Baixe o app para aproveitar ainda mais
Prévia do material em texto
Abril 2013 • segurancadigital.info|02 L ic e n ç a O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem au torização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen te. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador. Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto. Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital. VOCÊ PODE: COMAS SEGUINTES CONDIÇÕES: Copiar, distribuir, criar obras derivadas e exibir a obra. Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta. "É o mundo que foi colocado diante dos seus olhos para que você não visse a verdade" (Morpheus) No filme Matrix, há uma cena onde o personagem Morpheus confronta Neo com duas opções, representadas por pílulas, uma azul e outra vermelha, onde uma terá que ser escolhida. A primeira (azul), é o mundo online, que todos nós conhecemos e acessamos diariamente ou várias vezes por dia. Embora a internet seja uma grande rede de computadores interligados em escala mundial ela é usada e alimentada por pessoas e você, caro leitor, certamente é um internauta experiente que domina com maestria a arte de “navegar” ou “surfar” online. Acessa as redes sociais, envia emails, faz tudo aquilo que é possível. Podemos então chegar a conclusão que você conhece a internet, certo? O mundo online é abastecido diariamente por informações criadas e compartilhadas por pessoas. São vídeos, fotos, documentos, emails, textos cuja quantidade cresce de forma exponencial. Já há uma forte tendência de analisar esses dados e cruzálos, para assim obter ganhos usando essas informações. É o que chamamos de Big Data. Fazendo uma paralelo com a nossa vida “real”, existem muitas ações que são realizadas fora dos holofotes por diversas razões, seja por ser anti ético, perturbador, criminoso, nojento, ou simplesmente porque tem que ser anônimo. O ser humano possui particularidades muito específicas e infelizmente eu gostaria de acreditar que todos são bonzinhos, mas isso não é verdade. No fundo, muitos tem as suas perversões e precisam de alguma forma, satisfazêlas e até mesmo compartilhálas com aqueles que apreciam a mesma prática. Há pessoas, talvez aquele seu vizinho, ou algum colega de trabalho por mais simpático que seja, pode esconder um grande segredo, ou alguma preferência oculta. Por isso temas como pedofilia, venda de armas, tráfico de órgãos, assassinatos de aluguel, entre outros, certamente tem que ficar escondidos do grande público, especialmente por grandes buscadores, como o Google. E tal como no mundo real, também existe online, mas não é possível ter acesso a essa informação da forma convencional. Para isso, existe a Deep Web. E lá que toda a nossa natureza é mostrada, tudo aquilo que é ruim, o que há de mais repugnante na humanidade. É uma viagem sem volta, com conteúdo perturbador para alguns. O acesso é todo criptografado por várias camadas, sendo muito díficil encontrar as pessoas. Assim, mais uma vez, o anonimato permite que você faça e diga muitas coisas que não faria no mundo “real”. A Deep Web é o verdadeiro submundo da internet. Ela é a segunda opção, a pílula vermelha. Há ainda uma parte da DW que realmente possui conteúdo que podemos chamar de “bom”. São vários artigos acadêmicos, de muitas universidades de vários lugares do mundo, que estão lá, simplesmente fora , escondidos, tais como tesouros que precisam ser buscados. Portanto, a DeepWeb não é 100% “ruim”. É possível sim, achar ótimos materiais de estudo sobre muitos assuntos relevantes. A Revista Segurança Digital embarca contigo nesse mundo desconhecido para a maioria das pessoas que usam a internet diariamente. Você está preparado para conhecêlo? Qual pílula você vai escolher? “Você tem que ver por si mesmo” (Morpheus) Abril 2013 • segurancadigital.info|03 E d it o ri a l DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info EDITORESCHEFE Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Deivison Pinheiro Franco deivison.pfranco@gmail.com Carla Danielle Dias de Oliveira carladaniellevzp@gmail.com Roberto Henrique roberto@abctec.com.br Deivison Pinheiro Franco deivison.pfranco@gmail.com Davies Nassaro dnassaro@gmail.com REVISÃO Andressa Findeis findeis.andressa@gmail.com Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br http://twitter.com/_SegDigital www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info Parceiros Abril 2013 • segurancadigital.info|04 Ín d ic e 34 Notícias Fique informado quanto ao que acontece no mundo virtual. 33 Agenda TI Confira o calendário dos profissionais de TI 37 38 39 40 41 43 Hackeado por M@3_n@Tur35a Sistemas de Detecção e Proteção Contra Invasões a Ambientes infomratizados IDS e IPS Redes de Sensores Sem Fio Engenharia social: um risco ou uma arte? 05 13 16 21 29 Deep Web Mergulhando no Submundo da Internet Artigo 4Linux Brasport HostDime eSafer AbleSecurity Clavis Há um universo paralelo na internet onde a infor mação é inacessível para os mecanismos de busca co muns como o Google, por exemplo. O que enxergamos equivale à superfície da internet que, de acordo com especialistas, corresponde apenas a 4% de toda a web. A Deep Web é a camada da internet que não pode ser acessada através de uma simples "googlada". Pois bem, resolvi vasculhála para entender melhor esse universo e ver o que é, o que tem de bom e, também, o que tem de ruim. Quando se diz que na internet é possível aprender como construir bombas, comprar drogas e documen tos falsificados, entre outras coisas, geralmente é so bre a Deep Web que estão falando; assim como é lá também que surgem organizações como Wikileaks e Anonymous, e são essas pessoas que discutem a web como um organismo livre e democrático. Portanto, é uma via de duas mãos, em que a todo momento você pode tropeçar numa pedrinha e cair do lado contrário. A Deep Web é considerada a camada real da rede mundial de computadores, comumente explicada em analogia a um iceberg: a internet indexada, que pode ser encontrada pelos sistemas de busca, seria apenas a ponta superficial, a "surface web". Todo o resto é a Deep Web não à toa o nome que, em inglês, signifi ca algo como rede profunda. A figura 1 ilustra me lhor isso. Como visto na Figura 1, a Deep Web é muito maior do que a encontrada na superfície. Estimase que centenas de vezes maior. É o que está por trás dos milhões de dados que a "Internet visível" nos apresenta diariamente. De acordo com uma estimati va de algunsespecialistas em segurança, a Deep Web é desconhecida para a maioria dos usuários da inter net. |05 Abril 2013 • segurancadigital.info D ee p W eb – M er g u lh a n d o n o Su b - m u n d o d a In te rn et Fi gu ra 1 - Su rfa ce W e b X D e e p W e b. Para aqueles que já ouviram falar dela, talvez haja a ideia de um mundo paralelo. Mas a verdade é que a Deep Web é apenas uma designação para tudo o que é inacessível para os mecanismos de busca comuns, que não podem acessar certos sites "escondidos". Há uma política que se pode colocar em um site para que os mecanismos de busca não examinem o conteúdo do mesmo. Mas isso é apenas um acordo de cavalheiros, se alguma empresa quiser indexar este conteúdo, ela pode. Outra parte do conteúdo indexado são os "jardins murados" como o Facebook, por exemplo. Qualquer conteúdo que as pessoas compartilham no Facebook, em geral, só pode ser acessado com uma conta no Fa cebook. Às vezes, você precisa não só de negócios, mas tem de ser autorizada pelo participante e receber um link diretamente dele. Mesmo quando você postar publicamente, embora não haja um link para que as informações que podem ser acessadas quando al guém não está logado no Facebook, esse conteúdo não é indexado pelo Google e outros mecanismos de busca. Os “jardins” são, por vezes, apenas “parcialmente murados”: você pode fazer buscas e ver parcialmente as informações, mas o restante apenas com a inscri ção, às vezes paga. Há muita controvérsia com uni versidades (instituições públicas, e também privadas) que não fornecem seus artigos fora dos "jardins mu rados". Para explicar melhor a Deep Web, podese compa rar as pesquisas na Internet como o arrastar de uma rede em toda a superfície de um oceano: um grande conteúdo pode ser apanhado, mas ainda há uma gama de outras coisas que está nas profundezas e que não capturadas, como mostrado na Figura 3. SSuurrggiimmeennttoo Em grande parte, a Deep Web existe, assim como a própria internet, graças à força militar dos Estados Unidos. Neste caso, graças ao Laboratório de Pes quisas da Marinha do país, que desenvolveu o The Onion Routing para tratar de propostas de pesquisa, design e análise de sistemas anônimos de comunica ção. A segunda geração desse projeto foi liberada pa ra uso nãogovernamental, apelidada de TOR e, desde então, vem evoluindo. Em 2006, o TOR deixou de ser um acrônimo de The Onion Router para se transformar em ONG, a Tor Project, uma rede de túneis escondidos na inter net em que todos ficam quase invisíveis. Onion, em inglês, significa cebola, e é bem isso que a rede pare ce, porque às vezes é necessário atravessar várias ca madas para se chegar ao conteúdo desejado. Grupos próliberdade de expressão são os maiores defensores do Tor, já que pela rede Onion é possível conversar anonimamente e, teoricamente, sem ser in terceptado, dando voz a todos, passando por quem luta contra regimes ditatoriais, empregados insatis feitos, vítimas que queiram denunciar seus algozes. A ONG já teve apoio da Electronic Frontier Foundati on, da Human Rights Watch e até da National Chris tian Foundation, mas também recebeu dinheiro de empresas, como o Google, e de órgãos oficiais o governo dos EUA, aliás, é um dos principais investi dores. Ao acessar um site normalmente, seu computador se conecta a um servidor que consegue identificar o IP; com o Tor isso não acontece, pois, antes que sua requisição chegue ao servidor, entra em cena uma re de anônima de computadores que fazem pontes até o site desejado. Por isso, é possível identificar o IP que chegou ao destinatário, mas não a máquina anterior, nem a anterior, nem a anterior etc. Também há servi ARTIGO Segurança Digital |06 Figura 3 - O Mapa da Deep Web. Figura 2 - Surface Web X Deep Web. Abril 2013 • segurancadigital.info ços de hospedagem e armazenagem invisíveis. FFuunncciioonnaammeennttoo A ideia original criada pelo pessoal da Marinha Americana, era a de ocultar dentro de uma frota, qual era a embarcação que emitia os comandos para o res to. Vamos explicar. Imagine que você é o comandante de uma frota de 100 navios. Sendo o comandante, o navio que você está é o mais importante da frota, pois é você quem está ordenando todos os outros. É claro que você não quer que o inimigo saiba qual é o seu navio, nem que saibam quais navios recebem suas ordens, pois isso arruinaria sua estratégia. Então você diria: "criptografe o conteúdo das mensagens, assim eles não terão como saber que mi nha transmissão é mais importante que a dos outros navios". Contudo, infelizmente o inimigo possui uma incrí vel tecnologia: ele não pode decriptar as mensagens da sua frota, mas pode rastrear de onde todas as men sagens saem e para onde todas vão. Eles podem não saber o que está sendo trafegado, mas eles têm tudo o que eles precisam? Por uns 10 minutos você acredita estar arrasando na guerra, pois 1/4 dos navios inimigos foram des truídos. Então, o seu inimigo faz um único ataque. Ele acerta o seu navio e você, confuso, pergunta: "Como?". Simples: eles foram capazes de perceber que seu navio era quem mais enviava mensagens e que, cal culando o tempo de algumas mensagens e correlacio nando com os ataques, foi fácil descobrir quem estava no comando. Então, bastou só um ataque. Para evitar que isso acontecesse, a Marinha inven tou o conceito de uma "Rede Cebola". Agora, em vez de enviar as ordens diretamente do ponto A para o ponto B, as mesmas saltam randomicamente pela fro ta antes de alcançar seu destino. Por conta da cripto grafia, o inimigo não pode predizer a diferença entre uma nova mensagem e uma mensagem retransmitida. Todas parecem iguais. Da mesma forma, é difícil ras trear a partir do navio que fez o disparo de onde veio a mensagem, pois o mesmo pode ter recebido e trans mitido várias mensagens entre o envio do comando de tiro e o recebimento do mesmo. E mesmo que haja espiões em alguns navios, somente o transmissor e o receptor têm acesso à mensagem original, pois para enviar uma mensagem de A até B, o navio coman dante irá criar uma rota aleatória entre os navios e adicionará uma criptografia por cima de outra, para cada navio da rota por onde a mensagem passará. Nenhum navio entre A e B terá ciência da mensa gem. Somente A e B terão o conteúdo original. Para cada salto entre A e B, uma camada de criptografia é adicionada, cada uma com sua própria chave e, a única informação real que um ponto possui é a de para quem ele deverá enviar a mensagem que ele re cebeu. Aí está a ideia da "cebola". Uma cebola possui várias camadas, assim como a nossa mensagem sal tando de navio em navio. A cada navio, uma camada é tirada. A Figura 4 ilustra o funcionamento do TOR. CCaammaaddaass Muitas são as teorias sobre as camadas da Deep, mas pouco se sabe sobre sua verdadeira existência, entre as pesquisas que realizei o melhor esquema que encontrei foi esse. Ele retrata a internet de um modo estruturado e de fácil compreensão. Portanto, a inter net dividese dessa maneira: ARTIGO Segurança Digital |07 Figura 4 - Funcionamento do TOR. Surface web: um lado mais "escuro" da web, onde ficam sites incomuns, mas que ainda sim po de ser acessado facilmente; Berigie web: último level de classe "baixa", aqui se encontram sites de grupos fechados e que utilizam proxy, Tor ou alguma ferramenta para permitir o acesso; Charter web: a famosa Deep Web, onde se uti liza o Tor para ter acesso, dividese em duas par tes: a primeira são os sites comuns como Hidden Wiki e HackBB, a segunda engloba os sites restri tos e de grupos fechados; • • • Abril 2013 • segurancadigital.info Existe também a teoria de que ao invés de 05 ní veis, como representado acima, a Deep Web possui ria de 08 a 10 níveis, sendo esses extremamente restritos e inomináveis, ou seja, por ser tão sigiloso só existe por alguns momentos, e para algumas pes soas. Nós, usuários normais, não poderíamos aden trar sem sabermos onde ir, com que ir, e quando ir; portantoessa fase se torna a fase das subredes. É aí que a coisa fica confusa. Veja um exemplo: Você já utilizou o Mirc (progra ma de bate papo antigo)? Nele existe a configuração privada para evitar lag. Então você poderia, se outra pessoa concordasse, vincular os ips formando uma subrede dentro do próprio programa e tchau lag. Mas tinha que ser uma pessoa de confiança, senão seu computador já era. O que eu quero dizer é que de uma forma muito mais complexa funciona a Deep em suas camadas mais profundas. São subredes alinhadas de maneira estratégica, de modo a funcionar com quem somente autorizar, for convidado ou conhecelas. Isso abre es paço para muitas coisas serem realizadas no obscuro. A Deep Web pode ser acessada também por outros programas, e cada um carrega elementos próprios; portanto um navegador não abrirá páginas .onion e assim por diante (não quero especificar muito). Sen do assim, todo navegador, tem suas distintas cama das. O Tor é sobressalente nesse aspecto, mas os outros também possuem. Espero que tenha sanado algumas dúvidas, e reco mendo que não entrem. Levem esse assunto como curiosidade e estudo, para expandir o conhecimento, somente. CCoommoo CChheeggaarr LLáá No site Tor Project [Link 1] você encontra ferra mentas pelas quais qualquer é possível ter contato com a rede Onion, inclusive um compilado de pro dutos que inclui a versão portátil do Fiferox já confi gurada para o acesso anônimo e que sequer exige instalação. Tanta preocupação com segurança faz com que a navegação seja muito lenta; nós conversa mos com um programador que usa a rede e ele expli cou que isso ocorre principalmente por conta da triangulação do acesso às vezes ele manda um re quest para um desvio em outro país e redireciona pa ra o site. É preciso cautela para se aventurar nesse mundo. Em primeiro lugar, tenha em mente que os principais caminhos estão em inglês, e é essencial compreender exatamente o que está escrito antes de clicar num link. Além disso, a Deep Web é feia, porque ninguém ali está preocupado com o layout, então o inglês é duas vezes mais importante, já que não há imagens que te levem a entender o contexto. É tudo bem dire to. Cabe ressaltar que alguns dos vírus mais arrojados são testados na Deep Web, portanto, antivírus e fi rewall têm de ser bons e estar atualizados. Aqui na redação nós usamos um netbook ligado a um modem 3G para poupar a nossa rede de eventuais problemas; se você não tiver como fazer isso, a dica é criar uma máquina virtual. Há, inclusive, uma versão do Linux, a "Tails", feita especificamente para esse tipo de coi sa. As operações financeiras por lá não são feitas com dinheiro ou cartão de crédito; a maioria dos sites nem aceita opções como PayPal, é tudo em Bitcoin. E há ainda um outro detalhe. O endereço do que talvez seja o principal site por lá é kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page e não adianta tentar acessálo pelo navegador con vencional, ele precisa ter uma configuração específi ca (como a do Tor) para que o link abra. Tratase da Hidden Wikki, uma espécie de indicador de sites com cara de Wikipédia que te ajuda a navegar por tema. As URLs são decodificadas dessa maneira e algumas páginas mudam constantemente para não serem achadas, enquanto outras dependem de informações ARTIGO Segurança Digital |08 Marianas web: o divisor de águas entra a Deep Web "falsa" e a legítima web oculta, aqui se en contram pessoas com um conhecimento mais avançado em computação, verdadeiros hackers, crackers, bankers, a partir desse ponto a coisa fica mais tensa. Há algumas teorias que dizem que ela se divide em mais três levels, que seriam: • Level 1: vídeos e documentos governamen tais, sendo uma rede fortemente criptografada e segura; Level 2: aqui se encontram pessoas que dis putam o controle sobre o nível 8. Bilhões de dó lares são negociados e tratados. Level 3: basicamente onde há o controle tec nológico global, há documentos relacionados com computação quântica, grandes elite hac kers, que obviamente não são nem comentados nas mídias andam por aqui, o foco é poder e di nheiro, neste level encontrase o que quer e o que não quer. • • • Abril 2013 • segurancadigital.info específicas para se modificar e, assim, conceder aces so ao que realmente importa ali. A maioria dos sites tem o .onion no meio por con ta do Tor, mas há scripts que configuram o navegador para que ele abra outras extensões, afinal, essa não é a única forma de driblar o monitoramento da surface web. No ano passado, por exemplo, quatro pesquisa dores das universidades de Michigan e Waterloo cria ram o Telex, que permite acesso a páginas bloqueadas, embora a tecnologia dependa de aprova ção do governo ou provedor para funcionar. Uma al ternativa é a Freenet, uma plataforma pela qual se pode compartilhar arquivos, navegar e publicar "free sites" estes, assim como os .onion, só são acessíveis com o programa específico. SSiitteess ddee BBuussccaa nnaa DDeeeepp WWeebb Antes de mais nada é preciso saber que os navega dores comuns, como o Chrome o Firefox, IE e etc, não são capazes de acessar a maioria dos sites da De ep Web, é preciso baixar o navegador TOR (https://www.torproject.org), isso porque os sites são criptografados e somente o TOR é capaz de quebrar a criptografia, além de manter o usuário no anonimato (nem tanto). Dito isso, e ciente dos riscos que está correndo ao navegar na Deep Web, você está preparado para co meçar a navegar na Deep Web, desde é claro que sai ba como procurar as coisas por lá. Eis alguns mecanismos de buscas utilizados para encontrar sites na Deep Web. Não se esqueça. o TOR é pesado e demora para acessar os sites, afinal, eles estão criptografados. HHiiddddeenn WWiikkii:: O mais famoso buscador da Deep Web. Na verda de ele apenas indica links de acordo com os assuntos, e é nele que se encontra as porcarias mais sórdidas e podres da Depp Web. Mas Também tem muito site cultural por lá. Recentemente sofreram um ataque dos Anonymous por causa do compartilhamento de links de sites de pedofilia. Para acessar a Hidden Wi ki, basta digitar no seu TOR o endereço [link 2] e fa zer suas buscas. A Figura 5 mostra a “cara” da Hidden Wiki. Agora vamos aos Sites de buscas mais decentes e im portantes: IInnffooMMiinnee Esse buscador foi construído por um grupo de bi bliotecas Norte Americanas entre elas University of California, Wake Forest University, California State University, and the University of Detroit. Dentre as muitas coisa que se pode pesquisar no Infomine estão informações de bancos de dados, periódicos eletrô nicos, livros eletrônicos, boletins, listas de discussão, catálogos de bibliotecas online, artigos, diretórios de pesquisadores, e muitos outros recursos. Endereço: http://infomine.ucr.edu/ TThhee WWWWWW VViirrttuuaall LLiibbrraarryy É o mais antigo catálogo WEB e foi desenvolvido por alunos de Tim BernersLee, o próprio criador da WEB. Para usar pode se inserir o termo na caixa de pesquisa ou simplesmente clicar no menu vertical. Endereço: http://vlib.org/ IInnttuuttee Embora esteja centrado no Reino Unido, o Intute envolve as Universidades mais feras da Inglaterra, e sua navegação pode ser feita tanto por assunto quan to por palavras chaves para assuntos acadêmicos co mo Agronomia, medicina, engenharia etc. Conta com ajuda Online e tem mais de 60 tutoriais ensinando habilidades efetivas de buscas na Internet. Endereço: http://www.intute.ac.uk/ CCoommpplleettee PPllaanneett É um dos melhores buscadores da Deep Web, nele se encontra uma variedade enorme de assuntos que vão de Comida e bebidas, até assuntos militares, ou mesmo de meteorologia para agricultores. Endereço: http://aip.completeplanet.com/ ARTIGO Segurança Digital |09 Figura 5 – Hidden Wiki Abril 2013 • segurancadigital.info IInnffoopplleeaassee Ideal para buscar enciclopédias, almanaques, atlas, e biografias em geral. Endereço: http://www.infoplease.com/index.html DDeeeeppPPeeeepp Banco de dados de serviçoscapaz de abrir dinâmi cas de resultados não captados pelos motores co muns, ainda em fase beta é sujeito a falhas. Endereço: http://www.deeppeep.org/ IInnccyyWWiinnccyy Esse mecanismo se comporta como os mecanis mos de buscas que nós costumamos usar, nele se po de inclusive buscar imagens. Endereço: http://www.incywincy.com/ DDeeeeppWWeebbTTeecchh Na verdade são 5 motores de buscas, cada qual de um tema específicos para medicina, negócios e ciên cias. Endereço: http://www.deepwebtech.com/ SScciirruuss Esse motor é voltado totalmente para o mundo ci entífico, permitindo se encontrar jornais, homepages dos cientistas, material didático, préimpressão de material de servidor, patentes e intranets institucio nal. Endereço: http://www.scirus.com/srsapp/ TTeecchhXXttrraa É um buscador voltado para Matemática, enge nharia e computação, com muitos dados e relatórios técnicos. Endereço: http://www.techxtra.ac.uk/index.html OO qquuee tteemm PPoorr LLáá A Hidden Wiki, citada anteriormente, não é o dire tório central da Deeo Web, é apenas o caminho mais conhecido, mas mesmo lá os primeiros links destaca dos são sobre tráfico de drogas. Além dela há busca dores que vão aonde o Google não chega e, por isso, encontram de tudo principalmente no que se refere a material pornográfico. Talvez o mais impressionan te seja os sites com conteúdo relacionado a parafilias: neles se vê pedofilia, necrofilia, zoofilia etc. Tudo comercializável. BBiizzaarrrriiccee Passei um tempo navegando entre páginas com URLs intermináveis que, ao serem carregadas, reve lavam nada mais do que uma imagem estática, ou uma porção de códigos ininteligíveis, ou, então, na da. Às vezes recarregava o endereço e a página sim plesmente não existia mais. Há muito disso na Deep Web, principalmente quando se trata de conteúdo inapropriado para proteger tanto quem publica, quanto quem foi parar ali por acaso. Há, sim, links que chegam facilmente a conteúdo pouco usual, mas a maioria do material está bem es condida por esse esquema de camadas. Quando você se depara com uma página aparentemente sem senti do, provavelmente há algo a mais para ser mostrado, mas que só pode ser acessado com a chave certa que pode ser, por exemplo, uma letra ou um número diferente na URL. E nem sempre basta passar da pri meira camada para chegar ao conteúdo; há quem diga que existem sites com até oito páginas falsas na fren te. Por trás disso existem sites com grupos cujo "pas satempo" é matar outras pessoas das formas mais bi zarras, outros que exibem méritos enquanto pedófilos, diversos tipos de extremismo, canibalismo (com quem come e quem se voluntaria a ser comido). Tráfico humano, terrorismo, nazismo e muitos outros temas, digamos, sensíveis, estão na Deep Web. CCoomméérrcciioo aalltteerrnnaattiivvoo Superficialmente, o que parece fazer mais sucesso é o tráfico de drogas, tanto que existem listas de ven dedores recomendados, de acordo com a confiabili dade de cada um. Mas o comércio de armas corre solto, assim como o de contas do PayPal e de produ tos roubados existem lojas específicas para marcas como Apple e Microsoft, por exemplo. Também dá para contratar assassinos de aluguel que possuem va lores para cada tipo de pessoa (celebridades, políticos etc.), com preços que vão de US$ 20 mil a US$ 150 mil. Cibercriminosos e espiões oferecem seus serviços, e tem gente que garante fazer trabalhos acadêmicos sobre qualquer assunto, sem copiar de lugar algum. Sites promovem turismo sexual e, por menos de US$ 1 mil, prometem buscar o comprador no aeroporto. Outro destaque é a venda de documentos falsos, com páginas que oferecem até cidadania norteamericana. O dinheiro é abolido na DW e poucos negociantes confiam no PayPal, a bola da vez é mesmo a Bitcoin, uma moeda digital que torna as transações mais se ARTIGO Segurança Digital |10 Abril 2013 • segurancadigital.info guras. Autoridades do mundo inteiro estão na Deep Web observando os passos de quem está lá dentro, talvez até com agentes se passando por usuários para obter informações e tentar antecipar ações ou desmascarar criminosos. É muito mais difícil encontrar os diretó rios e identificar os internautas por lá, em função dos nós de acesso criados pelo Tor e dos serviços de hos pedagem e armazenamento invisíveis da rede Onion. Mas nada é impossível, tanto que o Anonymous já expôs dados de milhares de pedófilos que usavam a Deep Web. Por mais que as coisas ali soem bizarras demais para o internauta comum, cabe lembrar que nada do que consta na rede alternativa está longe de ser en contrado nas ruas, cabe à pessoa decidir o caminho que lhe interessa. Você não pode perder a oportunida de de viver neste mundo por medo. Contudo, tem que se proteger, fazer as coisas com consciência. O primeiro choque com a Deep Web é em relação ao tamanho deste lado escuro da internet. Um ice berg, um destes blocos gigantes de gelo que vagam pelo oceano. A parte visível, que fica acima da super fície da água seria o correspondente à nossa internet cotidiana, como conhecemos hoje. Os outros 90% submersos escondidos ali representariam a proporção desta parte da rede. Para quem nunca ouviu falar no assunto, a princi pal diferença entre a nossa internet e a Deep Web é que neste lado escondido da rede, nada é indexado. Nada é rastreado. Todo o tráfego do dados é cripto grafado, o que significa privacidade e anonimato, o que pode ser bom e ruim ao mesmo tempo. Como já explicado anteriormente, a Deep Web se diferencia muito da rede normal, porque é tudo crip tografado, diferentemente da web tradicional, neste pedaço da web, a informação passa por vários pon tos, recebendo uma criptografia em cada um. Na web normal, tudo que fazemos para chegar a qualquer destino pode ser facilmente rastreado, ou seja, privacidade é ilusão. Mais que isso: mecanis mos inteligentes identificam o que fazemos o tempo todo na rede para, logo em seguida, oferecer publici dade dirigida e relacionada ao nosso gosto pessoal. E muita gente acaba usando a Deep Web simplesmente por não estar de acordo com esta regra imposta por gigantes como o Google. Há quem diga que na Deep Web há o respeito à privacidade. Tem gente que não quer ter uma máqui na cheia de cookies, nem que as pessoas saibam o que se está comprando, o que se gostaria de comprar, nem ser bombardeado com oportunidades de compra só por estar fazendo uma busca. Logo, a Deep Web existe por deficiências da surfasse web e seu uso co mercial excessivo. Por outro lado, uma infinidade de criminosos viu na Deep Web um prato cheio para praticar atos ilíci tos e garantir o anonimato. Tem coisas estranhíssimas que você nem imagina que haja quem possa gostar daquilo, principalmente relacionado a sexo. Tudo que você imaginar de para filia tem lá dentro. É comum se deparar com imagens que você não gostaria de ver ao navegar. E realmente tem de tudo neste lado obscuro da in ternet: sites de pedofilia, turismo sexual e até assas sinos de aluguel estampam a principal página de buscas da Deep Web. No entanto, especialistas em segurança dizem que há uma paranoia muito grande sobre a Deep Web, que apenas se fala do lado ruim, mas que isso só tem pra quem está procurando por isso. Claro, existe a possibilidade de acabar acessan do sem querer uma destas páginas por inexperiência, mas quem entra lá para procurar drogas, também po de ir à esquina para comprálas. O assunto é delicado e divide opiniões. As autori dades, claro, sabem que a Deep Web existe, mas co mo já foi dito não há nada que se possa fazer. É praticamente impossível identificar um acesso neste lado misterioso da rede. Entretanto, quem a usa para o bem não é coniven te com toda esta ilegalidade. O grupo de hackers Anonymous, por exemplo, conseguiu detectar uma rede de pedofilia com 1,6 mil usuários na Deep Web e, depois de atacar o site virtualmente, entregou to dos os envolvidos para a polícia. Cabe ressaltar que trazer alguma coisa de lá para cá é perigoso, sem dúvidas.É preciso cautela e, na dúvida, não clique! É a principal dica. CCoonncclluussããoo Pra mim, o saldo é o seguinte: todo mundo que se liga em internet, que procura saber das coisas, já tá ligado que essas bizarrices todas existem no mundo. Ninguém precisa de Deep Web para ficar “mais ante nado”. Sites com fotos de acidentes, de autopsias, de gente arrebentada, de possessões e aparições existem na Web de superfície. O que torna a DW um ambiente grotesco é que o que mais se encontra são sites de pedofilia, onde os ARTIGO Segurança Digital |11 Abril 2013 • segurancadigital.info usuários trocam fotos e contam vantagem do que fa zem. São coisas impensáveis. Quem assistiu “A Ser bian Film” ([link 3]), acredite: não é nada comparado ao que esses doentes fazem. Quem não assistiu, pode ler a história toda na Wikipedia ([link 4]). Não foi preciso acessar um site para ficar sabendo disso; o fórum conta em detalhes o que foi que a pes soa fez e só depois surgem os links das imagens para comprovar. Por motivos óbvios, não cliquei nelas. E é impensável o que fazem com animais. É impensá vel o que alguém pode fazer com outro por puro pra zer doentio. E o pior é saber que, por mais extremo que seja, um filme como “August Underground” ([link 5]) é isso, um filme (na lista dos 25 mais per turbadores da história [link 6]). Na Deep Web é re al. Finalmente o estômago embrulhado derrotou a cu riosidade, e emergi de volta para um mundo que de repente se tornou muito pior. As imagens vão demo rar a sumir. A conclusão é que a DW serve para mostrar uma realidade que não deveria existir. E que você não pre cisa ver.' ARTIGO Segurança Digital |12 Deivison Pinheiro Franco Graduado em Processamento de Dados. Especialista em Redes, Suporte a Redes e Ciências Forenses. Arquiteto de Infraestrutura de TI. Professor de Informática Forense, Segurança da Informação, Redes, SO e Arquitetura de Computadores. Perito Forense Computacional e Pentester. Certificações: CEH, CHFI, DSFE e ISO/IEC 27002.. Email: deivison.pfranco@gmail.com Link: http://lattes.cnpq.br/8503927561098292 [1] https://www.torproject.org/download/download easy.html.en [2] http://kpvz7ki2v5agwt35.onion/wiki/in dex.php/Main_Page [3] http://www.serbianfilmmovie.com/ [4] http://en.wikipedia.org/wiki/A_Serbian_Film [5] http://www.youtube.com/watch?featu re=player_embedded&v=HeoQ3j3Bbps#! [6] http://www.greencine.com/central/disturbing films5 Abril 2013 • segurancadigital.info Nem todas as ameaças hackers unidas são tão pe rigosas e ameaçadoras perto da fúria da “Mãe Natu reza”. Como os eventos climáticos têm se tornado um fator crítico para a sobrevivência dos negócios nas organizações. Nestes últimos anos acompanhamos inúmeras ocorrências causadas por eventos naturais que têm cada vez mais levado caos às cidades tanto no Bra sil quanto ao redor do mundo, causando enormes prejuízos materiais e em muitos casos, perdas com valor imensurável como a vida. E em meio a todo este caos, muitas empresas também estão sentindo diretamente as consequências destes eventos, que acabam se agravando conforme percebemos a falta de investimentos preventivos por parte do governo e da falta de preparo interno das empresas em sua infraestrutura como também na capacitação de suas equipes de colaboradores. Leio muitos artigos e participo de eventos de Se gurança da Informação que tratam desde assuntos puramente técnicos como invasão de redes, disse minação de malwares, vulnerabilidades de sistemas e ataques hackers como também questões relacio nadas a fatores humanos como fraudes, roubo de ativos, erros operacionais, treinamentos e conscien tização. Porém poucas vezes li, assisti ou debati com colegas da área questões relacionadas às ame aças climáticas e como elas podem afetar os negó cios de uma empresa de forma equivalente ou muitas vezes até mais prejudicial do que as con sequências de uma falha técnica ou humana. Notem que estou pontuando especificamente neste artigo o termo ‘ameaças climáticas’ e não ‘ameaças ambientais’, pois a questão relacionada aos riscos provenientes do ambiente são mais abrangentes e já são tratadas e debatidas nas avali ações de riscos com base em normas como ‘ABNT NBR ISO/IEC 27002 – Código de Prática para a Gestão da Segurança da Informação’ que cita um pequeno trecho sobre esta questão na seção ‘9.Se gurança física e do ambiente’ – 9.1.4.Proteção contra ameaças externas e do meio ambiente’, di vidindo as ameaças entre naturais ou perturbações causadas pelo homem. Vamos ver um trecho deste controle da ISO 27002: |13 H a ck ea d o p o r M @ 3_ n @ T u r3 5a Convém que sejam levadas em consideração todas as ameaças à segurança representadas por instalações vizinhas, por exemplo, um incêndio em um edifício vizinho, vazamento de água do telhado ou em pisos do subsolo ou uma explosão na rua. Convém que sejam levadas em consideração as seguintes diretrizes para evitar danos causados por incêndios, enchentes, terremotos, explosões, Abril 2013 • segurancadigital.info Percebam que a norma nos dá informações ge rais do que devemos nos proteger, mas sem detalhar como isso pode ser feito e sem explicar em detalhes como estes eventos podem afetar a segurança das informações de uma organização. Às vezes vejo profissionais ignorando fatores tão comuns e roti neiros como enchentes em São Paulo, por entende rem que a sua empresa não está diretamente exposta a este tipo de evento, porém se esquecem de fatores indiretos que podem interferir na conti nuidade dos negócios do mesmo jeito. O prédio pode estar localizado em um local alto, como por exemplo, a Avenida Paulista. Neste caso a empresa realmente não está sujeita a sofrer com alagamentos provenientes de uma enxurrada de água e lama, porém indiretamente ela é sim afetada por tal evento. Vamos imaginar um cenário típico da São Paulo: Uma enchente alaga as principais vi as de tráfego como as marginais, paralisa a opera ção das linhas de trens e reduz a velocidade do metrô, causando enormes engarrafamentos com carros, ônibus e caminhões. Com isso os principais funcionários da empresa não conseguem se loco mover a até prédio da Avenida Paulista, paralisando a operação de diversos departamentos estratégicos e consequentemente causando perda de negócios. Do que adiantou ter toda a redundância na infra estrutura de TI com nobreaks, geradores, servido res espelhados e links redundantes se não há pessoas que possam estar ali operando os sistemas suportados por este incrível ambiente? Não que to do este investimento não seja importante, muito pe lo contrário, são fundamentais, pois na verdade também de nada adianta ter a melhor equipe reuni da no prédio se elas não tiverem disponibilidade de ferramentas para realizarem suas tarefas. Hoje em quase toda organização, os sistemas computadori zados são as ferramentas essenciais do negócio e dependem de uma infraestrutura de rede para co municação clientes e fornecedores. Para validar a importância deste ponto de vista, basta entender que um evento climático pode gerar consequências catastróficas ao ponto de causar pro blemas que afetem tanto a parte técnica, quanto hu mana e ambiental. Uma forte tempestade pode causar panes elétricas danificando todo um conjun to de equipamentos, além de causar transtornos co mo as enchentes, inviabilizando a chegada dos funcionários necessários para a continuidade das atividades de uma organização ou ainda gerando grandes estragos no ambiente físico de uma empre sa, seja com alagamentos que danifiquem os ativos ou desmoronamentos que abalem a estrutura do prédio, quando este estiver em local suscetível a este tipo de ocorrência. Como não podemos evitar estes eventos climá ticos e na maioria dos casos não podemos contar com a prevenção por parte dos órgãos públicos responsáveis pela limpeza de rios e córregos, recu peração de encostas, podas de árvores entre muitas outras tarefas que reduziriam os impactos destes eventos, nós comoprofissionais da área de segu rança devemos mapear através da análise de riscos todas as ameaças que a organização está exposta direta e indiretamente e que possam ocorrer por uma questão técnica, humana ou ambiental. Algumas empresas que visitei em meus traba lhos apresentavam o seu Plano de Continuidade de Negócio que entre uma série de procedimentos téc nicos para manter a disponibilidade de suas princi pais atividades, continha um procedimento exclusivo para aplicar em situações em que a loco moção de determinados profissionais estivesse comprometida por uma enchente, uma greve ou mesmo alguma outra catástrofe que afetasse a re gião em torno da empresa. O documento descrevia passo a passo o que um determinado profissional deveria fazer, com quem se comunicar e para onde se dirigir, dentro de um determinado intervalo de tempo. Isso só foi possível porque a organização avaliou os riscos aos quais ela estava exposta e viu muito além de vulnerabilidades técnicas ou falhas humanas. Para termos uma ideia dos impactos que um temporal pode causar, confira estes números de um levantamento realizado pela Federação das Indús trias do Estado do Rio de Janeiro – FIERJ nas em presas da região Serrana após a catástrofe causada pelas fortes chuvas em Janeiro de 2011: ARTIGO Segurança Digital |14 perturbações de ordem pública e outras formas de desastres naturais ou causados pelo homem; Das 278 empresas, 172 sofreram algum impacto pelas chuvas; Entre os principais problemas, as empresas desta caram: • 83,2% sem energia elétrica; • 73,4% sem linhas telefônicas; Abril 2013 • segurancadigital.info Além disso, a estimativa média de retorno às ati vidades era de 27 dias. Imaginem ficar quase 1 mês sem poder trabalhar normalmente e neste caso com o agravante do trauma causado por tal evento, pois aproximadamente 1.500 pessoas perderam suas vi das (entre mortos e desaparecidos) e mais de 30.000 desabrigados. Praticamente todos na região perderam alguém conhecido ou tiveram suas casas afetadas com o desastre. Notem como eventos climáticos são fatores ameaçadores a qualquer Plano de Continuidade dos Negócios, ao ponto que todo um investimento de contingência de infraestrutura pode não valer de nada. Pior é quando me deparo com gestores que gostam de estampar grandes marcas de tecnologia no rack da TI, com caríssimos appliances para con trolar o acesso à rede ou o backup, além de comple xos sistemas de gestão de segurança, todos acomodados em salas que não serviriam de nada em um cenário como este. Por isso, antes de sair por ai cotando firewalls, sistemas de backup, reformando a sala dos servido res com biometria e vidros blindados, faça uma análise dos riscos reais que a empresa está exposta para não acabar deixando escorrer pelo ralo todo o dinheiro investido no projeto na primeira parada inesperada. Cada empresa, cada negócio tem sua realidade e as áreas de TI e SI devem compreender isso. Às vezes a empresa que trabalha com tradução e digitalização de documentos não necessita de um cluster de firewall com links redundantes com um custo estratosférico, pois se ela ficar sem Internet por algumas horas o seu negócio não é afetado, em contrapartida, se um alagamento atingir a sala onde estão armazenados a documentação em papel de seus clientes e todos os seus equipamentos como scanners e impressoras, poderá resultar no seu fim. É um exemplo hipotético, mas que serve para ilus trar que neste caso o que importa é o negócio da empresa e não a TI. A TI é a base para o bom anda mento do negócio, mas não é o negócio em si na maioria dos casos. Nesta empresa de digitalização, o ativo mais valioso são os documentos impressos dos clientes e equipamentos específicos de impres são e digitalização. Além do que já citamos como falta de investi mentos preventivos por parte do governo e da falta de preparo das organizações, carecemos de profis sionais de TI/SI com uma visão mais abrangente quando falamos de riscos ao negócio. Há muita preocupação com tecnologia, só que está tecnologia depende muito da capacitação de quem vai operála e principalmente do meio físico em que estará ali cerçada. E olha que nós brasileiros temos que agradecer por não termos aqui vulcões, furações, tsunamis e ainda não ter caído um meteoro de grande propor ção como aconteceu na Rússia neste início de ano. Imaginem o impacto destes eventos aqui no Bra sil... eu hein! RReeffeerrêênncciiaass BBiibblliiooggrrááffiiccaass ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 Tecnologia da informação Técnicas de segurança Código de prática para a gestão de segurança da informação. ABNT, 2005. FIRJAN 62% das empresas da Região Serrana foram afetadas pelas chuvas: http://www.firjan.org.br/data/pages/2C908CEC2D 4D2930012D99DAF2963545.htm ARTIGO Segurança Digital |15 • 67,6% redução da jornada de trabalho; • 38.2% enfrentaram alagamentos em torno; • 21,4% enfrentaram alagamentos internos; Entre as principais consequências, as empresas in formaram que: • 92,3% registraram ausências de funcioná rios da produção; 41,9% registraram ausências de funcionári os da administração; 70,3% tiveram estoques afetados pelos ala gamentos Roberto Henrique Roberto Henrique é Analista de Segurança da Informação na ABCTec, com 14 anos de experiência na área de TI (Suporte, Gestão, Consultoria), especializado em análise de vulnerabilidades e no tratamen to de incidentes de segurança da informa ção. Formado em Análise e Desenv. de Sistemas, possui as certificações ISFS® ISO/IEC 27002 Cer tified, DLink DBC, FSecure Certified Sales Professional – FCSP, Microsoft MCP/MCDST. Membro do Comitê Técnico ABNT/CB21:CE27 sobre Segurança daInformação e membro do Núcleo de TI do CIESP – São Bernardo do Campo. Email: roberto@abctec.com.br Site: www.abctec.com.br Abril 2013 • segurancadigital.info 11 IIPPSS –– IInnttrruussiioonn PPrreevveennttiioonn SSyysstteemm Após abordarmos os conceitos de IDS (Intrusion Detection System) na edição passada (vide revista Segurança Digital, 9ª edição), que são sistemas passi vos de monitoramento contra invasões a ambientes informatizados, chegou a vez de adentramos ao mun do dos IPS, sistemas ativos, que visam bloquear ten tativas de invasões baseados em regras prédefinidas pelos administradores de segurança da informação das empresas que os empregam. Uma boa definição do termo IPS pode ser obtido no trabalho de Caletti (2007). Este conclui que: “O termo IPS (Intrusion Prevention System) vem sendo constantemente utilizado na literatura especializada e nos produtos como uma evolução do IDS (Intrusion Detection System), agregando a função de prevenção de ataques à mera detecção de intrusão. Desta forma, um IPS poderia agir localmente sobre uma tentativa de intrusão impedindo que ela atinja seus objetivos e minimizando os possíveis danos”. (CALETTI, 2007). Como pode ser observado, os IPS são sistemas mais evoluídos em relação aos IDS, que tem por ob jetivo proteger os sistemas informatizados contra in trusões, trabalhando ativamente e agregando a função de contraataque ante essas investidas. Esse sistema ainda pode ser composto por softwares, instalados em computadores, ou equipamentos de hardware, destinados exclusivamente a esta função. 22 IIDDSS XX IIPPSS Fazse importante ressaltar que muitas vezes os conceitos sobre os IDS e IPS se confundem, confor me observado por Ortega (2009), que salienta: “Hoje normalmente o mesmo equipamento pode atuar como IPS ou IDS, dependendo apenas da configuração aplicada e como ele está conectado à rede”. Este convergência entre os sistemas ocorre, como explicado, porque um mesmo equipamento ou siste ma pode agregar ambas as funções, tanto de monito ramento/detecção quanto a de prevenção/bloqueio, já outros, menos evoluídos podem atuar apenas na de tecção de intrusões, não possuindo capacidade de to mar decisões de bloqueio contra as investidas na rede. Portanto, para deixar bem explicado, o que re almente difereum sistema de prevenção (IPS) de um sistema de detecção (IDS) é como este está configu rado. Se o sistema em questão está configurado para tomar a decisão de barrar uma tentativa de acesso, esse por sua vez será um IPS. A imagem abaixo (Figura 1), ajudanos a enten dermos melhor a diferença entre os sistemas: |16 Si st em a s d e D et ec çã o e P ro te çã o C o n tr a In va - sõ es a A m b ie n te s in fo rm a ti za d o s – ID S e IP S 2ª PARTE Abril 2013 • segurancadigital.info Como pode ser observado, o sistema IDS, repre sentado pela linha vermelha, possui apenas uma in terface conectada ao segmento de rede. Nesta conexão, todo o trafego de rede deve passar por ele, permitindo assim que este monitoreo no perímetro da empresa. Já o IPS, caracterizado pela linha verde, possui duas interfaces, ou seja, o trafego passa por dentro ele, permitindo assim que eventuais anomalias sejam barradas. 33 –– IIPPSS ttrraabbaallhhaannddoo eemm HHoossttss oouu nnaa RReeddee Semelhante ao que acontece aos IDS e indo de en contro ao difundido por Caletti (2007), os Sistemas IPS podem ser divididos em dois grupos: IPS basea dos em Host (HIPS) e baseados em redes (NIPS). 33..11 HHIIPPSS ((HHoosstt IInnttrruussiioonn PPrreevveennttiioonn SSyysstteemm)) O HIPS é um Sistema de prevenção em formato de software residente em um componente especifico, como um servidor ou mesmo uma estação de traba lho e, segundo Caletti (2007), ele inspeciona o trafe go que passa por esse agente, monitorando o comportamento de aplicações e Sistemas Operacio nais em busca de sinais de ataques. Quando uma tentativa de ataque é então detectada, o HIPS tenta bloqueála e impedir o comprometi mento do sistema. Essa ferramenta portanto pode ser considerada uma camada a mais de segurança em sis temas críticos, como servidores WEB ou de arquivos, trabalhando inclusive em conjunto com antivírus e fi rewalls, aumento assim o teor de segurança disponi bilizado a esse ambiente. 33..22 NNIIPPSS ((NNeettwwoorrkk IInnttrruussiioonn PPrreevveennttii oonn SSyysstteemm)) Já o NIPS é responsável por controlar um seg mento de rede que se deseja proteger. Este pode ser um hardware dedicado a essa tarefa ou um software instalado em um computador. Ainda continuando com o relatado por Caletti (2007), todo o trafego entre o segmento protegido e os demais setores da rede deve passar obrigatoria mente pelo NIPS. Esse trafego é então inspecionado a procura de anomalias (ataques) e caso estas sejam detectadas o NIPS tenta bloqueálas em tempo real, prevenindo ataques criptografados desconhecidos e de DOS. Os NIPS controlam então uma porção mais ampla da infraestrutura organizacional, possibilitando a proteção de um ambiente corporativo inteiro: servi dores, desktops e até mesmo dispositivos de rede, como routers e switchs. Muitas empresas, para aumentar sua gama de se gurança contra invasões, adotam o que chamamos de IPS Hibrido, que consiste na utilização conjunta dos dois formatos de IPS apresentados acima. 44 FFoorrmmaass ddee ddeetteeccççããoo ddooss IIPPSS 44..11 DDeetteeccççããoo ppoorr AAssssiinnaattuurraass A “Detecção por Assinaturas” consiste em inserir nos sistemas IPS assinaturas de ameaças conhecidas. Nóbrega (2009) explica que os fabricantes utilizam “honeypots1” para conseguirem capturar códigos maliciosos. Esses códigos então são analisados e criase assinaturas para cada ameaça identificada worm, trojan ou qualquer outro malware . Após esse processo, os fabricantes repassam as atualizações a seus equipamentos, para que esses possam se defen der de tais ameaças. 1 Vide leitura complementar ARTIGO Segurança Digital |17 FFrraaggiilliiddaaddee ddaa DDeetteeccççããoo ppoorr AAssssiinnaattuurraa Nóbrega (2009) porém ressalta algumas falhas nesse sistema. O sistema é vulnerável a ataques não identificados ainda pelos fabricantes e tam bém vulnerável a um tipo de ataque bastante utili zado na atualidade, o ataque de DOS (Denial of Service) e DDOS (Distribued Denial of Service), pois como esses ataques não geram assinaturas, os sistemas não sabem o que fazer quando se depa • Figura 1 Diferença entre IPS e IDS. Fonte: http://migre.me/dJnKJ Abril 2013 • segurancadigital.info 44..22 DDeeffiinniiççããoo ddoo LLiimmiittee ddee TTrraaffeeggoo Como forma de atenuar a fragilidade oriunda de ataques de DOS, os fabricantes incluem uma funcio nalidade no IPS que consiste em se definir o limite de trafego que a rede pode aceitar, evitando com isso que os sistemas parem de operar por uma inundação proveniente das investidas dos agressores. Segundo Nóbrega (2009), na eventualidade de um ataque de negação de serviço, o sistema simplesmente devolve o tráfego, impedindoo de causar algum estrago a es trutura computacional. 44..33 IIddeennttiiffiiccaaççããoo ddee CCoommppoorrttaammeennttoo SSuus s ppeeiittoo oouu AAnnoommaalliiaass Os sistemas baseados em comportamento suspeito criam um mapa da rede e dos equipamentos ligados a ela e em seguida, de acordo com Nóbrega (2009), utilizam conjuntos de regras para que, de um modo dinâmico, consigam bloquear as intrusões. Nóbrega (2009) finaliza ressaltando a vantagem desse sistema, concluindo que estes: “podem reagir mais depressa a ataques desconhecidos””. (NÓBREGA, 2009). Já Caletti (2009, apud Carvalho, 2005) ressalta que a detecção baseada em anomalias, também cha mada de BehaviorBased Intrusion Detection, enten de que cada usuário possui um perfil de utilização de recursos e o sistema tenta então detectar desvios nes ses padrões afim de identificar possíveis ataques. A maior parte dos fabricantes disponibiliza estes 03 tipos de sistema de prevenção, que, como vimos, devem trabalhar em conjunto para aumentar o grau de proteção dos dispositivos informatizados. 55 UUTTMM –– AA eevvoolluuççããoo ddoo IIPPSS Os sistemas de Informação em geral vão evoluin do com o passar do tempo e os sistemas de proteção devem acompanhar essas mudanças. Com base nes ses preceitos, os IPS devem sofrer algumas modifi cações e migrarem para o que os especialistas chama de UTM (Unified Threat Management) ou Gerencia mento de Ameaças unificado. Esses são sistemas que combinam funcionalidades de Firewall, VPN, antiví rus, filtros de conteúdo e ainda os serviços de IPS num único serviços. Mas Nóbrega (2009), chama a atenção para o fato da difícil gestão dessa integração de soluções, afirmando que não será fácil gerencia la, reduzindo seu uso a pequenas e médias empresa. Nas grandes corporações, onde os sistemas são mais complexos, devem prevalecer, pelo mesmo por en quanto, os IPS. Um exemplo de soluções UTM já disponíveis é a TMG (Threat Management Gateway) da Microsoft. Solução destinada a servidores Windows que engloba vários serviços de proteção em um único produto. 66 –– AAllgguummaass SSoolluuççõõeess IIPPSS ddiissppoonníívveeiiss Seguindo a linha de desenvolvimento da primeira parte da matéria, segue uma descrição de algumas soluções IPS disponíveis no mercado. Vale lembrar que essa é uma opinião pessoal, pois existem inúme ros outros produtos de grande qualidade e que podem ser usados sem problema algum. Cisco Conceituada fabricante de equipamentos de Networking, possui uma poderosa linha de siste mas de defesa contra Invasões denominada ASA. Es sa linha é baseada em equipamentos de hardware dedicados a função de IPS. MCafee Conhecida fornecedora de soluções de segurança, a empresa disponibiliza diversas soluções ARTIGO Segurança Digital |18 ram com tal ameaça. Para mitigar essas vulnerabilidades, os fabri cantes de soluções IPS trabalham ainda com ou tras duas formas de detecção de ameaças, são elas: Definição do Limite de trafego e Identificação de comportamento suspeito ou anomalias. LLeeiittuurraa ccoommpplleemmeennttaarr OO qquuee ssããoo HHoo nneeyyppoottss?? Honeypots, ou potes de mel, são equipamentos de rede destinados especificamente a serem explo rados e atacados, servindo como isca para os atacantes, conseguindo com isso coletar informação sobre esses ataques, contribuindo para criação de defesas contra as intrusões aos sistemas informati zados. Ainda podemos ter as Honeynets, que são um conjunto de honeypots preparados para os mesmos fins. Muitas instituições investem na análise de ata ques através das Honeynets, como a CERT.rs e muitas outras. Havia também um projeto bem in teressante de pesquisa denominado Honeynet.BR, mantido pelo curso de Ciências da Computação do INPE, mas o mesmo foi desativado em meados de 2008. Mais Informações: http://www.honeynet.org.br/ http://www.certrs.tche.br/index.php/honeypots Abril 2013 • segurancadigital.info baseadas em hardware e também em software que unificam soluções para uma boa proteção contra as tentativas de intrusões. Symantec A empresa, que desenvolve a suíte de segurança Norton, apresenta a Symantec Critical System Protection, uma solução de HIDS e NIPS ba seada em software muito bem desenvolvia e robusta que visa proteger servidores, desktops e notebooks. Ainda temos as soluções Open Source: Suricata Solução baseada em software distri buída pela OISF. Para quem ainda não está a par, o OISF é um grupo formado por inúmeras empresas de segurança da informação americanas e pelo Departa mento de Segurança Interna dos EUA (DHS), fato es te que dá grande credibilidade ao projeto. SmoothSec Uma solução que merece destaque, pois surgiu da união dos já reconhecidos Snorby e Suricata (já citado acima). A solução promete bastan te robustez e desempenho. Mais informações podem ser obtidas diretamente nos sites do fabricantes: Cisco [link 1] MCafee [link 2] Symantec [link 3] Suricata [link 4] SmoothSec [link 5] 77 CCoonncclluussããoo Os conhecimentos difundidos nas duas reporta gens sobre os sistemas de detecção e de prevenção de intrusões, IDS e IPS respectivamente, tiveram por objetivo apresentar ao leitor essas soluções de segu rança que são amplamente utilizadas, principalmente no universo corporativo, pois, com o grande avanço da digitalização das informações, garantir a seguran ça dos sistemas que as processam e armazenam é um fator primordial para sobrevivência de qualquer em presa. Espero que as informações apresentadas possam constituir fonte de pesquisa e consigam gerar novos debates sobre as questões de segurança para as infor mações, pois acredito que somente com a troca de experiências será possível avançar no sentido de um mundo digital mais seguro e confiável. Gostaria de concluir apresentando uma questão que sempre chega até mim quando debato os assun tos acima descritos. Porque adotar um sistema IDS e não um IPS? Acredito que a resposta, apesar de muito contro versa, resida em dois fatores chaves: o fato de muitas empresas não investirem como deveriam no setor de Tecnologia da Informação (TI) e as dificuldades que um sistema de proteção mal configurado pode causar para as empresas. Vamos analisar ambas situações então: Primeiro ponto: Como alguns autores reforçam, como Nóbrega (2009), a configuração adequada de um sistema IPS é um tanto quanto complicada, de mandando mão de obre muito especializada. Com is so a implantação de tal sistema de forma adequada vem a encarecer consideravelmente a quantia desti nada a área da Segurança da Informação pela empre sa. Quantia essa nem sempre disponível para os gestores de segurança da informação, que se vêm en tão obrigados a adotar soluções menos modernas e de mais baixo custo. O segundo ponto é o valor das soluções. Um sis tema IDS, que consiste num produto bem mais aces sível financeiramente podem rodar em equipamentos bem mais modestos e já obsoletos do ponto de vista da inovação tecnológica. Já os IPS, que necessitam de equipamentos mais modernos e caros, acabam tendo seu emprego postergado para um futuro dis tante. O último ponto a se analisar no meu portfólio de probabilidades consiste no fato de que um sistema de prevenção mal configurado pode gerar inúmeros fal sospositivos, barrando consequentemente tentativas legitimas de acesso à rede, bloqueando usuários que necessitam acessar os serviços, tornandose um en trave para o bom funcionamento do ambiente infor matizado. Considero estes os pontos chaves que devem ser analisados na escolha de uma ou outra solução de proteção. Observase que estes estão relacionados com os fatores que aludi. Entretanto, como citei, es ses fatos ainda são controversos e carecem de maior pesquisa para serem comprovados. Espero, apesar de tudo, ainda ter conseguido di fundir de forma clara esses conceitos e ter colabora do com a difusão de boas informações para os leitores, leitores estes que já considero uma parte di ferenciada da sociedade, pois escolheram ler as re portagens dessa revista, que aborda assuntos de segurança e boas práticas digitais, em contrapartida à inúmeros outros assuntos, assuntos até mesmo mais chamativos e de destaque nos dias de hoje. ARTIGO Segurança Digital |19 Abril 2013 • segurancadigital.info ARTIGO Segurança Digital |20 RReeffeerrêênncciiaass BRANCO, R. R. IPS na intimidade. 2009. Disponível em <http://www.linuxnewmedia.com.br/images/uploads/pdf_aberto/LM_56_66_71_05_seg_ips.pdf.> Acesso em 28 de Dez. de 2012. CALETTI, M. IPS (INTRUSION PREVENTION SYSTEM) Um Estudo Teórico e Experimental. 2007. Disponível em <http://tconline.feevale.br/tc/files/0001_1010.pdf>. Acesso em 05 de Dez. de 2012. CERTRS. Honeypots 2012. Disponível em <http://www.certrs.tche.br/index.php/honeypots> Acesso em 19 de Dez. de 2012. Microsoft. Forefront Threat Management Gateway (TMG). 2010. Disponível em <http://technet.microsoft.com/ptbr/library/ff355324.aspx.>. Acesso 05 de Dez. de 2012. NÓBREGA, J. Intrusion Prevention Systems. 2009, Disponível em http://www.computerworld.com.pt/2009/05/13/intrusionpreventionsystems/. Acesso em 10 de Nov. de 2012. ORTEGA, A. Conceitos sobre IPS/IDS (Parte 1). 2009. Disponível em <http://www.brainwork.com.br/blog/2009/05/07/conceitossobreipsidsparte1/> Acesso em 28 de Nov. de 2012. Davies Nassaro Técnico em Telecomunicações e Infor mática, Licenciado em Computação e Especialista em Segurança de Redes de Computadores. Atualmente trabalha co mo Administrador de Redes de Compu tadores e presta consultoria a diversas empresas sobre questões de segurança da informação e assuntos tecnológicos. Email: dnassaro@gmail.com Blog: www.invasaoproibida.wordpress.com Twitter: @invasaoproibida Abril 2013 • segurancadigital.info RReessuummoo Tratase uma abordagem a respeito dos aspectos intrusivos exploração de vulnerabilidades e princi pais ataques, em Redes de Sensores Sem Fio (RS SFs). Apresenta componentes, conceitos e aspectos operacionais dos principais vulnerabilidades e ata ques nesses tipos de redes. Mostra como os sensores operam, processam e transmitem informações base ados nos processos de tomadas de decisão, de acor do com regiões de processamento, e como esta comunicação pode sofrer interceptações e/ou inter rupções, onde serão abordados os principais aspec tos intrusivos em nós sensores distribuídos e dispostos em rede comunicandose entre si. Palavras Chave: Sensores, RSSF, Vulnerabilida des, Ataques, Segurança. II IInnttrroodduuççããoo Os ataques a RSSFs podem ser divididos em pas sivos ou ativos (FERNANDES, 2005). Os ataques passivos não afetam a operação da rede, sendo ca racterizados pela espionagem dos dados sem alterá los. Por outro lado, os ataques ativos são aqueles em que o atacante cria, altera, descarta ou inviabili za o uso de pacotes em trânsito. Os ataques ativos são os mais numerosos, podendo atuar em diferen tes camadas do modelo OSI, como já tratado anteri ormente. Os atacantes podem ser classificados como in ternos ou externos. Atacantes internos são aqueles que conseguem de alguma forma se passar por membros da mesma, enquanto que os externos são aqueles que influenciam, mas não participam da re de. De fato, a eficiência e as possibilidades de ataques variam de acordo com o acesso que o intruso tem à rede. Se de alguma forma ele conseguir obter chaves ou for incluído na lista de vizinhos válidos, se passando a ser um atacante interno, poderá cau sar mais problemas. IIII EExxpplloorraaççããoo ddee VVuullnneerraabbiilliiddaaddeess ee PPrriinncciippaaiiss AAttaaqquueess eemm RRSSSSFF Muitas das vulnerabilidades das RSSF existem devido à comunicação sem fio e o fato de que os nós sensores ficam em locais sem segurança física ou não são monitorados. As principais vulnerabilidades relacionadas à ca mada física do modelo OSI incluem a interferência do sinal de comunicação transmitido, e o dano de nós sensores. A interferência do sinal de comunica ção transmitido por um nó (signal jamming) ocorre quando um nó intruso gera sinais aleatórios para impedir que a comunicação entre os nós da RSSF |21 R ed es D e Se n so re s Se m F io Redes De Sensores Sem Fio Ii As Exploração De Vulnerabilidades E Principais Ataques Abril 2013 • segurancadigital.info ocorra corretamente. Uma maneira de evitar este ti po de interferência com as frequências em uso é através do uso de espalhamento espectral para a co dificação dos sinais. Porém, os rádios com suporte a codificação por espalhamento espectral são mais complexos, mais caros e consomem mais energia, o que pode inviabilizar seu uso em RSSF. Outra vulnerabilidade física é oriunda do fato dos nós sensores ficarem em locais sem segurança física ou não monitorados, e contempla formas de node tampering. Um intruso poderia danificar um nó sensor, de modo que este não efetuaria as suas funções de coleta de dados e/ou roteamento, preju dicando o funcionamento da aplicação sendo execu tada pela RSSF. Ainda, o nó poderia ser substituído por um nó malicioso para gerar ataques a rede ou obter informações sendo transmitidas. Uma terceira possibilidade é que as informações armazenadas em um nó sensor capturado sejam extraídas, permitindo a um atacante obter chaves de criptografia ou auten ticação. Para evitar que esta vulnerabilidade seja ex plorada são necessários circuitos ou mecanismos para proteção dos dados, capas de proteção ou se los. Já as vulnerabilidades na camada de rede provêm de problemas associados ao roteamento de dados, uma vez que, em RSSF, todos os nós são roteadores. A forma mais direta de ataque a um protocolo de ro teamento é alterar, repetir ou falsificar (spoof) paco tes de controle do mesmo, de forma a criar loops, desvios, buracos negros ou partições. Dentre os principais ataques em RSSFs, podemos enumerar: 22..11 OO AAttaaqquuee ddee SSppooooffiinngg oouu ddee MMiissddii rreeccttiioonn ((DDiirreecciioonnaammeennttoo FFaallssoo)) Tendo como alvo os pacotes de controle respon sáveis pelas informações de tabelas de rota, esse ti po de ataque ocorre quando um nó malicioso modifica ou repete informações no roteamento da rede, a fim de causar loops, atrair ou repelir tráfego, gerar mensagens e erro de rotas falsas, dividir a re de, dentre outros danos. Isto faz com que a informa ção nunca chegue ao destino e passe sempre pelos mesmos nodos, que gastarão muita energia para en viar e recebêla. O direcionamento falso consiste na fabricação de pacotes visando gerar negação de serviço para um determinado nó. Assim, são enviadas informações falsas de modo a direcionar tráfego para uma deter minada região que se deseja atacar. Na versão da Internet desse ataque, conhecida como “Ataque Smurf”, o atacante forja pacotes echo, colocando como emissor o nó vítima que irá receber inúmeros echobacks. Esse ataque pode ser realizado por me canismos além do uso de echos. Há casos onde o atacante pode responder às requisições de rotas com caminhos falsos que incluem o nó que se deseja atacar. A Figura 1, a seguir, ilustra este tipo de ata que onde o nó malicioso se passa por um sorvedou ro, fazendo com que as informações da rede passem por ele. 22..22 OO AAttaaqquuee ddee BBllaacckk HHoollee oouu ddee EEnn ccaammiinnhhaammeennttooss SSeelleettiivvooss Este tipo de ataque consiste em prejudicar o fun cionamento colaborativo da rede, quando um nó malicioso se recusa a fazer encaminhamento de pa cotes, descartandoos. Isto faz com que a rede fun cione de forma não colaborativa e pode ocorrer devido o fato da transmissão da informação ser do tipo salto a salto (hoptohop), em que cada nó deve encaminhar os pacotes que vem de seus vizinhos. Desta forma, um nó malicioso pode funcionar como um buraco negro (black hole), não encaminhando os dados recebidos independente de quem os recebeu. Uma das características principais das redes de sensores é a confiança nos vizinhos para o encami nhamento de dados. No entanto, um vizinho malici oso pode encaminhar apenas alguns pacotes. Neste caso não se deseja prejudicar todos os nós, ou uma determinada área da rede. O nodo malicioso pode escolher não passar algumas ou todas as mensagens pra um determinado nó alvo, ou pode optar por não passar as mensagens de roteamento, ou impedir a ARTIGO Segurança Digital |22 Figura 1Ataque de Spoofing (ARAÚJO, 2004). Abril 2013 • segurancadigital.info transmissão de pacotes a fim de impedir o funciona mento da aplicação. Um tipo especial de encaminhamento seletivo é chamado de “egoísmo”, no qual o nó não encami nha nenhuma mensagem dos vizinhos, o fazendo apenas com as suas. Este tipo de encaminhamento nem sempre é um ataque, podendo ser uma escolha de um nó por um comportamento não cooperativo. Tal decisão pode ser tomada, por exemplo, em mo mentos nos quais o sensor deseja se poupar, ou seja, economizar seus recursos. Esse ataque é de difícil detecção, pois nós com pouca energia e perdas de pacotes normais podem gerar um quadro muito semelhante e, dependendo da posição do atacante, ainda pode ser customizado e realizado apenas sobre rotas selecionadas e vir a ser mais crítico caso o nodo malicioso esteja dentro da principal rota de transmissão de dados, sendo mais eficiente quando o NS que realiza o ataque es tá na rota principal de fluxo de dados, já que, dessa forma, mais tráfego passará por ele, o que pode acarretar em danos destrutivos para a rede, impedin do seu funcionamento. Uma segunda consequência do buraco negro é que, como ele atrai muito tráfego em sua direção, ele acaba consumindo os recursos dos nós à sua vol ta, tanto com relação ao meio, que fica excessiva mente ocupado, assim como em relação aos recursos dos sensores. No caso de exaustão desses nodos, o resultado pode particionar a rede. Outra forma crítica de danos seria se um nó mali cioso utilizasse métricas de escolha de rotas basea das na justiça, onde um nó que não encaminha os pacotes que recebe se aproveita mais da rede do que contribui, para tanto o número de pacotes que seri am direcionados a ele seria cada vez maior. Assim sendo, com o fluxo contínuo de tráfego, os pacotes não seriam mais encaminhados a ele, pelo fato deste nó não dar continuidade na transmissão de pacotes, o que poderia representar um defeito nele ou, atra vés de algum mecanismo de detecção de intrusão, representaria uma anomalia. Mas devese ressaltar que, como já dito, mecanismos de IDS ainda estão distantes do cenário das redes de sensores. A solução mais simples para os ataques de des carte de pacotes é a utilização de múltiplas rotas. Outros métodos que ajudam a detectar e prevenir esse comportamento são a investigação e a autoriza ção. A Figura 2 esquematiza esse ataque. 22..33 OO AAttaaqquuee ddee SSoorrvveeddoouurroo oouu DDeettoouurr ((DDeessvviioo)) Este ataque acontece quando há um desvio de pacotes para nós maliciosos. Os NS vizinhos ou os próprios nós podem manipular os dados e fazer mo dificações. Essa vulnerabilidade ocorre pelo fato de os adversários alterarem as mensagens de rotea mento. Isto faz com que um nó se torne útil aos seus vizinhos fazendo parte de suas rotas, podendo atin gir outros nós por meio de inundações da rede atra vés de rotas falsas. Se a métrica utilizada na rede for onúmero de saltos, um computador mais poderoso e com maior potência de transmissão pode indicar saltos ao des tino (uma Estação Rádio Base ERB, por exemplo) e atrair todo o tráfego para si. Em RSSFs esse tipo de ataque é mais crítico, pois na maioria das vezes o destino de todos os nós é o nó sorvedouro. A Figura 3 ilustra esse ataque. 22..44 AAttaaqquueess ddee SSyybbiill O ataque Sybil se baseia no fato de que é pratica ARTIGO Segurança Digital |23 Figura 2Ataque de Encaminhamentos Seletivos (ARAÚJO, 2004). Figura 3 Ataque de Desvio (Adaptado de LAW, 2002). Abril 2013 • segurancadigital.info ARTIGO Segurança Digital |24 mente impossível, em sistemas computacionais dis tribuídos, que nós não conhecidos apresentem identi dades distintas convincentes. Sem a existência de um ponto central para controlar a associação de uma identidade a uma entidade é sempre possível para uma entidade desconhecida apresentar múltiplas identidades. Assim, este ataque acontece quando um único hardware assume múltiplas identidades em uma RSSF (FERNANDES, 2005). Alguns sistemas utilizam redundâncias de rotas, a fim de prevenir possíveis ameaças, caso alguma seja afetada. Neste ataque um nó pode apresentar diversas identidades e se fazer passar por outros nós, o que o possibilita controlar parte da rede, já que, com múlti plas identificações, passa a ter conhecimento de di versas rotas. Desta forma, os NS afetados acham que um sensor malicioso, que esteja aplicando esse tipo de ataque, representa um nodo isolado, quando não é. Para DOUCEUR (2002), quanto maior o poder do nó mais efetivo pode ser o seu ataque pelo fato de sua área de influência ser aumentada. Uma maneira de defesa a este tipo de ataque é a introdução de um ou mais sensores confiáveis que façam o papel de agência certificadora de identidades dos nós. Um sensor só é considerado malicioso se cometer diversas ações consideradas ruins ou se cometer uma grande ação ruim. Assim, duas estratégias podem ser utilizadas: o Espalhamento de “Culpa” e a Identidade Única. Na primeira o nó Sybil utiliza cada uma de suas identidades para fazer pequenas ações ruins, de forma que nenhuma delas possa ser considerada ma liciosa. Na segunda o nó Sybil utiliza apenas uma identidade para realizar uma ou mais ações ruins até esta ser expulsa classificada como maliciosa, e quan do isso acontece o nó gera uma nova identidade e a usa para continuar atacando. Este ataque tem grande importância por muitos ambientes utilizarem sistemas de réplicas de dados armazenados, para ter garantia contra violação de in tegridade, e sistemas de fragmentação de tarefas, pa ra impedir a violação da privacidade. Em ambos os casos, a redundância, mecanismo explorado pelo ata que, é um ponto chave. Assim, devido ao nó malicio so assumir múltiplas personalidades, o sistema pode escolher o mesmo nodo para guardar todas as répli cas ou fragmentos, o que acaba com a segurança ad quirida pelo mecanismo. O Sybil pode ser utilizado para atacar não só ar mazenamentos distribuídos. Uma outra possibilidade que utiliza redundância é o roteamento com múlti plos percursos. Em geral, os protocolos que utilizam essa técnica buscam escolher caminhos disjuntos ou trançados para diminuir a possibilidade de existir um atacante na rota. O ataque Sybil pode ser feito de tal maneira a colocar uma identidade falsa em cada rota, de forma que todos os caminhos continuarão passan do pelo nó malicioso. Ainda no campo de roteamen to, outro possível problema que não tem relação com redundância é o ataque ao roteamento geográfico. Neste caso, o sensor malicioso anunciará sempre uma de suas identidades Sybil como o NS mais pró ximo ao destino, fazendo com que todos os pacotes de roteamento passem por ela. Outro ataque, ainda, possível é a utilização dos nós Sybils para falsificar resultados de votações na rede. Sempre que existir algum mecanismo coopera tivo para tomada de decisões no ambiente, o nó ma licioso pode gerar diversas identidades para votar sempre a seu favor. Outro ataque é a alocação injusta de recursos, que pode ocorrer em redes que fazem divisão temporal para acesso ao meio. Neste caso, o nó malicioso uti liza todas as suas identidades falsas para obter um maior tempo de acesso. Por fim, uma outra utilização para os nós Sybils acontece em redes que utilizam mecanismos de con fiabilidade. Em tais redes, a “índole” do nó é dada por suas ações. ARAÚJO (2004) generaliza e detalha este ataque da seguinte maneira: um nodo malicioso ‘A’ apresen ta várias identidades que não existem (‘A1’, ‘A2’ e ‘A3’), e faz com que o nodo ‘B’ pense que o próximo nodo do roteamento é o nodo ‘A1’, logo o nodo ‘B’ nunca vai conseguir enviar uma mensagem para ‘A1’, pois ele não existe, consequentemente não vai enviar mensagens para o nodo real ‘C’. A Figura 4 abaixo demonstra esse ataque. Figura 4 Ataque Sybil (ARAÚJO, 2004). Abril 2013 • segurancadigital.info 22..55 OO AAttaaqquuee ddee WWoorrmmhhoolleess ((TTúúnneell ddee MMiinnhhooccaa)) Wormholes são túneis criados por invasores. As mensagens que entram nestes túneis são propagadas pela rede de uma parte a outra através de dois nós maliciosos que ficam nas extremidades do túnel. Pelo forjamento de métricas de roteamento, cada nó mali cioso repassará aos seus vizinhos que o wormhole é o melhor caminho para a transmissão de pacotes e fa zem com que o túnel seja a rota mais viável diante das outras. Essa transmissão pode ser feita por inun dação e quanto mais próxima do nó sorvedouro mais informação passará por dentro desse túnel. No ataque Wormhole, de forma mais detalhada, dois atacantes criam um canal de comunicação por um enlace de baixa latência através do qual irão tro car informações da rede replicandoas do outro lado do túnel, de forma a tornar excepcionalmente atrativo o enlace formado pelos dois. Assim, os nós malicio sos podem convencer os sensores da rede que eles podem se comunicar com determinado destino por apenas um salto, ao invés de utilizar os vários saltos que existem realmente entre o nó e o destino. Desta forma, o túnel falsamente caracteriza um canal segu ro e de baixa latência entre os dois nós maliciosos, permitindo que os nós vizinhos sejam incapazes de perceber que o ataque está sendo realizado. Uma forma simples de obter o resultado que um Wormhole produz é utilizar uma conexão por fio en tre os dois nós fazendo uma transmissão mais rápida que o encaminhamento por múltiplos saltos. Outra possibilidade seria a utilização de um enlace direcio nal sem fio de longa distância para conseguir maior velocidade que comunicações que normalmente utili zariam mais que um salto. Uma terceira forma seria utilizar um canal diferente do utilizado na comunica ção com uma potência de transmissão superior, o que também permitiria a maior velocidade sem que os vi zinhos notassem. Além disso, uma técnica que pode ser usada é o envio dos bits diretamente, sem aguar dar a chegada do pacote completo para começar a transmissão (HU, 2003). É interessante notar que, no caso do atacante construir o seu túnel de forma honesta e confiável, nenhum prejuízo direto é causado à rede. Pelo con trário, um serviço é prestado ao melhorar a eficiência da conexão do ambiente. No entanto, o ataque coloca os nós maliciosos em uma posição privilegiada, que os permite gerar, no momento que desejarem, diver sos tipos de prejuízos aos sensores como um todo. Ainda que a rede implemente autenticidade e con fiabilidade, ataques de Túneis de Minhoca ainda po dem ser realizados, pois, normalmente, o nó não precisa se autenticar para encaminhar um pacote. É importante observar que, para as camadas superiores, o ataque é invisível, e mesmo para a camada de rote amento, a princípio é complicado perceber a presen ça de um Wormhole. A Figura 5 ilustra o ataque deste tópico. 22..66 OO AAttaaqquuee ddee IInnuunnddaaççõõeess ddee HHeelllloo Pacotes de Hello são emitidos por protocolos de roteamento, entre nós vizinhos, para testar
Compartilhar