Segurança Digital_Deep Web

Prévia do material em texto

Abril 2013 • segurancadigital.info|02
L
ic
e
n
ç
a
O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao
mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a
fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem au­
torização prévia do responsável Fábio Jânio Lima Ferreira.
O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres­
sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma
versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa­
ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e
10.695.
Parágrafo que respalda esta revista:
§ 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de
obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou
consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen­
te.
Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza
por quebra de direitos autorais, por qualquer colaborador.
Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor
(quando disponível) e endereço do projeto.
Você não pode utilizar esta obra como fonte comercial. Este direito é de total
exclusividade do titular responsável por manter o site Segurança Digital.
VOCÊ PODE:
COMAS SEGUINTES CONDIÇÕES:
Copiar, distribuir, criar obras derivadas e exibir a obra.
Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra
obra com base nesta, você somente poderá distribuir a obra resultante sob uma
licença idêntica a esta.
"É o mundo que foi colocado diante dos seus olhos para que você
não visse a verdade" (Morpheus)
No filme Matrix, há uma cena onde o personagem Morpheus
confronta Neo com duas opções, representadas por pílulas, uma azul
e outra vermelha, onde uma terá que ser escolhida. A primeira (azul),
é o mundo online, que todos nós conhecemos e acessamos
diariamente ou várias vezes por dia.
Embora a internet seja uma grande rede de computadores
interligados em escala mundial ela é usada e alimentada por pessoas
e você, caro leitor, certamente é um internauta experiente que
domina com maestria a arte de “navegar” ou “surfar” online. Acessa
as redes sociais, envia e­mails, faz tudo aquilo que é possível.
Podemos então chegar a conclusão que você conhece a internet,
certo?
O mundo online é abastecido diariamente por informações criadas
e compartilhadas por pessoas. São vídeos, fotos, documentos,
emails, textos cuja quantidade cresce de forma exponencial. Já há
uma forte tendência de analisar esses dados e cruzá­los, para assim
obter ganhos usando essas informações. É o que chamamos de Big
Data.
Fazendo uma paralelo com a nossa vida “real”, existem muitas
ações que são realizadas fora dos holofotes por diversas razões, seja
por ser anti ético, perturbador, criminoso, nojento, ou simplesmente
porque tem que ser anônimo. O ser humano possui particularidades
muito específicas e infelizmente eu gostaria de acreditar que todos
são bonzinhos, mas isso não é verdade. No fundo, muitos tem as
suas perversões e precisam de alguma forma, satisfazê­las e até
mesmo compartilhá­las com aqueles que apreciam a mesma prática.
Há pessoas, talvez aquele seu vizinho, ou algum colega de
trabalho por mais simpático que seja, pode esconder um grande
segredo, ou alguma preferência oculta. Por isso temas como
pedofilia, venda de armas, tráfico de órgãos, assassinatos de aluguel,
entre outros, certamente tem que ficar escondidos do grande público,
especialmente por grandes buscadores, como o Google. E tal como
no mundo real, também existe online, mas não é possível ter acesso
a essa informação da forma convencional. Para isso, existe a Deep
Web.
E lá que toda a nossa natureza é mostrada, tudo aquilo que é
ruim, o que há de mais repugnante na humanidade. É uma viagem
sem volta, com conteúdo perturbador para alguns. O acesso é todo
criptografado por várias camadas, sendo muito díficil encontrar as
pessoas. Assim, mais uma vez, o anonimato permite que você faça e
diga muitas coisas que não faria no mundo “real”. A Deep Web é o
verdadeiro submundo da internet. Ela é a segunda opção, a pílula
vermelha.
Há ainda uma parte da DW que realmente possui conteúdo que
podemos chamar de “bom”. São vários artigos acadêmicos, de
muitas universidades de vários lugares do mundo, que estão lá,
simplesmente fora , escondidos, tais como tesouros que precisam ser
buscados. Portanto, a DeepWeb não é 100% “ruim”. É possível sim,
achar ótimos materiais de estudo sobre muitos assuntos relevantes.
A Revista Segurança Digital embarca contigo nesse mundo
desconhecido para a maioria das pessoas que usam a internet
diariamente. Você está preparado para conhecê­lo? Qual pílula você
vai escolher?
“Você tem que ver por si mesmo” (Morpheus)
Abril 2013 • segurancadigital.info|03
E
d
it
o
ri
a
l
DIRETOR E DIAGRAMADOR
Fábio Jânio Lima Ferreira
fabiojanio@segurancadigital.info
EDITORES­CHEFE
Luiz Felipe Ferreira
lfferreira@gmail.com
EDITOR DE ARTE
Hélio José Santiago Ferreira
COLUNISTAS
Deivison Pinheiro Franco
deivison.pfranco@gmail.com
Carla Danielle Dias de Oliveira
carladaniellevzp@gmail.com
Roberto Henrique
roberto@abctec.com.br
Deivison Pinheiro Franco
deivison.pfranco@gmail.com
Davies Nassaro
dnassaro@gmail.com
REVISÃO
Andressa Findeis
findeis.andressa@gmail.com
Mauro Júnior
maurompjunior@gmail.com
Raiana Pereira
raianagomes@yahoo.com.br
http://twitter.com/_SegDigital
www.facebook.com/segurancadigital
www.youtube.com/segurancadigital
www.segurancadigital.info
Parceiros
Abril 2013 • segurancadigital.info|04
Ín
d
ic
e
34 ­ Notícias
Fique informado quanto ao que acontece
no mundo virtual.
33 ­ Agenda TI
Confira o calendário dos profissionais
de TI
37
38
39
40
41
43
Hackeado por M@3_n@Tur35a
Sistemas de Detecção e Proteção Contra Invasões a
Ambientes infomratizados ­ IDS e IPS
Redes de Sensores Sem Fio
Engenharia social: um risco ou uma arte?
05
13
16
21
29
Deep Web ­ Mergulhando no Sub­mundo da
Internet
Artigo
4Linux
Brasport
HostDime
e­Safer
AbleSecurity
Clavis
Há um universo paralelo na internet onde a infor­
mação é inacessível para os mecanismos de busca co­
muns como o Google, por exemplo. O que
enxergamos equivale à superfície da internet que, de
acordo com especialistas, corresponde apenas a 4%
de toda a web.
A Deep Web é a camada da internet que não pode
ser acessada através de uma simples "googlada". Pois
bem, resolvi vasculhá­la para entender melhor esse
universo e ver o que é, o que tem de bom e, também,
o que tem de ruim.
Quando se diz que na internet é possível aprender
como construir bombas, comprar drogas e documen­
tos falsificados, entre outras coisas, geralmente é so­
bre a Deep Web que estão falando; assim como é lá
também que surgem organizações como Wikileaks e
Anonymous, e são essas pessoas que discutem a web
como um organismo livre e democrático. Portanto, é
uma via de duas mãos, em que a todo momento você
pode tropeçar numa pedrinha e cair do lado contrário.
A Deep Web é considerada a camada real da rede
mundial de computadores, comumente explicada em
analogia a um iceberg: a internet indexada, que pode
ser encontrada pelos sistemas de busca, seria apenas
a ponta superficial, a "surface web". Todo o resto é a
Deep Web ­ não à toa o nome que, em inglês, signifi­
ca algo como rede profunda. A figura 1 ilustra me­
lhor isso.
Como visto na Figura 1, a Deep Web é muito
maior do que a encontrada na superfície. Estima­se
que centenas de vezes maior. É o que está por trás
dos milhões de dados que a "Internet visível" nos
apresenta diariamente. De acordo com uma estimati­
va de algunsespecialistas em segurança, a Deep Web
é desconhecida para a maioria dos usuários da inter­
net.
|05 Abril 2013 • segurancadigital.info
D
ee
p
W
eb
–
M
er
g
u
lh
a
n
d
o
n
o
Su
b
-
m
u
n
d
o
d
a
In
te
rn
et
Fi
gu
ra
1
-
Su
rfa
ce
W
e
b
X
D
e
e
p
W
e
b.
Para aqueles que já ouviram falar dela, talvez haja
a ideia de um mundo paralelo. Mas a verdade é que a
Deep Web é apenas uma designação para tudo o que
é inacessível para os mecanismos de busca comuns,
que não podem acessar certos sites "escondidos".
Há uma política que se pode colocar em um site
para que os mecanismos de busca não examinem o
conteúdo do mesmo. Mas isso é apenas um acordo de
cavalheiros, se alguma empresa quiser indexar este
conteúdo, ela pode.
Outra parte do conteúdo indexado são os "jardins
murados" como o Facebook, por exemplo. Qualquer
conteúdo que as pessoas compartilham no Facebook,
em geral, só pode ser acessado com uma conta no Fa­
cebook. Às vezes, você precisa não só de negócios,
mas tem de ser autorizada pelo participante e receber
um link diretamente dele. Mesmo quando você postar
publicamente, embora não haja um link para que as
informações que podem ser acessadas quando al­
guém não está logado no Facebook, esse conteúdo
não é indexado pelo Google e outros mecanismos de
busca.
Os “jardins” são, por vezes, apenas “parcialmente
murados”: você pode fazer buscas e ver parcialmente
as informações, mas o restante apenas com a inscri­
ção, às vezes paga. Há muita controvérsia com uni­
versidades (instituições públicas, e também privadas)
que não fornecem seus artigos fora dos "jardins mu­
rados".
Para explicar melhor a Deep Web, pode­se compa­
rar as pesquisas na Internet como o arrastar de uma
rede em toda a superfície de um oceano: um grande
conteúdo pode ser apanhado, mas ainda há uma gama
de outras coisas que está nas profundezas e que não
capturadas, como mostrado na Figura 3.
SSuurrggiimmeennttoo
Em grande parte, a Deep Web existe, assim como
a própria internet, graças à força militar dos Estados
Unidos. Neste caso, graças ao Laboratório de Pes­
quisas da Marinha do país, que desenvolveu o The
Onion Routing para tratar de propostas de pesquisa,
design e análise de sistemas anônimos de comunica­
ção. A segunda geração desse projeto foi liberada pa­
ra uso não­governamental, apelidada de TOR e,
desde então, vem evoluindo.
Em 2006, o TOR deixou de ser um acrônimo de
The Onion Router para se transformar em ONG, a
Tor Project, uma rede de túneis escondidos na inter­
net em que todos ficam quase invisíveis. Onion, em
inglês, significa cebola, e é bem isso que a rede pare­
ce, porque às vezes é necessário atravessar várias ca­
madas para se chegar ao conteúdo desejado.
Grupos pró­liberdade de expressão são os maiores
defensores do Tor, já que pela rede Onion é possível
conversar anonimamente e, teoricamente, sem ser in­
terceptado, dando voz a todos, passando por quem
luta contra regimes ditatoriais, empregados insatis­
feitos, vítimas que queiram denunciar seus algozes. A
ONG já teve apoio da Electronic Frontier Foundati­
on, da Human Rights Watch e até da National Chris­
tian Foundation, mas também recebeu dinheiro de
empresas, como o Google, e de órgãos oficiais ­ o
governo dos EUA, aliás, é um dos principais investi­
dores.
Ao acessar um site normalmente, seu computador
se conecta a um servidor que consegue identificar o
IP; com o Tor isso não acontece, pois, antes que sua
requisição chegue ao servidor, entra em cena uma re­
de anônima de computadores que fazem pontes até o
site desejado. Por isso, é possível identificar o IP que
chegou ao destinatário, mas não a máquina anterior,
nem a anterior, nem a anterior etc. Também há servi­
ARTIGO Segurança Digital
|06
Figura 3 - O Mapa da Deep Web.
Figura 2 - Surface Web X Deep Web.
Abril 2013 • segurancadigital.info
ços de hospedagem e armazenagem invisíveis.
FFuunncciioonnaammeennttoo
A ideia original criada pelo pessoal da Marinha
Americana, era a de ocultar dentro de uma frota, qual
era a embarcação que emitia os comandos para o res­
to. Vamos explicar.
Imagine que você é o comandante de uma frota de
100 navios. Sendo o comandante, o navio que você
está é o mais importante da frota, pois é você quem
está ordenando todos os outros. É claro que você não
quer que o inimigo saiba qual é o seu navio, nem que
saibam quais navios recebem suas ordens, pois isso
arruinaria sua estratégia.
Então você diria: "criptografe o conteúdo das
mensagens, assim eles não terão como saber que mi­
nha transmissão é mais importante que a dos outros
navios".
Contudo, infelizmente o inimigo possui uma incrí­
vel tecnologia: ele não pode decriptar as mensagens
da sua frota, mas pode rastrear de onde todas as men­
sagens saem e para onde todas vão. Eles podem não
saber o que está sendo trafegado, mas eles têm tudo o
que eles precisam?
Por uns 10 minutos você acredita estar arrasando
na guerra, pois 1/4 dos navios inimigos foram des­
truídos. Então, o seu inimigo faz um único ataque.
Ele acerta o seu navio e você, confuso, pergunta:
"Como?".
Simples: eles foram capazes de perceber que seu
navio era quem mais enviava mensagens e que, cal­
culando o tempo de algumas mensagens e correlacio­
nando com os ataques, foi fácil descobrir quem
estava no comando. Então, bastou só um ataque.
Para evitar que isso acontecesse, a Marinha inven­
tou o conceito de uma "Rede Cebola". Agora, em vez
de enviar as ordens diretamente do ponto A para o
ponto B, as mesmas saltam randomicamente pela fro­
ta antes de alcançar seu destino. Por conta da cripto­
grafia, o inimigo não pode predizer a diferença entre
uma nova mensagem e uma mensagem retransmitida.
Todas parecem iguais. Da mesma forma, é difícil ras­
trear a partir do navio que fez o disparo de onde veio
a mensagem, pois o mesmo pode ter recebido e trans­
mitido várias mensagens entre o envio do comando
de tiro e o recebimento do mesmo. E mesmo que haja
espiões em alguns navios, somente o transmissor e o
receptor têm acesso à mensagem original, pois para
enviar uma mensagem de A até B, o navio coman­
dante irá criar uma rota aleatória entre os navios e
adicionará uma criptografia por cima de outra, para
cada navio da rota por onde a mensagem passará.
Nenhum navio entre A e B terá ciência da mensa­
gem. Somente A e B terão o conteúdo original. Para
cada salto entre A e B, uma camada de criptografia é
adicionada, cada uma com sua própria chave e, a
única informação real que um ponto possui é a de
para quem ele deverá enviar a mensagem que ele re­
cebeu.
Aí está a ideia da "cebola". Uma cebola possui
várias camadas, assim como a nossa mensagem sal­
tando de navio em navio. A cada navio, uma camada
é tirada. A Figura 4 ilustra o funcionamento do TOR.
CCaammaaddaass
Muitas são as teorias sobre as camadas da Deep,
mas pouco se sabe sobre sua verdadeira existência,
entre as pesquisas que realizei o melhor esquema que
encontrei foi esse. Ele retrata a internet de um modo
estruturado e de fácil compreensão. Portanto, a inter­
net divide­se dessa maneira:
ARTIGO Segurança Digital
|07
Figura 4 - Funcionamento do TOR.
Surface web: um lado mais "escuro" da web,
onde ficam sites incomuns, mas que ainda sim po­
de ser acessado facilmente;
Berigie web: último level de classe "baixa",
aqui se encontram sites de grupos fechados e que
utilizam proxy, Tor ou alguma ferramenta para
permitir o acesso;
Charter web: a famosa Deep Web, onde se uti­
liza o Tor para ter acesso, divide­se em duas par­
tes: a primeira são os sites comuns como Hidden
Wiki e HackBB, a segunda engloba os sites restri­
tos e de grupos fechados;
•
•
•
Abril 2013 • segurancadigital.info
Existe também a teoria de que ao invés de 05 ní­
veis, como representado acima, a Deep Web possui­
ria de 08 a 10 níveis, sendo esses extremamente
restritos e inomináveis, ou seja, por ser tão sigiloso
só existe por alguns momentos, e para algumas pes­
soas. Nós, usuários normais, não poderíamos aden­
trar sem sabermos onde ir, com que ir, e quando ir;
portantoessa fase se torna a fase das sub­redes. É aí
que a coisa fica confusa.
Veja um exemplo: Você já utilizou o Mirc (progra­
ma de bate papo antigo)? Nele existe a configuração
privada para evitar lag. Então você poderia, se outra
pessoa concordasse, vincular os ips formando uma
sub­rede dentro do próprio programa e tchau lag.
Mas tinha que ser uma pessoa de confiança, senão
seu computador já era.
O que eu quero dizer é que de uma forma muito
mais complexa funciona a Deep em suas camadas
mais profundas. São sub­redes alinhadas de maneira
estratégica, de modo a funcionar com quem somente
autorizar, for convidado ou conhece­las. Isso abre es­
paço para muitas coisas serem realizadas no obscuro.
A Deep Web pode ser acessada também por outros
programas, e cada um carrega elementos próprios;
portanto um navegador não abrirá páginas .onion e
assim por diante (não quero especificar muito). Sen­
do assim, todo navegador, tem suas distintas cama­
das. O Tor é sobressalente nesse aspecto, mas os
outros também possuem.
Espero que tenha sanado algumas dúvidas, e reco­
mendo que não entrem. Levem esse assunto como
curiosidade e estudo, para expandir o conhecimento,
somente.
CCoommoo CChheeggaarr LLáá
No site Tor Project [Link 1] você encontra ferra­
mentas pelas quais qualquer é possível ter contato
com a rede Onion, inclusive um compilado de pro­
dutos que inclui a versão portátil do Fiferox já confi­
gurada para o acesso anônimo e que sequer exige
instalação. Tanta preocupação com segurança faz
com que a navegação seja muito lenta; nós conversa­
mos com um programador que usa a rede e ele expli­
cou que isso ocorre principalmente por conta da
triangulação do acesso ­ às vezes ele manda um re­
quest para um desvio em outro país e redireciona pa­
ra o site.
É preciso cautela para se aventurar nesse mundo.
Em primeiro lugar, tenha em mente que os principais
caminhos estão em inglês, e é essencial compreender
exatamente o que está escrito antes de clicar num
link. Além disso, a Deep Web é feia, porque ninguém
ali está preocupado com o layout, então o inglês é
duas vezes mais importante, já que não há imagens
que te levem a entender o contexto. É tudo bem dire­
to.
Cabe ressaltar que alguns dos vírus mais arrojados
são testados na Deep Web, portanto, antivírus e fi­
rewall têm de ser bons e estar atualizados. Aqui na
redação nós usamos um netbook ligado a um modem
3G para poupar a nossa rede de eventuais problemas;
se você não tiver como fazer isso, a dica é criar uma
máquina virtual. Há, inclusive, uma versão do Linux,
a "Tails", feita especificamente para esse tipo de coi­
sa. As operações financeiras por lá não são feitas
com dinheiro ou cartão de crédito; a maioria dos sites
nem aceita opções como PayPal, é tudo em Bitcoin.
E há ainda um outro detalhe. O endereço do que
talvez seja o principal site por lá é
kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page
e não adianta tentar acessá­lo pelo navegador con­
vencional, ele precisa ter uma configuração específi­
ca (como a do Tor) para que o link abra. Trata­se da
Hidden Wikki, uma espécie de indicador de sites com
cara de Wikipédia que te ajuda a navegar por tema.
As URLs são decodificadas dessa maneira e algumas
páginas mudam constantemente para não serem
achadas, enquanto outras dependem de informações
ARTIGO Segurança Digital
|08
Marianas web: o divisor de águas entra a Deep
Web "falsa" e a legítima web oculta, aqui se en­
contram pessoas com um conhecimento mais
avançado em computação, verdadeiros hackers,
crackers, bankers, a partir desse ponto a coisa fica
mais tensa. Há algumas teorias que dizem que ela
se divide em mais três levels, que seriam:
•
Level 1: vídeos e documentos governamen­
tais, sendo uma rede fortemente criptografada e
segura;
Level 2: aqui se encontram pessoas que dis­
putam o controle sobre o nível 8. Bilhões de dó­
lares são negociados e tratados.
Level 3: basicamente onde há o controle tec­
nológico global, há documentos relacionados
com computação quântica, grandes elite hac­
kers, que obviamente não são nem comentados
nas mídias andam por aqui, o foco é poder e di­
nheiro, neste level encontra­se o que quer e o
que não quer.
•
•
•
Abril 2013 • segurancadigital.info
específicas para se modificar e, assim, conceder aces­
so ao que realmente importa ali.
A maioria dos sites tem o .onion no meio por con­
ta do Tor, mas há scripts que configuram o navegador
para que ele abra outras extensões, afinal, essa não é
a única forma de driblar o monitoramento da surface
web. No ano passado, por exemplo, quatro pesquisa­
dores das universidades de Michigan e Waterloo cria­
ram o Telex, que permite acesso a páginas
bloqueadas, embora a tecnologia dependa de aprova­
ção do governo ou provedor para funcionar. Uma al­
ternativa é a Freenet, uma plataforma pela qual se
pode compartilhar arquivos, navegar e publicar "free­
sites" ­ estes, assim como os .onion, só são acessíveis
com o programa específico.
SSiitteess ddee BBuussccaa nnaa DDeeeepp WWeebb
Antes de mais nada é preciso saber que os navega­
dores comuns, como o Chrome o Firefox, IE e etc,
não são capazes de acessar a maioria dos sites da De­
ep Web, é preciso baixar o navegador TOR
(https://www.torproject.org), isso porque os sites são
criptografados e somente o TOR é capaz de quebrar a
criptografia, além de manter o usuário no anonimato
(nem tanto).
Dito isso, e ciente dos riscos que está correndo ao
navegar na Deep Web, você está preparado para co­
meçar a navegar na Deep Web, desde é claro que sai­
ba como procurar as coisas por lá.
Eis alguns mecanismos de buscas utilizados para
encontrar sites na Deep Web. Não se esqueça. o TOR
é pesado e demora para acessar os sites, afinal, eles
estão criptografados.
HHiiddddeenn WWiikkii::
O mais famoso buscador da Deep Web. Na verda­
de ele apenas indica links de acordo com os assuntos,
e é nele que se encontra as porcarias mais sórdidas e
podres da Depp Web. Mas Também tem muito site
cultural por lá. Recentemente sofreram um ataque
dos Anonymous por causa do compartilhamento de
links de sites de pedofilia. Para acessar a Hidden Wi­
ki, basta digitar no seu TOR o endereço [link 2] e fa­
zer suas buscas. A Figura 5 mostra a “cara” da
Hidden Wiki.
Agora vamos aos Sites de buscas mais decentes e im­
portantes:
IInnffooMMiinnee
Esse buscador foi construído por um grupo de bi­
bliotecas Norte Americanas entre elas University of
California, Wake Forest University, California State
University, and the University of Detroit. Dentre as
muitas coisa que se pode pesquisar no Infomine estão
informações de bancos de dados, periódicos eletrô­
nicos, livros eletrônicos, boletins, listas de discussão,
catálogos de bibliotecas on­line, artigos, diretórios de
pesquisadores, e muitos outros recursos.
Endereço: http://infomine.ucr.edu/
TThhee WWWWWW VViirrttuuaall LLiibbrraarryy
É o mais antigo catálogo WEB e foi desenvolvido
por alunos de Tim Berners­Lee, o próprio criador da
WEB. Para usar pode se inserir o termo na caixa de
pesquisa ou simplesmente clicar no menu vertical.
Endereço: http://vlib.org/
IInnttuuttee
Embora esteja centrado no Reino Unido, o Intute
envolve as Universidades mais feras da Inglaterra, e
sua navegação pode ser feita tanto por assunto quan­
to por palavras chaves para assuntos acadêmicos co­
mo Agronomia, medicina, engenharia etc. Conta com
ajuda On­line e tem mais de 60 tutoriais ensinando
habilidades efetivas de buscas na Internet.
Endereço: http://www.intute.ac.uk/
CCoommpplleettee PPllaanneett
É um dos melhores buscadores da Deep Web, nele
se encontra uma variedade enorme de assuntos que
vão de Comida e bebidas, até assuntos militares, ou
mesmo de meteorologia para agricultores.
Endereço: http://aip.completeplanet.com/
ARTIGO Segurança Digital
|09
Figura 5 – Hidden Wiki
Abril 2013 • segurancadigital.info
IInnffoopplleeaassee
Ideal para buscar enciclopédias, almanaques,
atlas, e biografias em geral.
Endereço: http://www.infoplease.com/index.html
DDeeeeppPPeeeepp
Banco de dados de serviçoscapaz de abrir dinâmi­
cas de resultados não captados pelos motores co­
muns, ainda em fase beta é sujeito a falhas.
Endereço: http://www.deeppeep.org/
IInnccyyWWiinnccyy
Esse mecanismo se comporta como os mecanis­
mos de buscas que nós costumamos usar, nele se po­
de inclusive buscar imagens.
Endereço: http://www.incywincy.com/
DDeeeeppWWeebbTTeecchh
Na verdade são 5 motores de buscas, cada qual de
um tema específicos para medicina, negócios e ciên­
cias.
Endereço: http://www.deepwebtech.com/
SScciirruuss
Esse motor é voltado totalmente para o mundo ci­
entífico, permitindo se encontrar jornais, homepages
dos cientistas, material didático, pré­impressão de
material de servidor, patentes e intranets institucio­
nal.
Endereço: http://www.scirus.com/srsapp/
TTeecchhXXttrraa
É um buscador voltado para Matemática, enge­
nharia e computação, com muitos dados e relatórios
técnicos.
Endereço: http://www.techxtra.ac.uk/index.html
OO qquuee tteemm PPoorr LLáá
A Hidden Wiki, citada anteriormente, não é o dire­
tório central da Deeo Web, é apenas o caminho mais
conhecido, mas mesmo lá os primeiros links destaca­
dos são sobre tráfico de drogas. Além dela há busca­
dores que vão aonde o Google não chega e, por isso,
encontram de tudo ­ principalmente no que se refere
a material pornográfico. Talvez o mais impressionan­
te seja os sites com conteúdo relacionado a parafilias:
neles se vê pedofilia, necrofilia, zoofilia etc. Tudo
comercializável.
BBiizzaarrrriiccee
Passei um tempo navegando entre páginas com
URLs intermináveis que, ao serem carregadas, reve­
lavam nada mais do que uma imagem estática, ou
uma porção de códigos ininteligíveis, ou, então, na­
da. Às vezes recarregava o endereço e a página sim­
plesmente não existia mais. Há muito disso na Deep
Web, principalmente quando se trata de conteúdo
inapropriado ­ para proteger tanto quem publica,
quanto quem foi parar ali por acaso.
Há, sim, links que chegam facilmente a conteúdo
pouco usual, mas a maioria do material está bem es­
condida por esse esquema de camadas. Quando você
se depara com uma página aparentemente sem senti­
do, provavelmente há algo a mais para ser mostrado,
mas que só pode ser acessado com a chave certa ­
que pode ser, por exemplo, uma letra ou um número
diferente na URL. E nem sempre basta passar da pri­
meira camada para chegar ao conteúdo; há quem diga
que existem sites com até oito páginas falsas na fren­
te.
Por trás disso existem sites com grupos cujo "pas­
satempo" é matar outras pessoas das formas mais bi­
zarras, outros que exibem méritos enquanto
pedófilos, diversos tipos de extremismo, canibalismo
(com quem come e quem se voluntaria a ser comido).
Tráfico humano, terrorismo, nazismo e muitos outros
temas, digamos, sensíveis, estão na Deep Web.
CCoomméérrcciioo aalltteerrnnaattiivvoo
Superficialmente, o que parece fazer mais sucesso
é o tráfico de drogas, tanto que existem listas de ven­
dedores recomendados, de acordo com a confiabili­
dade de cada um. Mas o comércio de armas corre
solto, assim como o de contas do PayPal e de produ­
tos roubados ­ existem lojas específicas para marcas
como Apple e Microsoft, por exemplo. Também dá
para contratar assassinos de aluguel que possuem va­
lores para cada tipo de pessoa (celebridades, políticos
etc.), com preços que vão de US$ 20 mil a US$ 150
mil.
Cibercriminosos e espiões oferecem seus serviços,
e tem gente que garante fazer trabalhos acadêmicos
sobre qualquer assunto, sem copiar de lugar algum.
Sites promovem turismo sexual e, por menos de US$
1 mil, prometem buscar o comprador no aeroporto.
Outro destaque é a venda de documentos falsos, com
páginas que oferecem até cidadania norte­americana.
O dinheiro é abolido na DW e poucos negociantes
confiam no PayPal, a bola da vez é mesmo a Bitcoin,
uma moeda digital que torna as transações mais se­
ARTIGO Segurança Digital
|10 Abril 2013 • segurancadigital.info
guras.
Autoridades do mundo inteiro estão na Deep Web
observando os passos de quem está lá dentro, talvez
até com agentes se passando por usuários para obter
informações e tentar antecipar ações ou desmascarar
criminosos. É muito mais difícil encontrar os diretó­
rios e identificar os internautas por lá, em função dos
nós de acesso criados pelo Tor e dos serviços de hos­
pedagem e armazenamento invisíveis da rede Onion.
Mas nada é impossível, tanto que o Anonymous já
expôs dados de milhares de pedófilos que usavam a
Deep Web.
Por mais que as coisas ali soem bizarras demais
para o internauta comum, cabe lembrar que nada do
que consta na rede alternativa está longe de ser en­
contrado nas ruas, cabe à pessoa decidir o caminho
que lhe interessa. Você não pode perder a oportunida­
de de viver neste mundo por medo. Contudo, tem que
se proteger, fazer as coisas com consciência.
O primeiro choque com a Deep Web é em relação
ao tamanho deste lado escuro da internet. Um ice­
berg, um destes blocos gigantes de gelo que vagam
pelo oceano. A parte visível, que fica acima da super­
fície da água seria o correspondente à nossa internet
cotidiana, como conhecemos hoje. Os outros 90%
submersos escondidos ali representariam a proporção
desta parte da rede.
Para quem nunca ouviu falar no assunto, a princi­
pal diferença entre a nossa internet e a Deep Web é
que neste lado escondido da rede, nada é indexado.
Nada é rastreado. Todo o tráfego do dados é cripto­
grafado, o que significa privacidade e anonimato, o
que pode ser bom e ruim ao mesmo tempo.
Como já explicado anteriormente, a Deep Web se
diferencia muito da rede normal, porque é tudo crip­
tografado, diferentemente da web tradicional, neste
pedaço da web, a informação passa por vários pon­
tos, recebendo uma criptografia em cada um.
Na web normal, tudo que fazemos para chegar a
qualquer destino pode ser facilmente rastreado, ou
seja, privacidade é ilusão. Mais que isso: mecanis­
mos inteligentes identificam o que fazemos o tempo
todo na rede para, logo em seguida, oferecer publici­
dade dirigida e relacionada ao nosso gosto pessoal. E
muita gente acaba usando a Deep Web simplesmente
por não estar de acordo com esta regra imposta por
gigantes como o Google.
Há quem diga que na Deep Web há o respeito à
privacidade. Tem gente que não quer ter uma máqui­
na cheia de cookies, nem que as pessoas saibam o
que se está comprando, o que se gostaria de comprar,
nem ser bombardeado com oportunidades de compra
só por estar fazendo uma busca. Logo, a Deep Web
existe por deficiências da surfasse web e seu uso co­
mercial excessivo.
Por outro lado, uma infinidade de criminosos viu
na Deep Web um prato cheio para praticar atos ilíci­
tos e garantir o anonimato.
Tem coisas estranhíssimas que você nem imagina
que haja quem possa gostar daquilo, principalmente
relacionado a sexo. Tudo que você imaginar de para­
filia tem lá dentro. É comum se deparar com imagens
que você não gostaria de ver ao navegar.
E realmente tem de tudo neste lado obscuro da in­
ternet: sites de pedofilia, turismo sexual e até assas­
sinos de aluguel estampam a principal página de
buscas da Deep Web. No entanto, especialistas em
segurança dizem que há uma paranoia muito grande
sobre a Deep Web, que apenas se fala do lado ruim,
mas que isso só tem pra quem está procurando por
isso. Claro, existe a possibilidade de acabar acessan­
do sem querer uma destas páginas por inexperiência,
mas quem entra lá para procurar drogas, também po­
de ir à esquina para comprá­las.
O assunto é delicado e divide opiniões. As autori­
dades, claro, sabem que a Deep Web existe, mas co­
mo já foi dito não há nada que se possa fazer. É
praticamente impossível identificar um acesso neste
lado misterioso da rede.
Entretanto, quem a usa para o bem não é coniven­
te com toda esta ilegalidade. O grupo de hackers
Anonymous, por exemplo, conseguiu detectar uma
rede de pedofilia com 1,6 mil usuários na Deep Web
e, depois de atacar o site virtualmente, entregou to­
dos os envolvidos para a polícia.
Cabe ressaltar que trazer alguma coisa de lá para
cá é perigoso, sem dúvidas.É preciso cautela e, na
dúvida, não clique! É a principal dica.
CCoonncclluussããoo
Pra mim, o saldo é o seguinte: todo mundo que se
liga em internet, que procura saber das coisas, já tá
ligado que essas bizarrices todas existem no mundo.
Ninguém precisa de Deep Web para ficar “mais ante­
nado”. Sites com fotos de acidentes, de autopsias, de
gente arrebentada, de possessões e aparições existem
na Web de superfície.
O que torna a DW um ambiente grotesco é que o
que mais se encontra são sites de pedofilia, onde os
ARTIGO Segurança Digital
|11 Abril 2013 • segurancadigital.info
usuários trocam fotos e contam vantagem do que fa­
zem. São coisas impensáveis. Quem assistiu “A Ser­
bian Film” ([link 3]), acredite: não é nada comparado
ao que esses doentes fazem. Quem não assistiu, pode
ler a história toda na Wikipedia ([link 4]).
Não foi preciso acessar um site para ficar sabendo
disso; o fórum conta em detalhes o que foi que a pes­
soa fez e só depois surgem os links das imagens para
comprovar. Por motivos óbvios, não cliquei nelas. E
é impensável o que fazem com animais. É impensá­
vel o que alguém pode fazer com outro por puro pra­
zer doentio. E o pior é saber que, por mais extremo
que seja, um filme como “August Underground”
([link 5]) é isso, um filme (na lista dos 25 mais per­
turbadores da história ­ [link 6]). Na Deep Web é re­
al.
Finalmente o estômago embrulhado derrotou a cu­
riosidade, e emergi de volta para um mundo que de
repente se tornou muito pior. As imagens vão demo­
rar a sumir.
A conclusão é que a DW serve para mostrar uma
realidade que não deveria existir. E que você não pre­
cisa ver.'
ARTIGO Segurança Digital
|12
Deivison Pinheiro Franco
Graduado em Processamento de Dados.
Especialista em Redes, Suporte a Redes e
Ciências Forenses. Arquiteto de
Infraestrutura de TI. Professor de
Informática Forense, Segurança da
Informação, Redes, SO e Arquitetura de
Computadores. Perito Forense
Computacional e Pentester. Certificações:
CEH, CHFI, DSFE e ISO/IEC 27002..
E­mail: deivison.pfranco@gmail.com
Link: http://lattes.cnpq.br/8503927561098292
[1] ­
https://www.torproject.org/download/download­
easy.html.en
[2] ­ http://kpvz7ki2v5agwt35.onion/wiki/in­
dex.php/Main_Page
[3] ­ http://www.serbianfilmmovie.com/
[4] ­ http://en.wikipedia.org/wiki/A_Serbian_Film
[5] ­ http://www.youtube.com/watch?featu­
re=player_embedded&v=HeoQ3j3Bbps#!
[6] ­ http://www.greencine.com/central/disturbing­
films5
Abril 2013 • segurancadigital.info
Nem todas as ameaças hackers unidas são tão pe­
rigosas e ameaçadoras perto da fúria da “Mãe Natu­
reza”. Como os eventos climáticos têm se tornado
um fator crítico para a sobrevivência dos negócios
nas organizações.
Nestes últimos anos acompanhamos inúmeras
ocorrências causadas por eventos naturais que têm
cada vez mais levado caos às cidades tanto no Bra­
sil quanto ao redor do mundo, causando enormes
prejuízos materiais e em muitos casos, perdas com
valor imensurável como a vida. E em meio a todo
este caos, muitas empresas também estão sentindo
diretamente as consequências destes eventos, que
acabam se agravando conforme percebemos a falta
de investimentos preventivos por parte do governo
e da falta de preparo interno das empresas em sua
infraestrutura como também na capacitação de suas
equipes de colaboradores.
Leio muitos artigos e participo de eventos de Se­
gurança da Informação que tratam desde assuntos
puramente técnicos como invasão de redes, disse­
minação de malwares, vulnerabilidades de sistemas
e ataques hackers como também questões relacio­
nadas a fatores humanos como fraudes, roubo de
ativos, erros operacionais, treinamentos e conscien­
tização. Porém poucas vezes li, assisti ou debati
com colegas da área questões relacionadas às ame­
aças climáticas e como elas podem afetar os negó­
cios de uma empresa de forma equivalente ou
muitas vezes até mais prejudicial do que as con­
sequências de uma falha técnica ou humana.
Notem que estou pontuando especificamente
neste artigo o termo ‘ameaças climáticas’ e não
‘ameaças ambientais’, pois a questão relacionada
aos riscos provenientes do ambiente são mais
abrangentes e já são tratadas e debatidas nas avali­
ações de riscos com base em normas como ‘ABNT
NBR ISO/IEC 27002 – Código de Prática para a
Gestão da Segurança da Informação’ que cita um
pequeno trecho sobre esta questão na seção ‘9.Se­
gurança física e do ambiente’ – 9.1.4.Proteção
contra ameaças externas e do meio ambiente’, di­
vidindo as ameaças entre naturais ou perturbações
causadas pelo homem. Vamos ver um trecho deste
controle da ISO 27002:
|13
H
a
ck
ea
d
o
p
o
r
M
@
3_
n
@
T
u
r3
5a
Convém que sejam levadas em consideração
todas as ameaças à segurança representadas por
instalações vizinhas, por exemplo, um incêndio
em um edifício vizinho, vazamento de água do
telhado ou em pisos do subsolo ou uma explosão
na rua.
Convém que sejam levadas em consideração as
seguintes diretrizes para evitar danos causados por
incêndios, enchentes, terremotos, explosões,
Abril 2013 • segurancadigital.info
Percebam que a norma nos dá informações ge­
rais do que devemos nos proteger, mas sem detalhar
como isso pode ser feito e sem explicar em detalhes
como estes eventos podem afetar a segurança das
informações de uma organização. Às vezes vejo
profissionais ignorando fatores tão comuns e roti­
neiros como enchentes em São Paulo, por entende­
rem que a sua empresa não está diretamente
exposta a este tipo de evento, porém se esquecem
de fatores indiretos que podem interferir na conti­
nuidade dos negócios do mesmo jeito.
O prédio pode estar localizado em um local alto,
como por exemplo, a Avenida Paulista. Neste caso
a empresa realmente não está sujeita a sofrer com
alagamentos provenientes de uma enxurrada de
água e lama, porém indiretamente ela é sim afetada
por tal evento. Vamos imaginar um cenário típico
da São Paulo: Uma enchente alaga as principais vi­
as de tráfego como as marginais, paralisa a opera­
ção das linhas de trens e reduz a velocidade do
metrô, causando enormes engarrafamentos com
carros, ônibus e caminhões. Com isso os principais
funcionários da empresa não conseguem se loco­
mover a até prédio da Avenida Paulista, paralisando
a operação de diversos departamentos estratégicos e
consequentemente causando perda de negócios.
Do que adiantou ter toda a redundância na infra­
estrutura de TI com no­breaks, geradores, servido­
res espelhados e links redundantes se não há
pessoas que possam estar ali operando os sistemas
suportados por este incrível ambiente? Não que to­
do este investimento não seja importante, muito pe­
lo contrário, são fundamentais, pois na verdade
também de nada adianta ter a melhor equipe reuni­
da no prédio se elas não tiverem disponibilidade de
ferramentas para realizarem suas tarefas. Hoje em
quase toda organização, os sistemas computadori­
zados são as ferramentas essenciais do negócio e
dependem de uma infraestrutura de rede para co­
municação clientes e fornecedores.
Para validar a importância deste ponto de vista,
basta entender que um evento climático pode gerar
consequências catastróficas ao ponto de causar pro­
blemas que afetem tanto a parte técnica, quanto hu­
mana e ambiental. Uma forte tempestade pode
causar panes elétricas danificando todo um conjun­
to de equipamentos, além de causar transtornos co­
mo as enchentes, inviabilizando a chegada dos
funcionários necessários para a continuidade das
atividades de uma organização ou ainda gerando
grandes estragos no ambiente físico de uma empre­
sa, seja com alagamentos que danifiquem os ativos
ou desmoronamentos que abalem a estrutura do
prédio, quando este estiver em local suscetível a
este tipo de ocorrência.
Como não podemos evitar estes eventos climá­
ticos e na maioria dos casos não podemos contar
com a prevenção por parte dos órgãos públicos
responsáveis pela limpeza de rios e córregos, recu­
peração de encostas, podas de árvores entre muitas
outras tarefas que reduziriam os impactos destes
eventos, nós comoprofissionais da área de segu­
rança devemos mapear através da análise de riscos
todas as ameaças que a organização está exposta
direta e indiretamente e que possam ocorrer por
uma questão técnica, humana ou ambiental.
Algumas empresas que visitei em meus traba­
lhos apresentavam o seu Plano de Continuidade de
Negócio que entre uma série de procedimentos téc­
nicos para manter a disponibilidade de suas princi­
pais atividades, continha um procedimento
exclusivo para aplicar em situações em que a loco­
moção de determinados profissionais estivesse
comprometida por uma enchente, uma greve ou
mesmo alguma outra catástrofe que afetasse a re­
gião em torno da empresa. O documento descrevia
passo a passo o que um determinado profissional
deveria fazer, com quem se comunicar e para onde
se dirigir, dentro de um determinado intervalo de
tempo. Isso só foi possível porque a organização
avaliou os riscos aos quais ela estava exposta e viu
muito além de vulnerabilidades técnicas ou falhas
humanas.
Para termos uma ideia dos impactos que um
temporal pode causar, confira estes números de um
levantamento realizado pela Federação das Indús­
trias do Estado do Rio de Janeiro – FIERJ nas em­
presas da região Serrana após a catástrofe causada
pelas fortes chuvas em Janeiro de 2011:
ARTIGO Segurança Digital
|14
perturbações de ordem pública e outras formas de
desastres naturais ou causados pelo homem;
­ Das 278 empresas, 172 sofreram algum impacto
pelas chuvas;
­ Entre os principais problemas, as empresas desta­
caram:
• 83,2% sem energia elétrica;
• 73,4% sem linhas telefônicas;
Abril 2013 • segurancadigital.info
Além disso, a estimativa média de retorno às ati­
vidades era de 27 dias. Imaginem ficar quase 1 mês
sem poder trabalhar normalmente e neste caso com
o agravante do trauma causado por tal evento, pois
aproximadamente 1.500 pessoas perderam suas vi­
das (entre mortos e desaparecidos) e mais de
30.000 desabrigados. Praticamente todos na região
perderam alguém conhecido ou tiveram suas casas
afetadas com o desastre.
Notem como eventos climáticos são fatores
ameaçadores a qualquer Plano de Continuidade dos
Negócios, ao ponto que todo um investimento de
contingência de infraestrutura pode não valer de
nada. Pior é quando me deparo com gestores que
gostam de estampar grandes marcas de tecnologia
no rack da TI, com caríssimos appliances para con­
trolar o acesso à rede ou o backup, além de comple­
xos sistemas de gestão de segurança, todos
acomodados em salas que não serviriam de nada
em um cenário como este.
Por isso, antes de sair por ai cotando firewalls,
sistemas de backup, reformando a sala dos servido­
res com biometria e vidros blindados, faça uma
análise dos riscos reais que a empresa está exposta
para não acabar deixando escorrer pelo ralo todo o
dinheiro investido no projeto na primeira parada
inesperada. Cada empresa, cada negócio tem sua
realidade e as áreas de TI e SI devem compreender
isso. Às vezes a empresa que trabalha com tradução
e digitalização de documentos não necessita de um
cluster de firewall com links redundantes com um
custo estratosférico, pois se ela ficar sem Internet
por algumas horas o seu negócio não é afetado, em
contrapartida, se um alagamento atingir a sala onde
estão armazenados a documentação em papel de
seus clientes e todos os seus equipamentos como
scanners e impressoras, poderá resultar no seu fim.
É um exemplo hipotético, mas que serve para ilus­
trar que neste caso o que importa é o negócio da
empresa e não a TI. A TI é a base para o bom anda­
mento do negócio, mas não é o negócio em si na
maioria dos casos. Nesta empresa de digitalização,
o ativo mais valioso são os documentos impressos
dos clientes e equipamentos específicos de impres­
são e digitalização.
Além do que já citamos como falta de investi­
mentos preventivos por parte do governo e da falta
de preparo das organizações, carecemos de profis­
sionais de TI/SI com uma visão mais abrangente
quando falamos de riscos ao negócio. Há muita
preocupação com tecnologia, só que está tecnologia
depende muito da capacitação de quem vai operá­la
e principalmente do meio físico em que estará ali­
cerçada.
E olha que nós brasileiros temos que agradecer
por não termos aqui vulcões, furações, tsunamis e
ainda não ter caído um meteoro de grande propor­
ção como aconteceu na Rússia neste início de ano.
Imaginem o impacto destes eventos aqui no Bra­
sil... eu hein!
RReeffeerrêênncciiaass BBiibblliiooggrrááffiiccaass
ABNT – Associação Brasileira de Normas
Técnicas. ABNT NBR ISO/IEC 27002 ­ Tecnologia
da informação ­ Técnicas de segurança ­ Código de
prática para a gestão de segurança da informação.
ABNT, 2005.
FIRJAN ­ 62% das empresas da Região Serrana
foram afetadas pelas chuvas:
http://www.firjan.org.br/data/pages/2C908CEC2D
4D2930012D99DAF2963545.htm
ARTIGO Segurança Digital
|15
• 67,6% redução da jornada de trabalho;
• 38.2% enfrentaram alagamentos em torno;
• 21,4% enfrentaram alagamentos internos;
Entre as principais consequências, as empresas in­
formaram que:
• 92,3% registraram ausências de funcioná­
rios da produção;
41,9% registraram ausências de funcionári­
os da administração;
70,3% tiveram estoques afetados pelos ala­
gamentos
Roberto Henrique
Roberto Henrique é Analista de Segurança
da Informação na ABCTec, com 14 anos
de experiência na área de TI (Suporte,
Gestão, Consultoria), especializado em
análise de vulnerabilidades e no tratamen­
to de incidentes de segurança da informa­
ção. Formado em Análise e Desenv. de
Sistemas, possui as certificações ISFS® ISO/IEC 27002 Cer­
tified, D­Link DBC, F­Secure Certified Sales Professional –
FCSP, Microsoft MCP/MCDST. Membro do Comitê Técnico
ABNT/CB21:CE27 sobre Segurança daInformação e membro
do Núcleo de TI do CIESP – São Bernardo do Campo.
Email: roberto@abctec.com.br
Site: www.abctec.com.br
Abril 2013 • segurancadigital.info
11 ­­ IIPPSS –– IInnttrruussiioonn PPrreevveennttiioonn SSyysstteemm
Após abordarmos os conceitos de IDS (Intrusion
Detection System) na edição passada (vide revista
Segurança Digital, 9ª edição), que são sistemas passi­
vos de monitoramento contra invasões a ambientes
informatizados, chegou a vez de adentramos ao mun­
do dos IPS, sistemas ativos, que visam bloquear ten­
tativas de invasões baseados em regras pré­definidas
pelos administradores de segurança da informação
das empresas que os empregam.
Uma boa definição do termo IPS pode ser obtido
no trabalho de Caletti (2007). Este conclui que: “O
termo IPS (Intrusion Prevention System) vem sendo
constantemente utilizado na literatura especializada e
nos produtos como uma evolução do IDS (Intrusion
Detection System), agregando a função de prevenção
de ataques à mera detecção de intrusão. Desta forma,
um IPS poderia agir localmente sobre uma tentativa
de intrusão impedindo que ela atinja seus objetivos e
minimizando os possíveis danos”. (CALETTI, 2007).
Como pode ser observado, os IPS são sistemas
mais evoluídos em relação aos IDS, que tem por ob­
jetivo proteger os sistemas informatizados contra in­
trusões, trabalhando ativamente e agregando a função
de contra­ataque ante essas investidas. Esse sistema
ainda pode ser composto por softwares, instalados
em computadores, ou equipamentos de hardware,
destinados exclusivamente a esta função.
22 ­­ IIDDSS XX IIPPSS
Faz­se importante ressaltar que muitas vezes os
conceitos sobre os IDS e IPS se confundem, confor­
me observado por Ortega (2009), que salienta: “Hoje
normalmente o mesmo equipamento pode atuar como
IPS ou IDS, dependendo apenas da configuração
aplicada e como ele está conectado à rede”.
Este convergência entre os sistemas ocorre, como
explicado, porque um mesmo equipamento ou siste­
ma pode agregar ambas as funções, tanto de monito­
ramento/detecção quanto a de prevenção/bloqueio, já
outros, menos evoluídos podem atuar apenas na de­
tecção de intrusões, não possuindo capacidade de to­
mar decisões de bloqueio contra as investidas na
rede. Portanto, para deixar bem explicado, o que re­
almente difereum sistema de prevenção (IPS) de um
sistema de detecção (IDS) é como este está configu­
rado. Se o sistema em questão está configurado para
tomar a decisão de barrar uma tentativa de acesso,
esse por sua vez será um IPS.
A imagem abaixo (Figura 1), ajuda­nos a enten­
dermos melhor a diferença entre os sistemas:
|16
Si
st
em
a
s
d
e
D
et
ec
çã
o
e
P
ro
te
çã
o
C
o
n
tr
a
In
va
-
sõ
es
a
A
m
b
ie
n
te
s
in
fo
rm
a
ti
za
d
o
s
–
ID
S
e
IP
S
2ª PARTE
Abril 2013 • segurancadigital.info
Como pode ser observado, o sistema IDS, repre­
sentado pela linha vermelha, possui apenas uma in­
terface conectada ao segmento de rede. Nesta
conexão, todo o trafego de rede deve passar por ele,
permitindo assim que este monitore­o no perímetro
da empresa. Já o IPS, caracterizado pela linha verde,
possui duas interfaces, ou seja, o trafego passa por
dentro ele, permitindo assim que eventuais anomalias
sejam barradas.
33 –– IIPPSS ttrraabbaallhhaannddoo eemm HHoossttss oouu nnaa RReeddee
Semelhante ao que acontece aos IDS e indo de en­
contro ao difundido por Caletti (2007), os Sistemas
IPS podem ser divididos em dois grupos: IPS basea­
dos em Host (HIPS) e baseados em redes (NIPS).
33..11 ­­ HHIIPPSS ((HHoosstt IInnttrruussiioonn PPrreevveennttiioonn
SSyysstteemm))
O HIPS é um Sistema de prevenção em formato
de software residente em um componente especifico,
como um servidor ou mesmo uma estação de traba­
lho e, segundo Caletti (2007), ele inspeciona o trafe­
go que passa por esse agente, monitorando o
comportamento de aplicações e Sistemas Operacio­
nais em busca de sinais de ataques.
Quando uma tentativa de ataque é então detectada,
o HIPS tenta bloqueá­la e impedir o comprometi­
mento do sistema. Essa ferramenta portanto pode ser
considerada uma camada a mais de segurança em sis­
temas críticos, como servidores WEB ou de arquivos,
trabalhando inclusive em conjunto com antivírus e fi­
rewalls, aumento assim o teor de segurança disponi­
bilizado a esse ambiente.
33..22 ­­ NNIIPPSS ((NNeettwwoorrkk IInnttrruussiioonn PPrreevveenntti­i­
oonn SSyysstteemm))
Já o NIPS é responsável por controlar um seg­
mento de rede que se deseja proteger. Este pode ser
um hardware dedicado a essa tarefa ou um software
instalado em um computador.
Ainda continuando com o relatado por Caletti
(2007), todo o trafego entre o segmento protegido e
os demais setores da rede deve passar obrigatoria­
mente pelo NIPS. Esse trafego é então inspecionado
a procura de anomalias (ataques) e caso estas sejam
detectadas o NIPS tenta bloqueá­las em tempo real,
prevenindo ataques criptografados desconhecidos e
de DOS.
Os NIPS controlam então uma porção mais ampla
da infraestrutura organizacional, possibilitando a
proteção de um ambiente corporativo inteiro: servi­
dores, desktops e até mesmo dispositivos de rede,
como routers e switchs.
Muitas empresas, para aumentar sua gama de se­
gurança contra invasões, adotam o que chamamos de
IPS Hibrido, que consiste na utilização conjunta dos
dois formatos de IPS apresentados acima.
44 ­­ FFoorrmmaass ddee ddeetteeccççããoo ddooss IIPPSS
44..11 DDeetteeccççããoo ppoorr AAssssiinnaattuurraass
A “Detecção por Assinaturas” consiste em inserir
nos sistemas IPS assinaturas de ameaças conhecidas.
Nóbrega (2009) explica que os fabricantes utilizam
“honeypots1” para conseguirem capturar códigos
maliciosos. Esses códigos então são analisados e
cria­se assinaturas para cada ameaça identificada ­
worm, trojan ou qualquer outro malware ­. Após esse
processo, os fabricantes repassam as atualizações a
seus equipamentos, para que esses possam se defen­
der de tais ameaças.
1 ­ Vide leitura complementar
ARTIGO Segurança Digital
|17
FFrraaggiilliiddaaddee ddaa DDeetteeccççããoo ppoorr AAssssiinnaattuurraa
Nóbrega (2009) porém ressalta algumas falhas
nesse sistema. O sistema é vulnerável a ataques
não identificados ainda pelos fabricantes e tam­
bém vulnerável a um tipo de ataque bastante utili­
zado na atualidade, o ataque de DOS (Denial of
Service) e DDOS (Distribued Denial of Service),
pois como esses ataques não geram assinaturas, os
sistemas não sabem o que fazer quando se depa­
•
Figura 1 ­ Diferença entre IPS e IDS. Fonte:
http://migre.me/dJnKJ
Abril 2013 • segurancadigital.info
44..22 DDeeffiinniiççããoo ddoo LLiimmiittee ddee TTrraaffeeggoo
Como forma de atenuar a fragilidade oriunda de
ataques de DOS, os fabricantes incluem uma funcio­
nalidade no IPS que consiste em se definir o limite
de trafego que a rede pode aceitar, evitando com isso
que os sistemas parem de operar por uma inundação
proveniente das investidas dos agressores. Segundo
Nóbrega (2009), na eventualidade de um ataque de
negação de serviço, o sistema simplesmente devolve
o tráfego, impedindo­o de causar algum estrago a es­
trutura computacional.
44..33 IIddeennttiiffiiccaaççããoo ddee CCoommppoorrttaammeennttoo SSuus ­s ­
ppeeiittoo oouu AAnnoommaalliiaass
Os sistemas baseados em comportamento suspeito
criam um mapa da rede e dos equipamentos ligados a
ela e em seguida, de acordo com Nóbrega (2009),
utilizam conjuntos de regras para que, de um modo
dinâmico, consigam bloquear as intrusões. Nóbrega
(2009) finaliza ressaltando a vantagem desse sistema,
concluindo que estes: “podem reagir mais depressa a
ataques desconhecidos””. (NÓBREGA, 2009).
Já Caletti (2009, apud Carvalho, 2005) ressalta
que a detecção baseada em anomalias, também cha­
mada de Behavior­Based Intrusion Detection, enten­
de que cada usuário possui um perfil de utilização de
recursos e o sistema tenta então detectar desvios nes­
ses padrões afim de identificar possíveis ataques.
A maior parte dos fabricantes disponibiliza estes
03 tipos de sistema de prevenção, que, como vimos,
devem trabalhar em conjunto para aumentar o grau
de proteção dos dispositivos informatizados.
55 ­­ UUTTMM –– AA eevvoolluuççããoo ddoo IIPPSS
Os sistemas de Informação em geral vão evoluin­
do com o passar do tempo e os sistemas de proteção
devem acompanhar essas mudanças. Com base nes­
ses preceitos, os IPS devem sofrer algumas modifi­
cações e migrarem para o que os especialistas chama
de UTM (Unified Threat Management) ou Gerencia­
mento de Ameaças unificado. Esses são sistemas que
combinam funcionalidades de Firewall, VPN, antiví­
rus, filtros de conteúdo e ainda os serviços de IPS
num único serviços. Mas Nóbrega (2009), chama a
atenção para o fato da difícil gestão dessa integração
de soluções, afirmando que não será fácil gerencia­
la, reduzindo seu uso a pequenas e médias empresa.
Nas grandes corporações, onde os sistemas são mais
complexos, devem prevalecer, pelo mesmo por en­
quanto, os IPS.
Um exemplo de soluções UTM já disponíveis é a
TMG (Threat Management Gateway) da Microsoft.
Solução destinada a servidores Windows que engloba
vários serviços de proteção em um único produto.
66 –– AAllgguummaass SSoolluuççõõeess IIPPSS ddiissppoonníívveeiiss
Seguindo a linha de desenvolvimento da primeira
parte da matéria, segue uma descrição de algumas
soluções IPS disponíveis no mercado. Vale lembrar
que essa é uma opinião pessoal, pois existem inúme­
ros outros produtos de grande qualidade e que podem
ser usados sem problema algum.
Cisco ­ Conceituada fabricante de equipamentos
de Networking, possui uma poderosa linha de siste­
mas de defesa contra Invasões denominada ASA. Es­
sa linha é baseada em equipamentos de hardware
dedicados a função de IPS.
MCafee ­ Conhecida fornecedora de soluções de
segurança, a empresa disponibiliza diversas soluções
ARTIGO Segurança Digital
|18
ram com tal ameaça.
Para mitigar essas vulnerabilidades, os fabri­
cantes de soluções IPS trabalham ainda com ou­
tras duas formas de detecção de ameaças, são elas:
Definição do Limite de trafego e Identificação de
comportamento suspeito ou anomalias.
LLeeiittuurraa ccoommpplleemmeennttaarr ­­ OO qquuee ssããoo HHo­o­
nneeyyppoottss??
Honeypots, ou potes de mel, são equipamentos
de rede destinados especificamente a serem explo­
rados e atacados, servindo como isca para os ata­cantes, conseguindo com isso coletar informação
sobre esses ataques, contribuindo para criação de
defesas contra as intrusões aos sistemas informati­
zados.
Ainda podemos ter as Honeynets, que são um
conjunto de honeypots preparados para os mesmos
fins.
Muitas instituições investem na análise de ata­
ques através das Honeynets, como a CERT.rs e
muitas outras. Havia também um projeto bem in­
teressante de pesquisa denominado Honeynet.BR,
mantido pelo curso de Ciências da Computação do
INPE, mas o mesmo foi desativado em meados de
2008.
Mais Informações:
http://www.honeynet.org.br/
http://www.cert­rs.tche.br/index.php/honeypots
Abril 2013 • segurancadigital.info
baseadas em hardware e também em software que
unificam soluções para uma boa proteção contra as
tentativas de intrusões.
Symantec ­ A empresa, que desenvolve a suíte de
segurança Norton, apresenta a Symantec Critical
System Protection, uma solução de HIDS e NIPS ba­
seada em software muito bem desenvolvia e robusta
que visa proteger servidores, desktops e notebooks.
Ainda temos as soluções Open Source:
Suricata ­ Solução baseada em software distri­
buída pela OISF. Para quem ainda não está a par, o
OISF é um grupo formado por inúmeras empresas de
segurança da informação americanas e pelo Departa­
mento de Segurança Interna dos EUA (DHS), fato es­
te que dá grande credibilidade ao projeto.
SmoothSec ­ Uma solução que merece destaque,
pois surgiu da união dos já reconhecidos Snorby e
Suricata (já citado acima). A solução promete bastan­
te robustez e desempenho.
Mais informações podem ser obtidas diretamente
nos sites do fabricantes:
Cisco ­ [link 1]
MCafee ­ [link 2]
Symantec ­ [link 3]
Suricata ­ [link 4]
SmoothSec ­ [link 5]
77­­ CCoonncclluussããoo
Os conhecimentos difundidos nas duas reporta­
gens sobre os sistemas de detecção e de prevenção de
intrusões, IDS e IPS respectivamente, tiveram por
objetivo apresentar ao leitor essas soluções de segu­
rança que são amplamente utilizadas, principalmente
no universo corporativo, pois, com o grande avanço
da digitalização das informações, garantir a seguran­
ça dos sistemas que as processam e armazenam é um
fator primordial para sobrevivência de qualquer em­
presa.
Espero que as informações apresentadas possam
constituir fonte de pesquisa e consigam gerar novos
debates sobre as questões de segurança para as infor­
mações, pois acredito que somente com a troca de
experiências será possível avançar no sentido de um
mundo digital mais seguro e confiável.
Gostaria de concluir apresentando uma questão
que sempre chega até mim quando debato os assun­
tos acima descritos.
Porque adotar um sistema IDS e não um IPS?
Acredito que a resposta, apesar de muito contro­
versa, resida em dois fatores chaves: o fato de muitas
empresas não investirem como deveriam no setor de
Tecnologia da Informação (TI) e as dificuldades que
um sistema de proteção mal configurado pode causar
para as empresas.
Vamos analisar ambas situações então:
Primeiro ponto: Como alguns autores reforçam,
como Nóbrega (2009), a configuração adequada de
um sistema IPS é um tanto quanto complicada, de­
mandando mão de obre muito especializada. Com is­
so a implantação de tal sistema de forma adequada
vem a encarecer consideravelmente a quantia desti­
nada a área da Segurança da Informação pela empre­
sa. Quantia essa nem sempre disponível para os
gestores de segurança da informação, que se vêm en­
tão obrigados a adotar soluções menos modernas e de
mais baixo custo.
O segundo ponto é o valor das soluções. Um sis­
tema IDS, que consiste num produto bem mais aces­
sível financeiramente podem rodar em equipamentos
bem mais modestos e já obsoletos do ponto de vista
da inovação tecnológica. Já os IPS, que necessitam
de equipamentos mais modernos e caros, acabam
tendo seu emprego postergado para um futuro dis­
tante.
O último ponto a se analisar no meu portfólio de
probabilidades consiste no fato de que um sistema de
prevenção mal configurado pode gerar inúmeros fal­
sos­positivos, barrando consequentemente tentativas
legitimas de acesso à rede, bloqueando usuários que
necessitam acessar os serviços, tornando­se um en­
trave para o bom funcionamento do ambiente infor­
matizado.
Considero estes os pontos chaves que devem ser
analisados na escolha de uma ou outra solução de
proteção. Observa­se que estes estão relacionados
com os fatores que aludi. Entretanto, como citei, es­
ses fatos ainda são controversos e carecem de maior
pesquisa para serem comprovados.
Espero, apesar de tudo, ainda ter conseguido di­
fundir de forma clara esses conceitos e ter colabora­
do com a difusão de boas informações para os
leitores, leitores estes que já considero uma parte di­
ferenciada da sociedade, pois escolheram ler as re­
portagens dessa revista, que aborda assuntos de
segurança e boas práticas digitais, em contrapartida à
inúmeros outros assuntos, assuntos até mesmo mais
chamativos e de destaque nos dias de hoje.
ARTIGO Segurança Digital
|19 Abril 2013 • segurancadigital.info
ARTIGO Segurança Digital
|20
RReeffeerrêênncciiaass
BRANCO, R. R. IPS na intimidade. 2009. Disponível em
<http://www.linuxnewmedia.com.br/images/uploads/pdf_aberto/LM_56_66_71_05_seg_ips.pdf.>
Acesso em 28 de Dez. de 2012.
CALETTI, M. IPS (INTRUSION PREVENTION SYSTEM) ­ Um Estudo Teórico e Experimental.
2007. Disponível em <http://tconline.feevale.br/tc/files/0001_1010.pdf>. Acesso em 05 de Dez. de
2012.
CERT­RS. Honeypots 2012. Disponível em <http://www.cert­rs.tche.br/index.php/honeypots>
Acesso em 19 de Dez. de 2012.
Microsoft. Forefront Threat Management Gateway (TMG). 2010. Disponível em
<http://technet.microsoft.com/pt­br/library/ff355324.aspx.>. Acesso 05 de Dez. de 2012.
NÓBREGA, J. Intrusion Prevention Systems. 2009, Disponível em
http://www.computerworld.com.pt/2009/05/13/intrusion­prevention­systems/. Acesso em 10 de Nov.
de 2012.
ORTEGA, A. Conceitos sobre IPS/IDS (Parte 1). 2009. Disponível em
<http://www.brainwork.com.br/blog/2009/05/07/conceitos­sobre­ipsids­parte­1/> Acesso em 28 de
Nov. de 2012.
Davies Nassaro
Técnico em Telecomunicações e Infor­
mática, Licenciado em Computação e
Especialista em Segurança de Redes de
Computadores. Atualmente trabalha co­
mo Administrador de Redes de Compu­
tadores e presta consultoria a diversas
empresas sobre questões de segurança
da informação e assuntos tecnológicos.
Email: dnassaro@gmail.com
Blog: www.invasaoproibida.wordpress.com
Twitter: @invasaoproibida
Abril 2013 • segurancadigital.info
RReessuummoo
Trata­se uma abordagem a respeito dos aspectos
intrusivos ­ exploração de vulnerabilidades e princi­
pais ataques, em Redes de Sensores Sem Fio (RS­
SFs). Apresenta componentes, conceitos e aspectos
operacionais dos principais vulnerabilidades e ata­
ques nesses tipos de redes. Mostra como os sensores
operam, processam e transmitem informações base­
ados nos processos de tomadas de decisão, de acor­
do com regiões de processamento, e como esta
comunicação pode sofrer interceptações e/ou inter­
rupções, onde serão abordados os principais aspec­
tos intrusivos em nós sensores distribuídos e
dispostos em rede comunicando­se entre si.
Palavras Chave: Sensores, RSSF, Vulnerabilida­
des, Ataques, Segurança.
II ­­ IInnttrroodduuççããoo
Os ataques a RSSFs podem ser divididos em pas­
sivos ou ativos (FERNANDES, 2005). Os ataques
passivos não afetam a operação da rede, sendo ca­
racterizados pela espionagem dos dados sem alterá­
los. Por outro lado, os ataques ativos são aqueles
em que o atacante cria, altera, descarta ou inviabili­
za o uso de pacotes em trânsito. Os ataques ativos
são os mais numerosos, podendo atuar em diferen­
tes camadas do modelo OSI, como já tratado anteri­
ormente.
Os atacantes podem ser classificados como in­
ternos ou externos. Atacantes internos são aqueles
que conseguem de alguma forma se passar por
membros da mesma, enquanto que os externos são
aqueles que influenciam, mas não participam da re­
de. De fato, a eficiência e as possibilidades de ata­ques variam de acordo com o acesso que o intruso
tem à rede. Se de alguma forma ele conseguir obter
chaves ou for incluído na lista de vizinhos válidos,
se passando a ser um atacante interno, poderá cau­
sar mais problemas.
IIII ­­ EExxpplloorraaççããoo ddee VVuullnneerraabbiilliiddaaddeess ee
PPrriinncciippaaiiss AAttaaqquueess eemm RRSSSSFF
Muitas das vulnerabilidades das RSSF existem
devido à comunicação sem fio e o fato de que os
nós sensores ficam em locais sem segurança física
ou não são monitorados.
As principais vulnerabilidades relacionadas à ca­
mada física do modelo OSI incluem a interferência
do sinal de comunicação transmitido, e o dano de
nós sensores. A interferência do sinal de comunica­
ção transmitido por um nó (signal jamming) ocorre
quando um nó intruso gera sinais aleatórios para
impedir que a comunicação entre os nós da RSSF
|21
R
ed
es
D
e
Se
n
so
re
s
Se
m
F
io
Redes De Sensores Sem Fio Ii ­ As­
Exploração De Vulnerabilidades E
Principais Ataques
Abril 2013 • segurancadigital.info
ocorra corretamente. Uma maneira de evitar este ti­
po de interferência com as frequências em uso é
através do uso de espalhamento espectral para a co­
dificação dos sinais. Porém, os rádios com suporte a
codificação por espalhamento espectral são mais
complexos, mais caros e consomem mais energia, o
que pode inviabilizar seu uso em RSSF.
Outra vulnerabilidade física é oriunda do fato
dos nós sensores ficarem em locais sem segurança
física ou não monitorados, e contempla formas de
node tampering. Um intruso poderia danificar um
nó sensor, de modo que este não efetuaria as suas
funções de coleta de dados e/ou roteamento, preju­
dicando o funcionamento da aplicação sendo execu­
tada pela RSSF. Ainda, o nó poderia ser substituído
por um nó malicioso para gerar ataques a rede ou
obter informações sendo transmitidas. Uma terceira
possibilidade é que as informações armazenadas em
um nó sensor capturado sejam extraídas, permitindo
a um atacante obter chaves de criptografia ou auten­
ticação. Para evitar que esta vulnerabilidade seja ex­
plorada são necessários circuitos ou mecanismos
para proteção dos dados, capas de proteção ou se­
los.
Já as vulnerabilidades na camada de rede provêm
de problemas associados ao roteamento de dados,
uma vez que, em RSSF, todos os nós são roteadores.
A forma mais direta de ataque a um protocolo de ro­
teamento é alterar, repetir ou falsificar (spoof) paco­
tes de controle do mesmo, de forma a criar loops,
desvios, buracos negros ou partições. Dentre os
principais ataques em RSSFs, podemos enumerar:
22..11 ­­ OO AAttaaqquuee ddee SSppooooffiinngg oouu ddee MMiissddi­i­
rreeccttiioonn ((DDiirreecciioonnaammeennttoo FFaallssoo))
Tendo como alvo os pacotes de controle respon­
sáveis pelas informações de tabelas de rota, esse ti­
po de ataque ocorre quando um nó malicioso
modifica ou repete informações no roteamento da
rede, a fim de causar loops, atrair ou repelir tráfego,
gerar mensagens e erro de rotas falsas, dividir a re­
de, dentre outros danos. Isto faz com que a informa­
ção nunca chegue ao destino e passe sempre pelos
mesmos nodos, que gastarão muita energia para en­
viar e recebê­la.
O direcionamento falso consiste na fabricação de
pacotes visando gerar negação de serviço para um
determinado nó. Assim, são enviadas informações
falsas de modo a direcionar tráfego para uma deter­
minada região que se deseja atacar. Na versão da
Internet desse ataque, conhecida como “Ataque
Smurf”, o atacante forja pacotes echo, colocando
como emissor o nó vítima que irá receber inúmeros
echo­backs. Esse ataque pode ser realizado por me­
canismos além do uso de echos. Há casos onde o
atacante pode responder às requisições de rotas com
caminhos falsos que incluem o nó que se deseja
atacar. A Figura 1, a seguir, ilustra este tipo de ata­
que onde o nó malicioso se passa por um sorvedou­
ro, fazendo com que as informações da rede passem
por ele.
22..22 ­­ OO AAttaaqquuee ddee BBllaacckk HHoollee oouu ddee EEn­n­
ccaammiinnhhaammeennttooss SSeelleettiivvooss
Este tipo de ataque consiste em prejudicar o fun­
cionamento colaborativo da rede, quando um nó
malicioso se recusa a fazer encaminhamento de pa­
cotes, descartando­os. Isto faz com que a rede fun­
cione de forma não colaborativa e pode ocorrer
devido o fato da transmissão da informação ser do
tipo salto a salto (hop­to­hop), em que cada nó deve
encaminhar os pacotes que vem de seus vizinhos.
Desta forma, um nó malicioso pode funcionar como
um buraco negro (black hole), não encaminhando os
dados recebidos independente de quem os recebeu.
Uma das características principais das redes de
sensores é a confiança nos vizinhos para o encami­
nhamento de dados. No entanto, um vizinho malici­
oso pode encaminhar apenas alguns pacotes. Neste
caso não se deseja prejudicar todos os nós, ou uma
determinada área da rede. O nodo malicioso pode
escolher não passar algumas ou todas as mensagens
pra um determinado nó alvo, ou pode optar por não
passar as mensagens de roteamento, ou impedir a
ARTIGO Segurança Digital
|22
Figura 1­Ataque de Spoofing (ARAÚJO, 2004).
Abril 2013 • segurancadigital.info
transmissão de pacotes a fim de impedir o funciona­
mento da aplicação.
Um tipo especial de encaminhamento seletivo é
chamado de “egoísmo”, no qual o nó não encami­
nha nenhuma mensagem dos vizinhos, o fazendo
apenas com as suas. Este tipo de encaminhamento
nem sempre é um ataque, podendo ser uma escolha
de um nó por um comportamento não cooperativo.
Tal decisão pode ser tomada, por exemplo, em mo­
mentos nos quais o sensor deseja se poupar, ou seja,
economizar seus recursos.
Esse ataque é de difícil detecção, pois nós com
pouca energia e perdas de pacotes normais podem
gerar um quadro muito semelhante e, dependendo
da posição do atacante, ainda pode ser customizado
e realizado apenas sobre rotas selecionadas e vir a
ser mais crítico caso o nodo malicioso esteja dentro
da principal rota de transmissão de dados, sendo
mais eficiente quando o NS que realiza o ataque es­
tá na rota principal de fluxo de dados, já que, dessa
forma, mais tráfego passará por ele, o que pode
acarretar em danos destrutivos para a rede, impedin­
do seu funcionamento.
Uma segunda consequência do buraco negro é
que, como ele atrai muito tráfego em sua direção,
ele acaba consumindo os recursos dos nós à sua vol­
ta, tanto com relação ao meio, que fica excessiva­
mente ocupado, assim como em relação aos
recursos dos sensores. No caso de exaustão desses
nodos, o resultado pode particionar a rede.
Outra forma crítica de danos seria se um nó mali­
cioso utilizasse métricas de escolha de rotas basea­
das na justiça, onde um nó que não encaminha os
pacotes que recebe se aproveita mais da rede do que
contribui, para tanto o número de pacotes que seri­
am direcionados a ele seria cada vez maior. Assim
sendo, com o fluxo contínuo de tráfego, os pacotes
não seriam mais encaminhados a ele, pelo fato deste
nó não dar continuidade na transmissão de pacotes,
o que poderia representar um defeito nele ou, atra­
vés de algum mecanismo de detecção de intrusão,
representaria uma anomalia. Mas deve­se ressaltar
que, como já dito, mecanismos de IDS ainda estão
distantes do cenário das redes de sensores.
A solução mais simples para os ataques de des­
carte de pacotes é a utilização de múltiplas rotas.
Outros métodos que ajudam a detectar e prevenir
esse comportamento são a investigação e a autoriza­
ção. A Figura 2 esquematiza esse ataque.
22..33 ­­ OO AAttaaqquuee ddee SSoorrvveeddoouurroo oouu DDeettoouurr
((DDeessvviioo))
Este ataque acontece quando há um desvio de
pacotes para nós maliciosos. Os NS vizinhos ou os
próprios nós podem manipular os dados e fazer mo­
dificações. Essa vulnerabilidade ocorre pelo fato de
os adversários alterarem as mensagens de rotea­
mento. Isto faz com que um nó se torne útil aos seus
vizinhos fazendo parte de suas rotas, podendo atin­
gir outros nós por meio de inundações da rede atra­
vés de rotas falsas.
Se a métrica utilizada na rede for onúmero de
saltos, um computador mais poderoso e com maior
potência de transmissão pode indicar saltos ao des­
tino (uma Estação Rádio Base ­ ERB, por exemplo)
e atrair todo o tráfego para si. Em RSSFs esse tipo
de ataque é mais crítico, pois na maioria das vezes o
destino de todos os nós é o nó sorvedouro. A Figura
3 ilustra esse ataque.
22..44 ­­ AAttaaqquueess ddee SSyybbiill
O ataque Sybil se baseia no fato de que é pratica­
ARTIGO Segurança Digital
|23
Figura 2­Ataque de Encaminhamentos Seletivos
(ARAÚJO, 2004).
Figura 3 ­Ataque de Desvio (Adaptado de LAW,
2002).
Abril 2013 • segurancadigital.info
ARTIGO Segurança Digital
|24
mente impossível, em sistemas computacionais dis­
tribuídos, que nós não conhecidos apresentem identi­
dades distintas convincentes. Sem a existência de um
ponto central para controlar a associação de uma
identidade a uma entidade é sempre possível para
uma entidade desconhecida apresentar múltiplas
identidades. Assim, este ataque acontece quando um
único hardware assume múltiplas identidades em
uma RSSF (FERNANDES, 2005).
Alguns sistemas utilizam redundâncias de rotas, a
fim de prevenir possíveis ameaças, caso alguma seja
afetada. Neste ataque um nó pode apresentar diversas
identidades e se fazer passar por outros nós, o que o
possibilita controlar parte da rede, já que, com múlti­
plas identificações, passa a ter conhecimento de di­
versas rotas. Desta forma, os NS afetados acham que
um sensor malicioso, que esteja aplicando esse tipo
de ataque, representa um nodo isolado, quando não é.
Para DOUCEUR (2002), quanto maior o poder do
nó mais efetivo pode ser o seu ataque pelo fato de
sua área de influência ser aumentada. Uma maneira
de defesa a este tipo de ataque é a introdução de um
ou mais sensores confiáveis que façam o papel de
agência certificadora de identidades dos nós.
Um sensor só é considerado malicioso se cometer
diversas ações consideradas ruins ou se cometer uma
grande ação ruim. Assim, duas estratégias podem ser
utilizadas: o Espalhamento de “Culpa” e a Identidade
Única. Na primeira o nó Sybil utiliza cada uma de
suas identidades para fazer pequenas ações ruins, de
forma que nenhuma delas possa ser considerada ma­
liciosa. Na segunda o nó Sybil utiliza apenas uma
identidade para realizar uma ou mais ações ruins até
esta ser expulsa classificada como maliciosa, e quan­
do isso acontece o nó gera uma nova identidade e a
usa para continuar atacando.
Este ataque tem grande importância por muitos
ambientes utilizarem sistemas de réplicas de dados
armazenados, para ter garantia contra violação de in­
tegridade, e sistemas de fragmentação de tarefas, pa­
ra impedir a violação da privacidade. Em ambos os
casos, a redundância, mecanismo explorado pelo ata­
que, é um ponto chave. Assim, devido ao nó malicio­
so assumir múltiplas personalidades, o sistema pode
escolher o mesmo nodo para guardar todas as répli­
cas ou fragmentos, o que acaba com a segurança ad­
quirida pelo mecanismo.
O Sybil pode ser utilizado para atacar não só ar­
mazenamentos distribuídos. Uma outra possibilidade
que utiliza redundância é o roteamento com múlti­
plos percursos. Em geral, os protocolos que utilizam
essa técnica buscam escolher caminhos disjuntos ou
trançados para diminuir a possibilidade de existir um
atacante na rota. O ataque Sybil pode ser feito de tal
maneira a colocar uma identidade falsa em cada rota,
de forma que todos os caminhos continuarão passan­
do pelo nó malicioso. Ainda no campo de roteamen­
to, outro possível problema que não tem relação com
redundância é o ataque ao roteamento geográfico.
Neste caso, o sensor malicioso anunciará sempre
uma de suas identidades Sybil como o NS mais pró­
ximo ao destino, fazendo com que todos os pacotes
de roteamento passem por ela.
Outro ataque, ainda, possível é a utilização dos
nós Sybils para falsificar resultados de votações na
rede. Sempre que existir algum mecanismo coopera­
tivo para tomada de decisões no ambiente, o nó ma­
licioso pode gerar diversas identidades para votar
sempre a seu favor.
Outro ataque é a alocação injusta de recursos, que
pode ocorrer em redes que fazem divisão temporal
para acesso ao meio. Neste caso, o nó malicioso uti­
liza todas as suas identidades falsas para obter um
maior tempo de acesso.
Por fim, uma outra utilização para os nós Sybils
acontece em redes que utilizam mecanismos de con­
fiabilidade. Em tais redes, a “índole” do nó é dada
por suas ações.
ARAÚJO (2004) generaliza e detalha este ataque
da seguinte maneira: um nodo malicioso ‘A’ apresen­
ta várias identidades que não existem (‘A1’, ‘A2’ e
‘A3’), e faz com que o nodo ‘B’ pense que o próximo
nodo do roteamento é o nodo ‘A1’, logo o nodo ‘B’
nunca vai conseguir enviar uma mensagem para
‘A1’, pois ele não existe, consequentemente não vai
enviar mensagens para o nodo real ‘C’. A Figura 4
abaixo demonstra esse ataque.
Figura 4 ­Ataque Sybil (ARAÚJO, 2004).
Abril 2013 • segurancadigital.info
22..55 ­­ OO AAttaaqquuee ddee WWoorrmmhhoolleess ((TTúúnneell ddee
MMiinnhhooccaa))
Wormholes são túneis criados por invasores. As
mensagens que entram nestes túneis são propagadas
pela rede de uma parte a outra através de dois nós
maliciosos que ficam nas extremidades do túnel. Pelo
forjamento de métricas de roteamento, cada nó mali­
cioso repassará aos seus vizinhos que o wormhole é o
melhor caminho para a transmissão de pacotes e fa­
zem com que o túnel seja a rota mais viável diante
das outras. Essa transmissão pode ser feita por inun­
dação e quanto mais próxima do nó sorvedouro mais
informação passará por dentro desse túnel.
No ataque Wormhole, de forma mais detalhada,
dois atacantes criam um canal de comunicação por
um enlace de baixa latência através do qual irão tro­
car informações da rede replicando­as do outro lado
do túnel, de forma a tornar excepcionalmente atrativo
o enlace formado pelos dois. Assim, os nós malicio­
sos podem convencer os sensores da rede que eles
podem se comunicar com determinado destino por
apenas um salto, ao invés de utilizar os vários saltos
que existem realmente entre o nó e o destino. Desta
forma, o túnel falsamente caracteriza um canal segu­
ro e de baixa latência entre os dois nós maliciosos,
permitindo que os nós vizinhos sejam incapazes de
perceber que o ataque está sendo realizado.
Uma forma simples de obter o resultado que um
Wormhole produz é utilizar uma conexão por fio en­
tre os dois nós fazendo uma transmissão mais rápida
que o encaminhamento por múltiplos saltos. Outra
possibilidade seria a utilização de um enlace direcio­
nal sem fio de longa distância para conseguir maior
velocidade que comunicações que normalmente utili­
zariam mais que um salto. Uma terceira forma seria
utilizar um canal diferente do utilizado na comunica­
ção com uma potência de transmissão superior, o que
também permitiria a maior velocidade sem que os vi­
zinhos notassem. Além disso, uma técnica que pode
ser usada é o envio dos bits diretamente, sem aguar­
dar a chegada do pacote completo para começar a
transmissão (HU, 2003).
É interessante notar que, no caso do atacante
construir o seu túnel de forma honesta e confiável,
nenhum prejuízo direto é causado à rede. Pelo con­
trário, um serviço é prestado ao melhorar a eficiência
da conexão do ambiente. No entanto, o ataque coloca
os nós maliciosos em uma posição privilegiada, que
os permite gerar, no momento que desejarem, diver­
sos tipos de prejuízos aos sensores como um todo.
Ainda que a rede implemente autenticidade e con­
fiabilidade, ataques de Túneis de Minhoca ainda po­
dem ser realizados, pois, normalmente, o nó não
precisa se autenticar para encaminhar um pacote. É
importante observar que, para as camadas superiores,
o ataque é invisível, e mesmo para a camada de rote­
amento, a princípio é complicado perceber a presen­
ça de um Wormhole. A Figura 5 ilustra o ataque deste
tópico.
22..66 ­­ OO AAttaaqquuee ddee IInnuunnddaaççõõeess ddee HHeelllloo
Pacotes de Hello são emitidos por protocolos de
roteamento, entre nós vizinhos, para testar