a ser protegida, de forma que
ela fique ilegível para quem não conhece o segredo (chave) da comunicação.
Análise de ataques de interceptação
Analisaremos agora um ataque muito simples: em ambientes públicos, como lanchonetes, saguões de
aeroportos e livrarias, é comum o oferecimento de wi-fi aos visitantes. Várias pessoas utilizam essas
facilidades, inclusive para acessar serviços com digitação de dados privados, como senhas. Fred sabe que a
maioria das pessoas costuma repetir senhas em vários serviços diferentes, então resolve explorar esse
aspecto nocivo da cultura dos usuários. Fred então reúne os seguintes recursos:
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 9/42
Adaptador wi-�
Próprio para testes de segurança em redes sem fio, fácil de ser encontrado no mercado.
Notebook
Um notebook com algumas ferramentas para seguir os passos abaixo.
1. Atacar um AP legítimo, deixando-o incapaz de atender solicitações de conexão.
2. Personificar o AP atacado no próprio notebook, fazendo com que os usuários pensem estar se
conectando ao AP desejado.
3. Oferecer páginas de autenticação populares, como Facebook, Gmail e Instagram clonadas, de forma a
confundir o usuário e fazê-lo digitar as suas senhas.
Ao colocar as ferramentas em funcionamento, poucos que acessam o wi-fi percebem que o AP é falso.
Ainda menos pessoas percebem que a sessão não é protegida por criptografia e autenticação (HTTPS).
Logo, ao receber a página de autenticação, digitam suas senhas. Então, o usuário não recebe uma resposta
de login, em vez disso, recebe uma mensagem de erro. Fred captura os pares login-senha e os repassa a
criminosos, que podem usar esses dados para diversos tipos de fraudes.
Análise do ataque
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 10/42
Um dos elementos mais importantes a identificar é a vulnerabilidade explorada, porque o risco se resolve se
ela puder ser eliminada.
Como descrito no caso, podem ser percebidos os seguintes elementos explorados pela ameaça Fred:
Sujeição do AP verdadeiro a ataques de negação de serviço.
Falta de cultura de segurança dos usuários para perceber que: a conexão wi-fi com o AP falso não é
protegida por segurança (WPA, WPA2); e não há sessão encriptada entre o usuário e o serviço
desejado.
O ataque compromete a confidencialidade das informações de login. É um ataque passivo de interceptação.
O efeito impactante é o vazamento de informações privadas dos usuários.
Algumas ações de combate são possíveis:
Detectar e emitir alarme sobre a ação de ataque do AP original, identificar o AP
falso e impedir a sua operação no local.
Essa é uma ação de difícil implementação, pelas seguintes razões:
Por se tratar de um serviço oferecido gratuitamente aos clientes, o investimento em pessoal e material
necessário inviabiliza a ação.
Como o vazamento ocorre diretamente por ação do usuário, a informação não está sob custódia da
loja que oferece o serviço, então não pode ser responsabilizada pelo incidente.
Usar recursos para reforçar a cultura de segurança no ambiente, lembrando a
importância de se verificar se a segurança está ativa na conexão e nas sessões.
O combate a esse tipo de ataque é complexo porque em geral impacta somente os consumidores, não
afetando o fornecedor do serviço.
Em resumo, podemos dizer que o ataque de interceptação é um ataque passivo, que impacta diretamente a
confidencialidade da informação.
Análise de um ataque de interceptação

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 11/42
Ilustramos, a seguir, o processo de análise de um ataque cibernético de interceptação mediante a
identificação dos elementos presentes em um incidente. Vamos lá!
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 12/42
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Suponha que um funcionário, com o uso de um sniffer, capture senhas de colegas. É correto dizer que
esse
Parabéns! A alternativa C está correta.
Um sniffer utiliza o modo promíscuo de interfaces de rede, capturando pacotes de forma passiva, ou
seja, sem alterar a informação em trânsito. É um ataque de interceptação, porque a informação é
capturada durante a sua transmissão entre o emissor e o destinatário. Ao ter acesso a senhas, que são
A é um ataque passivo de interceptação, que impactou a autenticidade das senhas.
B
é um ataque ativo de interceptação, que impactou a confidencialidade e a autenticidade
das senhas.
C é um ataque passivo de interceptação, que impactou a confidencialidade das senhas.
D é um ataque ativo de espionagem, que impactou a integridade das senhas.
E é um ataque passivo de espionagem, que impactou a confidencialidade das senhas.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 13/42
individuais e não compartilháveis por definição, ele se torna um agente não autorizado acessando
informação privada, comprometendo a confidencialidade das senhas.
Questão 2
TAP é um dispositivo físico que faz uma cópia do tráfego entre dois nós de uma rede cabeada. Com o
uso de um TAP, Fred consegue fazer a cópia do tráfego encriptado entre um correntista e o seu banco.
Sobre esse ataque, podemos dizer que
Parabéns! A alternativa E está correta.
A criptografia das informações as torna ilegíveis para os quenão possuem a chave criptológica
utilizada, impedindo que a ameaça possa ter acesso ao conteúdo do tráfego. Dessa forma, protege-se a
informação, e o ataque é malsucedido.
A é um ataque ativo de interceptação.
B é um ataque passivo de interceptação.
C é um ataque passivo de espionagem (evesdropping).
D é um ataque ativo de espionagem (man-in-the-middle).
E foi um ataque malsucedido.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 14/42
2 - Ataques de negação
Ao �nal deste módulo, você será capaz de analisar ataques de negação.
Características dos ataques de negação
O ataque de negação é um ataque ativo, porque altera o fluxo normal de processamento dos dados. A
mecânica do ataque envolve uma ou mais ações de uma ameaça nas quais um serviço é afetado,
tipicamente por meio de inúmeras solicitações simultâneas, deixando-o incapaz de atender às solicitações
legítimas.
Exemplo
O ataque a um servidor DNS (Domain Name System). O DNS é responsável, entre outras coisas, por “traduzir”
nomes de domínios nos seus respectivos endereços IP (Internet Protocol). Como apenas o endereço de rede
(IP) pode ser usado para alcançar qualquer entidade na Internet, o ataque de negação de serviço a um
servidor DNS causa impactos relevantes.
O ataque de negação compromete a disponibilidade das informações e dos dados quando um serviço é
indisponibilizado. No entanto, caso haja desvio destrutivo ou alterações em um fluxo de informações,
tornando-as inúteis para o destinatário, o ataque comprometerá a integridade. Veja a seguir uma ilustração
desse tipo de ataque.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 15/42
Neste ataque, a ameaça poderia fazer várias ações para impedir o fluxo. Caso consiga acesso
administrativo a um equipamento de conectividade na rota entre o emissor e o destinatário, poderá
desativar a interface de entrada ou de saída, filtrar apenas o tráfego direcionado ao endereço do
destinatário, ou até mesmo saturar um roteador de mensagens até que ele não conseguir atender às
solicitações do emissor.
Outras formas de ataque de negação são a “derrubada” de uma aplicação, a desativação de uma interface
de rede ou a redução de parâmetros de capacidade do alvo por um agente não autorizado, impactando a
sua disponibilidade. Esses ataques, entretanto, são mais facilmente prevenidos e corrigidos em comparação
aos que serão descritos de forma mais detalhada adiante.
Exemplos de ataques de negação
Entre os tipos de ataques que são classificados como “de negação”, os mais conhecidos são os DoS – Deny
of Service (GOODRICH, 2013). Nele, são utilizadas máquinas de usuários comuns que foram contaminadas
por software de controle remoto, chamados de bot (abreviatura de robot). Após contaminada, a máquina se
torna um zombie (zumbi). Com várias máquinas zumbis, forma-se uma botnet. Uma vez acionados, eles
“inundam” o alvo com repetidas solicitações para um ou mais serviços disponíveis — o chamado flooding.
Esses ataques podem ser divididos em dois tipos principais: DDoS (Distributed Deny of Service) e DRDoS
(Distributed Reflexive Deny of Service). A imagem a seguir ilustra um DDoS.
Ataque DDoS.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 16/42
As máquinas zumbis ficam com um processo em execução (daemon), aguardando instruções dos masters.
Esses daemons são responsáveis pelo ataque ao alvo. Os masters possuem outro tipo de aplicação
maliciosa. Neles, são instalados os clientes dos daemons DDoS em execução nos zumbis, que mantêm
controle dos zumbis que estão ativos e comandam todo o ataque a partir da sinalização do atacante. Toda a
comunicação entre o atacante e os masters é criptografada, ocultando a sua identidade.
Comentário
Com o sucesso dessa modalidade de ataque, uma das mais difíceis de evitar e combater, surgiram
evoluções. Outro fator que garantiu o “sucesso” dessa modalidade é o interesse de um tipo específico de
ameaça, os chamados hacktivists, que usam variações do DoS para manifestações políticas ou ideológicas.
Veja uma das variações do DoS, o DRDoS:
Ataque DRDoS.
Esse tipo de ataque é muito mais intenso e difícil de se combater, porque a camada reflexiva, introduzida
entre a botnet e o alvo, é composta de servidores de diferentes atividades — servidores DNS, WEB, correio
eletrônico e outros — e de provedores legítimos, não infectados, cujos endereços IP não pertencem a
nenhuma blacklist. As solicitações vindas dos zumbis usam o endereço IP do alvo (spoofing) e são enviadas
a vários servidores diferentes, o que dificulta a identificação do procedimento como um ataque e provoca
um efeito multiplicador.
Atualmente, há um novo fator envolvido: o IoT (Internet of Things) deu capacidade de processamento e
armazenamento a inúmeros dispositivos de vários tipos,como televisões, câmeras de vigilância e outros.
Tais dispositivos são tipicamente sujeitos a algumas vulnerabilidades (OWASP, 2018):
Padronizadas, sem requisitos mínimos de segurança ou até inalteráveis em alguns dispositivos.
Senhas fracas 
Serviços comprometidos 
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 17/42
Processos com vulnerabilidades conhecidas em execução, facilmente alcançáveis por meio da
internet.
Em função da necessidade de praticidade e transparência, são usados recursos mínimos de
segurança, por exemplo, para armazenamento ou compartilhamento em nuvem.
Esses dispositivos usam código em firmware e a sua atualização, quando possível, geralmente é
feita sem controles de autenticação ou verificação da integridade da atualização.
A grande diversidade de versões de firmware, muitas vezes para um mesmo hardware, inviabiliza
uma atualização de todos os dispositivos existentes.
Facilidade de acesso a informações privadas que podem ser usadas em outros ataques.
Na transferência e no armazenamento de dados, usualmente não há criptografia, facilitando a
captura de dados.
Ecossistema inseguro 
Mecanismo de atualização inseguro 
Uso de componentes de software inseguros 
Proteção da privacidade insuficiente 
Falta de segurança 
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 18/42
Com o objetivo de dar transparência à complexidade desses dispositivos, eles não demandam
gerenciamento. Isso facilita, por exemplo, a inserção de dispositivos espiões em uma rede.
Visando eliminar a necessidade de suporte, as configurações padrão de fábrica são simples e com
poucos recursos de segurança.
A facilidade de se obter informações no acesso físico ao dispositivo facilita um ataque remoto
futuro, com as informações obtidas.
Esses fatores fazem com que os ataques de negação de serviço se tornem uma grande preocupação para
todos. O gráfico a seguir ilustra o aumento da quantidade de ataques, bem como as projeções ao longo dos
anos (CISCO SYSTEMS, 2020).
Gráfico: Histórico e previsões de ataques DoS no mundo.
Elaborado por: Cisco Systems, 2020..
Proteções contra os ataques de negação
Gerenciamento de dispositivos insuficiente 
Configurações padrão inseguras 
Ausência de proteções físicas 
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 19/42
Proteger-se contra os ataques de negação não é uma tarefa trivial, mesmo para grandes corporações. As
melhores práticas para esse tipo de ataque são as seguintes:
1. Para qualquer uma das ações que serão listadas em seguida, a empresa deve conhecer as
características de tráfego dos seus sites. Há soluções livres e gratuitas disponíveis para
monitoramento de rede, como Zabbix e outros.
2. Manter uma equipe de respostas a incidentes e desenvolver, por meio desse grupo, um plano paracombater ataques de negação de serviços.
3. Adotar técnicas e ferramentas mitigatórias de detecção e prevenção de intrusos, como firewall, filtros
de conteúdo e outros.
4. Investir em capacidade de carga, com balanceamento de carga, servidores e links replicados.
Análise de ataques de negação
Um exemplo de ataque de negação ocorreu com um dos principais fornecedores de soluções de
computação em nuvem:
Exemplo
A Amazon Web Services (AWS) foi atingida por um intenso ataque DDoS em fevereiro de 2020, o mais
agressivo da história recente. Esse ataque teve como alvo um cliente dos serviços AWS, por meio de uma
técnica chamada Connectionless Lightweight Directory Access Reflexion, usando vulnerabilidades do
protocolo (CLDAP). Essa técnica depende de servidores CLDAP de terceiros vulneráveis, e amplifica a
quantidade de dados enviados ao endereço IP da vítima em 56 a 70 vezes.
O ataque durou três dias e atingiu o pico de 2,3 terabytes por segundo de tráfego espúrio. Embora a
interrupção causada pelo ataque DDoS na AWS tenha sido muito menos grave do que poderia ter sido, a
escala do ataque e as implicações para os clientes de hospedagem da AWS são significativas (TAYLOR,
2020).
Analisando esse ataque, podemos verificar que estão envolvidas as seguintes vulnerabilidades:
• O usuário atacado não possuía recursos de resposta a incidentes para ataques
DoS.
• A vulnerabilidade do CLDAP.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 20/42
A partir da análise, podemos dizer que esse ataque compromete a disponibilidade da informação e é um
ataque ativo de negação de serviço. O efeito impactante é a impossibilidade de o usuário atacado realizar
suas operações produtivas por intermédio do site atacado.
As ações de combate são propostas pelo próprio provedor do serviço de nuvem contratado para hospedar o
site atacado. Reconhecido na literatura como o tipo de ataque mais difícil de combater, de uma forma geral,
as ações indicadas são as seguintes (AWS, 2021):
Prevenir
Usando sempre software licenciado, além de manter os sistemas atualizados e livres de
vulnerabilidades.
Reduzir a superfície de ataque
Eliminando o acesso a portas, protocolos e aplicações desnecessárias.
Planejar a capacidade
A capacidade, principalmente para corporações que dependem da disponibilidade para a sua
atividade principal, como é o caso dos bancos. Privilegiar a capacidade de trânsito, com
redundâncias, uso de redes de distribuição de conteúdo (Content Distribution Networks –
CDN) e serviços inteligentes de resolução DNS.
Monitorar o tráfego
O tráfego, permitindo a detecção rápida de um ataque e uma resposta especializada eficaz.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 21/42
Todas essas ações envolvem custos, que precisam ser justificados à luz dos prejuízos decorrentes de um
ataque.
Por meio das descrições e exemplos, podemos concluir que ataques de negação são ataques ativos e
impactam prioritariamente a disponibilidade da informação.
Análise de um ataque de negação
Está na hora de falarmos sobre o processo de análise de um ataque cibernético de negação de serviço,
identificando os elementos presentes em um incidente. Confira!

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 22/42
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Em um ataque cibernético, um agente mal-intencionado, usando o endereçamento IP do seu alvo, envia
pedidos de conexão para vários servidores de correio eletrônico. Estes servidores respondem então
para o endereço do alvo, deixando-o incapaz de processar qualquer requisição legítima, após alguns
minutos de ataque. É correto dizer que se trata de
A um ataque de negação via DDoS, usando spoofing.
B um ataque de negação via DrDoS, usando spoofing.
C um ataque de DDoS usando botnet.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 23/42
Parabéns! A alternativa B está correta.
De acordo com as definições e conceitos descritos no módulo, o ataque descrito não usa uma botnet, e
sim servidores de correio eletrônico na rede. O spoofing é a técnica de falsificação de identidade usada
para que as requisições estejam com o endereçamento IP do alvo, e não do atacante, fazendo com que
os servidores legítimos respondam para o alvo.
Questão 2
Dentre as razões que tornam muito difícil controlar e evitar o ataque de negação de serviço, pode-se
afirmar que a principal é
Parabéns! A alternativa D está correta.
D um ataque de DrDoS usando botnet.
E um ataque de spoofing usando botnet.
A a falta de criptografia no fluxo da transmissão.
B a facilidade de se capturar informação em trânsito nas grandes redes.
C a falta de procedimentos de autenticidade nas mensagens.
D a existência de muitas redes de máquinas zumbis que intensificam os ataques.
E a falta de IDS e firewall nos alvos atacados.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 24/42
Ainda que as outras opções contribuam para a dificuldade de controle desse tipo de ataque, o principal
fator que o torna muito intenso e muitas vezes incapaz de ser combatido é a enorme quantidade de
mensagens recebidas de milhares de máquinas contaminadas com bots de DoS.
3 - Ataques de Fabricação
Ao �nal deste módulo, você será capaz de analisar os ataques de fabricação.
Características dos ataques de fabricação
Ataques de fabricação são ataques ativos, nos quais o atacante introduz dados, informações, processos e
outros de forma ilegítima em um sistema alvo. A imagem a seguir ilustra esse tipo de ataque.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 25/42
Ataque de fabricação.
Como podemos ver na imagem, a ameaça insere no fluxo entre o emissor e o destinatário as suas
mensagens com conteúdo malicioso. A seta de fluxo entre os dois participantes legítimos está tracejada
porque a inserção maliciosa pode ser feita dentro do fluxo legítimo, ou então enviada diretamente pelo
atacante, por intermédio de técnicas de spoofing.
Conforme já vimos, o spoofing é a falsificação de uma credencial de identidade, personificando a ameaça
como uma entidade reconhecida pelo destinatário.
Exemplos de ataques de fabricação
Dentre as modalidades de ataques de fabricação, destacamos duas muito comuns (GOODRICH; TAMASSIA,
2013):
SQL <em>Injection</em>
Ataque decorrente de vulnerabilidades no tratamento de entradas de usuários para consultas a bancos de
dados. A ameaça pode então usar de várias formas diferentes strings em SQL, que permitem evitar
mecanismos de autenticação, inserir novos registros e manipular registros existentes.
<em>Cross-site scripting</em> (XSS)
Mais uma vez decorrente da validação inadequada do acesso a um site disponível na web, permite que a
ameaça injete códigos maliciosos nele, que serão executados nos navegadores dos usuários. Uma das
formas de se explorar essa vulnerabilidade é a execução de uma função em JavaScript para capturar
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 26/42
cookies do navegador do usuário contendo tokens de autenticação e, com isso, sequestrar sessões já
autenticadas pelo usuário legítimo.
Vamos conhecer mais detalhadamente um ataque de fabricação conhecido, o Routing Table Poisoning.
Atenção
Os roteadores são equipamentos de conectividade destinados a despachar pacotes entre redes diferentes.
Em cada uma de suas interfaces, é configurado um endereço IP pertencente à rede a que o roteador está
diretamente conectado, o que significa que ele apenas consegue aprender sozinho essas redes. As demais
são informadaspelos roteadores aos quais ele está diretamente conectado, por meio das atualizações de
roteamento.
Os principais protocolos de roteamento usados no mundo são o RIP, o OSPF e o BGP. A versão 1 do RIP
sequer suporta mecanismos de autenticação. Os demais suportam alguma forma de autenticação, mas ela
não é mandatória. Além disso, a adoção de mecanismos de autenticação entre roteadores introduz uma
camada de segurança que onera o processamento (CPU) dos roteadores, além de demandar o uso de
certificados digitais ou a combinação de chaves secretas.
A falta de um mecanismo de autenticação ativo possibilita que um atacante instale um roteador falso,
anunciando rotas de alvos para um destino em que há um site clonado.
Comentário
Sem a verificação da autenticidade da rota, o roteador aceitará o anúncio e introduzirá a rota falsificada em
sua tabela de roteamento, despachando os pacotes destinados ao IP do alvo para a rede em que está o site
clonado.
Vamos conhecer outro ataque, o DNS Cache Poisoning (muito parecido com o Routing Table
Poisoning).Imagine que uma ameaça consiga acesso a uma linha de comunicação por onde passam os
pacotes de um alvo. Durante a escuta e a análise dos pacotes, a ameaça identifica uma requisição DNS feita
pelo alvo para o URL “banco.com.br”.
A ameaça então pode forjar uma resposta a essa solicitação, falsificando o seu endereço de origem para o
IP do servidor DNS solicitado e indicando como IP da URL desejada um servidor malicioso, com a página do
banco clonada. Ao receber essa resposta antes do servidor DNS real e respondê-la imediatamente, o alvo vai
então “aprender” a correlação “banco.com.br” com o IP do site clonado, e então vai enviar a solicitação de
conexão a um servidor malicioso.
O ato de introduzir uma resolução DNS na cache do cliente é um ataque ativo de fabricação. Uma variante
desse ataque pode ser feita com muito mais amplitude e efeitos impactantes com a introdução de rotas
falsas em servidores DNS reais, que responderão a um volume bem maior de solicitações de resolução que
o caso inicialmente descrito. Segundo o CERT.BR, órgão brasileiro que atua na gestão da Internet no Brasil,
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 27/42
esse ataque é frequente e muitas vezes bem-sucedido, como podemos ver no gráfico de servidores DNS
reais fornecendo respostas incorretas, disponível a seguir.
Servidores DNS fornecendo respostas incorretas.
Proteções contra os ataques de fabricação
A prevenção contra os ataques de fabricação passa por duas demandas básicas:
A adoção de frameworks para desenvolvimento de aplicações seguras, como OWASP (OWASP, 2018), SDL
(MICROSOFT CORPORATION, 2010), ITIL e COBIT.
O uso de mecanismos mais robustos de autenticação e autorização, envolvendo segurança em múltiplos
fatores e tokens gerados por aplicações.
Análise de ataques de fabricação
Para analisarmos um ataque de fabricação, utilizaremos um exemplo hipotético: Fred, usando recursos para
proteger a sua identidade, como VPN (Virtual Private Network), usa uma ferramenta disponível livremente
para testar vulnerabilidades de SQL Injection em páginas de autenticação de contas de usuários na web. Em
um dos testes, a ferramenta insere no campo de login — tipicamente o e-mail do usuário — a seguinte string:
OR 1=1;--
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 28/42
No campo de senha, a ferramenta não insere nada. Como o código é antigo e nunca foi revisado por
questões de segurança, ele permite a formação da seguinte sentença:
SELECT * FROM users WHERE email=”” OR 1=1;-- “ AND pwdhash=”e3...
Como comandos em SQL terminam com o sinal ponto e vírgula e sequência dupla de hífen (--), isso indica
que o que segue é apenas comentário, o que vem após isso é ignorado pelo banco. A interpretação do
comando é a seguinte: “me envie todos os registros da tabela users onde o e-mail é vazio ou onde 1=1”.
Como a última condição (1=1) é sempre verdadeira, essa consulta retorna toda a tabela de usuários e Fred
tem acesso a credenciais para consulta aos dados armazenados no banco de dados.
Nesse ataque, a vulnerabilidade é a falta de validação dos dados digitados pelo
usuário no código da página.
O ataque compromete a autenticidade da informação usada para acesso ao banco, e, posteriormente, ao
obter acesso à tabela de usuários, ele provocará o comprometimento da confidencialidade. É um ataque
ativo de fabricação.
O efeito impactante é a invasão por um agente não autorizado, que pode até interromper o funcionamento
do site destruindo toda a tabela de usuários ou as informações no banco. Pode modificar informações,
causando prejuízos financeiros e de imagem, o que significa que esse é um ataque potencialmente
gravíssimo.
O tratamento desse incidente é bastante simples e de baixo custo, já que não envolve a aquisição de
ferramentas ou manutenção de equipe de resposta a incidentes. Basta revisar os códigos de entrada de
dados de autenticação e inserir mecanismos de validação das entradas.
Em síntese, podemos afirmar que os ataques de fabricação são ataques ativos que comprometem a
autenticidade da informação.
Análise de um ataque de fabricação
Está na hora de falarmos sobre o processo de análise de um ataque cibernético de fabricação,
compreendendo os elementos presentes em um incidente. Vamos lá!

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 29/42
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 30/42
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Em um ataque cibernético de fabricação, pode ser observado prioritariamente o comprometimento de
qual atributo da informação?
Parabéns! A alternativa C está correta.
Considerando apenas o momento da inserção bem-sucedida da informação fabricada no destinatário,
esse ataque compromete a autenticidade. Como descrito no texto, a autenticidade busca assegurar que
uma informação provém de sua fonte legítima, e o ataque permite a personificação da origem da
ameaça como o emissor.
A Confidencialidade
B Integridade
C Autenticidade
D Disponibilidade
E Irretratabilidade
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 31/42
Questão 2
Ataques como o SQL Injection e o XSS são fáceis de serem evitados, mas infelizmente ainda ocorrem
com certa frequência. A principal forma de combatê-los é por meio do uso
Parabéns! A alternativa E está correta.
Ambas as técnicas de ataque dependem de vulnerabilidades nos códigos das aplicações web. O uso de
boas práticas, definidas com base em vulnerabilidades conhecidas, busca eliminar a existência dessas
vulnerabilidades, impedindo assim o sucesso na aplicação das técnicas.
A de antivírus e firewall.
B de certificados digitais.
C de IDS (Intrusion Detection Systems).
D de CDN (Content Distribution Networks).
E de boas práticas, como OWASP e SDL.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 32/42
4 - Ataques de modi�cação
Ao �nal deste módulo, você será capaz de analisar ataques de modi�cação.
Características dos ataques de modi�cação
Os ataques de modificação, como seu próprio nome já indica, são obviamente ativos e impactam
diretamente a integridade da informação. Dependendo do interesse do atacante, ele pode modificar uma
informação enviada pelo emissor, inserir informações dentro de um fluxo legítimo ou eliminar alguma
informação pertencente a uma transmissão. Veja a seguir uma ilustração desse tipo de ataque.
Ataque de modificação.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 33/42
Comovimos, a ameaça atua como um MITM (man-in-the-middle), recebendo o fluxo de informações entre o
emissor e o destinatário e atuando de forma maliciosa, introduzindo, alterando ou deletando informação
desse fluxo. Para redirecioná-lo, a ameaça pode usar o mesmo spoofing citado nos ataques de fabricação,
mas utilizando o endereço do destinatário, em vez do endereço do emissor. Também pode usar técnicas
mais complexas, como a injeção de rotas falsas em roteadores.
Exemplos de ataques de modi�cação
Os ataques de modificação não são triviais de se realizar. Em geral, precisam ser feitos praticamente
durante a transmissão legítima, em função do uso de tokens com validade temporária. Outros dependem de
vulnerabilidades nos códigos das aplicações. Vejamos a seguir dois tipos de ataques de modificação.
Parameter Tampering
Imagine a seguinte situação: uma ameaça entra em uma loja virtual e escolhe um produto. Ao clicar no
botão “Comprar”, ele recebe uma string com os dados do item, incluindo o seu preço. Caso a aplicação não
tenha sido desenvolvida com cuidados quanto ao tampering, a ameaça poderá alterar o preço do item e
prosseguir com a compra. Para evitar esse ataque, duas situações diferentes podem ocorrer, de acordo com
o processo de compra (OWASP, 2018):
Caso seja possível, os dados de uma compra referentes ao item devem ser aceitos apenas se
provenientes de uma fonte confiável, ou seja, do banco de dados da própria instituição.
Caso seja necessária a utilização de dados inseridos pelo usuário, eles devem ser verificados ou
comparados com valores padrão, para identificar possíveis fraudes.
MITM (Man-in-the-middle)

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 34/42
Como ilustrado na imagem anterior, a ameaça se posiciona entre o emissor e o destinatário. Quando o
emissor solicita uma conexão com o destinatário, a ameaça aceita a conexão e imediatamente solicita a
conexão ao destinatário. É um ataque complexo, porque a maioria dos sites que manipulam informações
sensíveis usam HTTPS (HTTP over SSL/TLS), ou seja, usam criptografia e autenticação do fluxo, com base
em seus certificados digitais.
Atenção
Para que o ataque dê certo, a ameaça precisa ter um certificado digital forjado em uma autoridade
certificadora ou depender da ingenuidade do usuário para não perceber que o site que ele está acessando
não está usando uma conexão criptografada. Com o uso das informações de autenticação recebidas do
emissor, a ameaça acessa o destinatário e realiza transações em seu benefício.
Proteções contra os ataques de modi�cação
Prevenir a ocorrência de modalidades dos ataques de modificação envolve o uso de recursos criptológicos,
como a criptografia do fluxo e a autenticação das mensagens e dos usuários.
Em ambientes corporativos, o uso de IDS (Intrusion Detection Systems) é uma
solução diretamente associada à natureza dos ataques de modificação.
Esses ataques podem ser prevenidos, portanto, ao adotar medidas para restringir o acesso de pessoas não
autorizadas ao fluxo de informações entre o emissor e o destinatário, bem como ao validar entradas nas
aplicações, buscando ocorrências fora do padrão esperado.
Análise de ataques de modi�cação
Vamos analisar um exemplo desse tipo de ataque:
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 35/42
Exemplo de MITM.
Neste ataque, Fred agora tem acesso à sala de equipamentos de uma universidade. As senhas dos
equipamentos de conectividade são padrão, então ele não tem dificuldade para acessar as configurações do
switch (comutador) ao qual está conectado o website usado pelos professores para registrar as notas dos
alunos.
As próximas etapas do ataque de modificação são as seguintes:
Ao analisarmos esse ataque, podemos observar várias vulnerabilidades.
Em primeiro lugar, a proteção de perímetros de áreas sensíveis é requisito descrito na norma de cabeamento
estruturado (ABNT, 2019b). Canaletas e tomadas de rede devem possuir proteções físicas e lógicas contra
acesso não autorizado.
Além disso, os equipamentos de rede para suportar tráfego sensível devem, como boa prática, suportar
técnicas de segurança layer 2, como port security. Com o uso dessa técnica, qualquer modificação nas
conexões de equipamentos às portas do switch pode ser identificada e, opcionalmente, bloqueada.
Etapa 1
Por meio de alguns
comandos simples, ele
redireciona os acessos ao
equipamento que hospeda o
website real para a porta em
que outro equipamento
hospeda uma página de
lançamento de notas clonada,
mas não há criptografia do
tráfego.
Etapa 2
Fred conecta outro
equipamento a uma porta do
mesmo equipamento que
hospeda do website real e
configura o espelhamento do
tráfego das outras portas para
onde ele está conectado. Com
o uso de um sniffer, ele
captura as senhas dos
professores.
Etapa 3
O professor então se
“autentica” no web site
clonado — não há verificação
real da senha digitada — e
digita as notas. Fred, já de
posse da senha do professor,
entra no site real e digita as
notas dos alunos,
modificando as notas que
deseja.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 36/42
Atenção
O uso e a manutenção de senhas padrão nos equipamentos é, infelizmente, prática comum e, obviamente,
de grande risco. A aplicação desenvolvida para o lançamento das notas pelo professor, dada a sensibilidade
das informações envolvidas, deveria possuir recursos mais alinhados ao risco dessa operação, como a
autenticação em múltiplos fatores.
Podemos afirmar que o ataque comprometeu inicialmente a confidencialidade das informações. Na
segunda fase, com a introdução de dados forjados no banco — as notas dos alunos alteradas, essas ações
comprometeram a autenticidade e a integridade das informações. Nesse momento, a ameaça comete um
ataque ativo de modificação.
O efeito impactante é decorrente da fraude das notas dos alunos, comprometendo a credibilidade da
instituição de ensino. Naturalmente, demandará a auditoria das notas e a tomada de decisões difíceis
quanto às notas fraudadas de alunos que eventualmente já deixaram a instituição.
O tratamento desse incidente está diretamente relacionado às vulnerabilidades elencadas:
1. Promover conformidade com a ABNT NBR 14565, protegendo fisicamente os perímetros sensíveis,
canaletas e tomadas, com o intuito de evitar o acesso não autorizado aos equipamentos.
2. Fazer o hardening dos equipamentos de conectividade, trocando as senhas padrão por senhas fortes,
desabilitando acesso remoto ou, caso seja essencial, permitindo apenas por ssh, e habilitando o
monitoramento via SNMP, que alarmará tentativas de acesso aos equipamentos.
3. Adotar e implementar recursos de segurança lógica, como o port security.
4. Implementar recursos mais robustos na aplicação de lançamento de notas, especialmente na
autenticação do acesso.
Em resumo, os ataques de modificação são ataques ativos, que comprometem a integridade e a
autenticidade da informação.
Análise de um ataque de modi�cação
Acompanhe o processo de análise de um ataque cibernético de modificação, por meio da identificação dos
elementos presentes em um incidente. Vamos lá!

25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 37/42
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 38/42
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Em um ataque MITM, o usuário Fred usa uma aplicação clonada para capturar informações privadas de
Bob. Apesar das mensagens de alerta de erro no certificado digital, Bob digita suas credenciais e dados
bancários. Analisando esse ataque apenas com as informações disponíveis, pode-se afirmar que os
elementosvulnerabilidade, ameaça e propriedade afetada são, respectivamente
Parabéns! A alternativa B está correta.
A vulnerabilidade explorada no ataque descrito, independentemente de ocorrências anteriores ou
posteriores, é a falta de cultura de segurança de Bob ao ignorar os avisos de erro no certificado. A
A aplicação clonada, Fred e autenticidade.
B Bob, Fred e confidencialidade.
C Bob, aplicação clonada e confidencialidade.
D aplicação clonada, Bob e autenticidade.
E aplicação clonada, Fred e confidencialidade.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 39/42
ameaça é o elemento que explora a vulnerabilidade, que é Fred, por meio de uma ferramenta de ataque
— a aplicação clonada —, impactando a propriedade de confidencialidade da informação.
Questão 2
Uma atividade maliciosa em que a ameaça intercepta o tráfego de uma transação bancária em uma
linha de transmissão, substituindo os dados do destinatário real pelos seus, é caracterizada como um
ataque
Parabéns! A alternativa C está correta.
Trata-se de um ataque ativo de modificação, pois as informações enviadas pelo emissor foram
alteradas durante a transmissão ao destinatário.
Considerações �nais
A ativo de interceptação.
B passivo de interceptação.
C ativo de modificação.
D passivo de modificação.
E ativo de fabricação.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 40/42
Já reconhecemos como inegável a nossa dependência das redes e dos recursos computacionais usados
em inúmeros processos de nossa vida cotidiana. Infelizmente, a enorme quantidade de vulnerabilidades
existentes, aliadas à possibilidade de ganhos decorrentes de sua exploração, fez surgir uma legião de
ameaças. Em resposta, foram implementadas leis criminalizando atividades hacker, mas a dificuldade de
identificação dos autores torna a resolução desse problema um grande desafio.
Para os profissionais da área, cabe adotar ações preventivas e eventualmente reativas em caso de
ocorrência de incidentes. Como as ações são pontuais, desenvolvidas especificamente para um conjunto de
elementos pertencentes a cada cenário de risco, é fundamental a capacidade de analisar os tipos de
ataques, identificar seus elementos, mensurar os possíveis impactos e, com tudo isso, desenvolver uma
estratégia. Nesse contexto, este estudo apresentou os quatro tipos de classificação para ataques
cibernéticos e descreveu as características de cada um deles, bem como apresentou exemplos, propôs
proteções e, por fim, exemplificou a análise de um ataque de cada tipo.
Podcast
Para encerrar, ouça como podemos descrever o processo de análise de ataques cibernéticos.

Explore +
Para conhecer detalhes do mais complexo tipo de ataque cibernético atual, leia o artigo Recomendações
para melhorar o cenário de ataques distribuídos de negação de serviço (DDoS), disponível no portal da
CERT.br.
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 41/42
Referências
AMAZON WEB SERVICES. AWS. O que é um ataque DDoS. Consultado na internet em: 28 jun. 2021.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. NBR ISO/IEC 27005: Tecnologia da informação –
Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro, 2019a.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT. NBR 14565: Cabeamento estruturado em
edifícios comerciais. Rio de Janeiro, 2019b.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. CERT.BR.
Estatísticas de notificações de servidores DNS maliciosos fornecendo respostas incorretas para nomes de
domínio de terceiros. Consultado na internet em: 5 jun. 2021.
CISCO SYSTEMS. Cisco Annual Internet Report (2018–2023). Publicado em: 9 mar. 2020. Consultado na
internet em: 28 jun. 2021.
GOODRICH, M. T.; TAMASSIA, R. Introdução à Segurança da Informação. Porto Alegre: Bookman, 2013.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27000: Information technology —
Security techniques — Information security management systems — Overview and vocabular. 2018.
MICROSOFT CORPORATION. Simplified implementation of the Microsoft SDL. 2010. Consultado na internet
em: 2 jul. 2021.
STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson Education
do Brasil, 2015.
TAYLOR, A. The most famous DDoS attacks in history. The Next Web, 30 sep. 2020. Consultado na internet
em: 26 jun. 2021.
THE OPEN WEB APPLICATION SECURITY PROJECT. OWASP. OWASP IoT Top 10. 2018. Consultado na
internet em: 28 jun. 2021.
Material para download
25/08/2023, 16:58 Análise de ataques cibernéticos
https://stecine.azureedge.net/repositorio/00212ti/02259/index.html# 42/42
Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF.
Download material
O que você achou do conteúdo?
Relatar problema
javascript:CriaPDF()