Buscar

GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 25 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 25 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 25 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 1: Introdução a Segurança da Informação
Três papéis vitais que o sistema de informação podem desempenhar numa empresa:
Apoio às operações e processos
Apoio à tomada de decisão empresarial
Apoio às estratégias para vantagem competitiva
O valor da informação:
Para compreendermos melhor o valor da informação no contexto atual vamos em primeiro lugar compreender o conceito de dado:
DADOS				→		INFORMAÇÃO
O dado é qualquer elemento				A informação é o dado trabalhado,
identificado em sua forma bruta e			que permite ao executivo tomar
que por si só não conduz a uma			decisões. É a matéria-prima para
compreensão de determinado				o processo administrativo da 
fato ou situação. 					tomada de decisão.
*O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação).
Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas.  A informação é vital para o processo de tomada de decisão de qualquer corporação.  Porém não basta produzir a informação no prazo previsto. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Além disso, é fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a Organização que o gerou.
Face a tantas mudanças tecnológicas, sociológicas e comportamentais, o profissional de TI deve levar em consideração os aspectos éticos sobre os danos potenciais ou riscos no uso da TI nas corporações:
Estas são algumas das perguntas e considerações que delineiam as dimensões éticas dos sistemas de informação.
♦ O QUE É SEGURANÇA?
É estar livre de perigos e incertezas;
É um estado ou condição que se aplica a tudo aquilo que tem valor para a organização, que é chamado de ativo*.
*Segundo a norma ISO/IEC 13335-1:2004, um ativo é qualquer coisa que tenha valor para a organização.
Os ativos podem ser classificados como:
Tangível → informações impressas ou digitais, sistemas, móveis, pessoas, etc.
Intangível → marca de um produto, imagem de uma empresa, confiabilidade de um banco, etc.
◘ Proteção: são medidas que visam livrar os ativos de situações que possam ter prejuízo.
Podemos classificar as proteções de acordo com a sua ação e o momento na qual ela ocorre. De acordo com a finalidade elas podem ser:
Preventivas: Evita que acidentes ocorram.
Desencorajamento: Desencoraja a prática de ações.
Monitoramento: Monitora o estado e o funcionamento.
Detecção: Detecta a ocorrência de incidentes.
Limitação: Diminui danos causados.
Reação: Reage a determinados incidentes.
Correção: Repara falhas existentes.
Recuperação: Repara danos causados por incidentes.
♦ SEGURANÇA DA INFORMAÇÃO: Visa à proteção de ativos de uma empresa que contêm informações.
Ativos de informação: São aqueles que produzem, processam, transmitem ou armazenam informações.
Cada empresa ao tratar de segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança conhecido como a tríade CID, ou em inglês AIC ou CIA. (Disponibilidade, Integridade e Confidencialidade)
Disponibilidade → garantia que só os usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. (NBR ISO/IEC 27002)
Integridade → salvaguardar da exatidão e completeza da informação e dos métodos de processamento. (NBR ISO/IEC 27002)
Confidencialidade → garantia de que os usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. (NBR ISO/IEC 27002)
Fatores que impactam na segurança de uma organização:
Valor: Importância do ativo para a organização. Como já falamos pode ser avaliado por propriedades mensuráveis ou abstratas, ou seja, tangível ou intangível. Exemplo: intangível – comprometimento da imagem de uma empresa por causa do vazamento de uma informação; tangível – valor financeiro, o lucro que ele provê ou custo de substituí-lo.
Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Exemplo: um incêndio, uma enchente, a invasão de um computador ou um roubo.
Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento desses mecanismos.
Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará; Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça. Exemplo: O impacto de uma invasão a um servidor de banco de dados pode ser maior que o impacto a invasão da máquina da secretária da gerência de operações.
Risco: Medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará. Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será o risco associado a este incidente.
Pode-se concluir que um Problema de segurança é:
A perda de qualquer aspecto de segurança importante para minha organização.
E podem ser de diferentes tipos:
→ Desastres Naturais → tempestades, inundações, incêndio, etc.
→ Operação Incorreta → erro do usuário ou administrador do sistema.
→ Ataque ao sistema → visando algum lucro.
Avaliando o aprendizado:
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Resposta: insegurança.
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Resposta: Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixonão representa um exemplo de Ativo Intangível: Resposta: Sistema de Informação.
Aula 2: O ciclo de vida da informação
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável.
Para compreendermos melhor esta questão vamos ampliar nosso conceito de dado e informação.
Dados: é a coleta da matéria-prima bruta, dispersa nos documentos.
Informação: é o tratamento do dado, transformado em informação. Pressupõe uma estrutura de dados organizada e formal. As bases e banco de dados, bem como as redes são sustentadas pela informação.
Conhecimento: é o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada indivíduo.
Inteligência: é a combinação destes três elementos resultante do processo de análise e validação por especialista. É a informação com valor agregado.
Percebe-se que cada termo podeser considerado como matéria-prima do termo seguinte, numa crescente agregação de valor.
A informação deve ser protegida devido ao seu valor tanto estratégico quanto financeiro.
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Veja a seguir, quatro tipos possíveis de valor da informação:
Valor de uso – baseia-se na utilização final que se fará com a informação.
Valor de troca – é o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda).
Valor de propriedade – reflete o custo substitutivo de um bem.
Valor de restrição – surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas.
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de uma vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor.
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa.
Manuseio – Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.
Armazenamento – Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta por exemplo.
Transporte – Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (email), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
Descarte – Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico do seu computador de mesa, ou ainda, descartar um CD-ROM usado que apresentou falhar na leitura.
☺Onde proteger as informações?
☻Do que proteger as informações?
Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação, de forma a operacionalizar a informação e os dados, ou seja, organizar em meios físicos e com registros, categorizando-os para garantir a segurança e privacidade. 
 Este método permite que os gestores de tecnologia e os administradores da corporação definam por quanto tempo esses dados ficarão disponíveis, quando efetivamente serão descartados e permite classificar a informação quanto a sua finalidade.
Esta classificação permite identificar o grau de relevância e prioridade que a informação exerce em cada nível da organização.
Assim a aplicação do gerenciamento do ciclo de vida da informação traz uma série de benefícios a empresa:
Classificação da informação:
O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
	Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informação deve ser examinado a partir desses aspectos:
Disponibilidade – A informação está sempre disponível quando necessária às pessoas autorizadas.
Confidencialidade – A informação só é acessada pelos indivíduos autorizados.
Integridade – A informação é atual, completa e mantida por pessoas autorizadas.
Valor – A informação tem um alto valor para a organização.
__________________________________________________________________________________________________
Existem outros aspectos que também podem ser considerados: 
 
• Autenticidade – Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem 
do dado ou informação; 
 
• Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que 
modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado. 
 
• Legalidade – É a aderência de um sistema à legislação. Garante a legalidade (jurídica) da informação. 
 
• Privacidade –Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. É a capacidade 
de um usuário realizar ações em um sistema sem que seja identificado. 
 
• Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação 
foi submetida, identificando os participantes, os locais e horários de cada etapa. 
__________________________________________________________________________________________________
Outro fator que deve ser considerado é o nível de ameaça conhecido que cada informação tem. Para isso devem ser respondidas questões como:
Existem concorrentes buscando a informação?
É uma informação fácil de perder a integridade, ficar desatualizada?
É possível que ela fique indisponível e por qual motivo isso pode acontecer?
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir, por exemplo, a seguinte classificação:
Irrestrito – Esta informação é pública, podendo ser utilizada por todos sem causar danos à organização.
Interna – Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização.
Confidencial – Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes.
Secreta – Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta informação é considerada vital para a companhia.
Para podermos chegar nestes níveis de segurança podemos também considerar os seguintes aspectos:
O que devemos notar é que o nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Existem os casos onde estes fatores se somam. Por exemplo, uma informação pode ter requisitos de confidencialidade média, mas a integridade alta. Assim o nível de segurança da informação deve ser definido levando em conta todos estes fatores em conjunto e não apenas um deles isoladamente.
Para definir o nível de segurança em cada setor da organização a pessoa mais indicada é o próprio responsável daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor.
Após essa classificação ser feita, também é importante que alguém de um nível superior a ele esteja verificando a classificação para garantir que as informações que precisem transitar entre os diversos setores não sejam demais protegidas e isoladas em um setor e também que as informações que não podem transitar estejam protegidas.
Para finalizarmos:
O mais importante para a organização é todo o conhecimento e as informações que ela tem relativos aos processos do seu negócio especifico. Aqueles que conhecem melhor da sua área tem mais ferramentas, que no caso são as informações para um melhor desempenho.
Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão de negócios.Lembrando que a informação que deve ser protegida é aquela que oferece riscos de causar danos nas operações da empresa caso seja transmitida a quem não for autorizado e que a informação que deve ser disseminada também oferece riscos de causar danos as operações da empresa caso não chegue ao seu destinatário, ou não esteja disponível na hora certa.
Avaliando o aprendizado:
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Resposta: Confidencialidade, integridade, disponibilidade e valor.
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem . Quando uma informação é classificada como aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? Resposta: Interna.
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação: Resposta: Confidencialidade, Disponibilidade e Integridade.
Aula 3: Vulnerabilidade de Segurança
A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada.
As vulnerabilidades estão presentes  no dia-a-dia das empresas e se  apresentam nas mais diversas áreas de uma organização. 
Partindo do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os ambientes empresariais são vulneráveis e muitas vezes  encontramos também vulnerabilidades nas medidas implementadas pela empresa. 
Mas, o que é vulnerabilidade?
VULNERABILIDADE é a fragilidade presente ou associada a ativos que manipulam ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação, ou seja, a disponibilidade, integridade e confidencialidade.
*ameaças – uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameaças.
Pode-se concluir que:
Agentes ameaçadores exploram as vulnerabilidades, possibilitando incidentes de segurança que afetam os negócios impactando negativamente nos clientes e produtos.
Exemplos de vulnerabilidades:
Não existe uma única causa para o surgimento de vulnerabilidades. A negligência por parte dos administradores de rede e a falta de conhecimento técnico são exemplos típicos de vulnerabilidade, porém diferentes tipos de vulnerabilidades podem estar presentes nos diversos ambientes computacionais.
As vulnerabilidades podem ser:
Físicas
Vulnerabilidades físicas 
Os pontos fracos de ordem física são aqueles presentes nos ambientes em que estão armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças, afetam diretamente os princípios básicos da segurança da informação, principalmente disponibilidade.
São exemplos:
- instalações prediais fora do padrão;
- salas de CPD mal planejadas;
- falta de extintores e detectores de fumaça;
- riscos de explosões, vazamentos ou incêndios.
Naturais
Vulnerabilidades naturais:
Os pontos fracos naturais são aqueles relacionados às condições da natureza que podem colocar em risco as informações. A probabilidade de estar exposto às ameaças naturais é fundamental na escolha e preparação de um ambiente. Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaça natural que possa ocorrer em uma determinada região geográfica.
Exemplos:
- incêndios;
- enchentes;
- terremotos;
- tempestades;
- falta de energia;
- acúmulo de poeira;
- aumento de umidade e de temperatura.
Hardware
Vulnerabilidades de hardware:
Os pontos fracos de Hardware são os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou a alteração dos mesmos.
Exemplos de vulnerabilidade de hardware:
- a ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados;
- a conservação inadequada dos equipamentos;
- falha nos recursos tecnológicos (desgaste, obsolescência, má utilização);
- erros durante a instalação.
Software
Vulnerabilidades de software
Podem ser classificadas como vulnerabilidade de aplicativo ou de sistema operacional. Neste caso os pontos fracos de software ocorrem quando aplicativos/sistema operacional permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede.
São exemplos:
- a configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados;
- erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.
Mídias
Vulnerabilidades de mídias
Os pontos fracos de mídias são as formas de utilização inadequadas dos dispositivos de armazenamento das informações, que podem deixar seu conteúdo vulnerável a uma série de fatores que poderão afetar a integridade, a disponibilidade e a confidencialidade das informações.
Exemplos:
- uso incorreto das mídias de armazenamento (pendrive, CD-ROM, HD);
- discos, fitas, relatórios e impressos podem ser extraviados;
- local de armazenamento em locais insalubres ou com um alto nível de umidade, magnetismo ou estática, mofo;
- defeito de fabricação.
Comunicação
Vulnerabilidades de comunicação
Os pontos fracos da comunicação abrangem todo o tráfego de informações, onde quer que transmitam, seja por um cabo, satélite, fibra óptica ou ondas de rádio. Abrange qualquer falha na comunicação que faça com que uma informação fique indisponível para os seus usuários, ou, pelo contrário, fique disponível para quem não possua direitos de acesso ou ainda que as informações sejam alteradas em seu estado original, afetando sua integridade.
Exemplos:
- acesso não autorizado;
- perda de comunicação;
- a ausência de sistemas de criptografia nas comunicações;
- a má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade na empresa.
Humanas
Vulnerabilidades humanas
Os pontos fracos humanos relaciona-se aos danos que as pessoas podem causar às informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não e interna ou externa. Um importante exemplo dessa vulnerabilidade é o desconhecimento das medidas de segurança adequadas que são adotadas pela organização.
São exemplos:
- falta de treinamento;
- compartilhamento de informações confidenciais;
- não execução das rotinas de segurança;
- erros ou omissões nos procedimentos operacionais da organização;
- ameaça de bomba;
- sabotagens;
- vandalismo, roubo ou destruição da propriedade ou dos dados.
Análise de Vulnerabilidades
A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A análise de vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas.Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que a empresa fornece ou desempenha. Esta análise compreende todos os ativos da informação da empresa que abrange:
Tecnologias, Ambiente, Processos e Pessoas.
*A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior conhecimento do ambiente de TI e seus problemas; assim como a possibilidade de tratamento das vulnerabilidades, com base nas informações geradas.  
Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo.  O objetivo do teste é a identificação nas máquinas da rede alvo de: 
As portas do protocolo TCP/IP que encontram-se desprotegida (abertas);
Os sistemas operacionais utilizados;
Patches e service packs (se for o caso) aplicados
e os aplicativos instalados.  
Existem também diferentes tipos de vulnerabilidades que podem ser encontradas:
Bugs específicos dos sistemas operacionais/ aplicativos;
Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
Falhas nos softwares dos equipamentos de comunicações; 
Fraquezas nas implementações de segurança dos equipamentos de comunicação; 
Fraqueza de segurança/falhas  nos scripts que executam nos servidores web;
Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos.
Existem vários softwares para detectar vulnerabilidades. Além da análise de vulnerabilidades, também é muito importante que o profissional de TI realize periodicamente uma pesquisa de vulnerabilidade sobre os produtos ou aplicações utilizados em sua organização.
Pesquisa de vulnerabilidade: significa descobrir falhas e deficiências em um produto ou aplicação que podem comprometer a segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele tenta explorá-la.
A realização de uma Pesquisa de vulnerabilidade é importante porque auxilia os profissionais de segurança a:
Identificar e corrigir vulnerabilidades de redes;
Proteger a rede de ser atacada por invasores;
Obter informações que auxiliam a prevenir os problemas de segurança;
Obter informações sobre vírus;
Conhecer as fragilidades de redes de computadores;
Conhecer os alertas de segurança antes de um ataque de rede;
Conhecer como recuperar uma rede após um ataque.
◄Exploit: Um exploit, em segurança da informação, é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operativo ou serviços de interação de protocolos (ex: servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. 
Avaliando o aprendizado:
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? Resposta: Vulnerabilidade de Software
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Software: Resposta: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários.
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Resposta: Vulnerabilidade Software
Aula 4: Ameaças aos sistemas de informação
Introdução às ameaças de segurança:
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos motivados não só pela difusão da Internet, que cresceu de alguns milhares de usuários no início da década de 1980 para centenas de milhões de usuários ao redor do globo nos dias de hoje, como também pela democratização da informação.  A internet tornou-se um canal on-line para fazer negócios, porém viabilizou também a atuação dos ladrões do mundo digital, seja hackers ou leigos mal-intencionados. Proporcionou também a propagação de códigos maliciosos (vírus, worms, trojans, etc), spam, e outros inúmeros inconvenientes que colocam em risco a segurança de uma corporação.
Outros fatores também contribuíram para impulsionarem o crescimento dos incidentes de segurança, tais como:
- O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho.
- O processo de mitigar tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas vezes de forma manual e individual: de máquina em máquina.
- A complexidade e a sofisticação dos ataques, que assumem as formas mais variadas, como, por exemplo: infecção por vírus, acesso não autorizado, ataques denial of service contra redes e sistemas, furto de informação proprietária, invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fio, entre outras.
É a conjunção dessas condições acima que culmina na parada generalizada de sistemas e redes corporativas ao redor do mundo.
AMEAÇA: Uma ameaça segundo a definição da RFC 2828, internet security glossary, é: Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de: CONFIDENCIALIDADE, INTEGRIDADE E DISPONIBILIDADE.
Quando classificadas quanto a sua intencionalidade as ameaças podem ser:
◄ Códigos maliciosos (Malware)
Segundo o Wikipédia, o termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers,  bots, rootkits e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definiçãosupracitada.
◄ Vírus
O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. 
Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro.
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco.
Como uma máquina pode ser infectada? 
É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:
-Abrir arquivos anexados aos e-mails;
-Abrir arquivos do Word, Excel, etc;
-Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
-Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes, pendrives, CDs, DVDs, etc.;
-Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado.
◄ Worms
Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Geralmente o worm não tem como conseqüência mesmos danos gerados por um vírus, mas são  notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.
◄Cavalos de Tróia
São programas que parecem úteis, mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
Normalmente é um programa, normalmente recebido como um “presente”, que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia:
•instalação keyloggers ou screenloggers; 
•furto de senhas e outras informações sensíveis, como números de cartões de crédito;
•inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
•alteração ou destruição de arquivos.
◄ Adware (Advertising software)  
É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos.
◄ Spyware
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.
Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso:
-Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
-Alteração da página inicial apresentada no browser do usuário;
-Varredura dos arquivos armazenados no disco rígido do computador;
-Monitoramento e captura de informações inseridas em outros programas, como processadores de texto;
-Instalação de outros programas spyware;
-Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse
-Captura de senhas bancárias e números de cartões de crédito;
-Captura de outras senhas usadas em sites de comércio eletrônico.
◄ Backdoors
Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão.  Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet).  O backdoor  pode  ser incluído por um vírus, através de um cavalo de tróia ou pela a  instalação de pacotes de software.
◄ Keyloggers
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito.  Sua ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).  A contaminação por Keylogger, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans.
◄ Screenloggers 
Formas mais avançadas de keyloggers que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, também são capazes de armazenar a região que circunda a posição onde o mouse é clicado.
◄ Rootkits 
Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de um invasor.  O nome rootkit não indica que o conjunto de ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades: 
•programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc.;
•backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits); 
• programas para capturar informações na rede onde o computador está  localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
•programas para remoção de evidências em arquivos de logs;
•programas para mapear potenciais vulnerabilidades em outros computadores.
◄ Bots e Botnets
Segundo a wikipédia, uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída.
Funcionamento:
O bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Ele dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente. 
 Normalmente, o bot se conecta a um servidor de IRC1 (Internet Relay Chat) e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para estecanal. 
O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo bot. Estas seqüências de caracteres correspondem a instruções que devem ser executadas pelo bot. 
Um invasor, ao se comunicar com um bot, pode enviar instruções para que ele realize diversas atividades, tais como: 
- Desferir ataques na Internet;
- Enviar e-mails de phishing;
- Enviar spam;
- Executar um ataque de negação de serviço;
- Furtar dados do computador onde está sendo executado.
Potenciais atacantes:
1. Hackers - Pessoa com amplo conhecimento de programação e noções de rede e internet.  Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados;
2. White-hats - Exploram os problemas de segurança para divulgá-los abertamente;
3. Crackers - Pessoas que invadem  sistemas em rede ou computadores apenas por desafio;
4. Black-hats - Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc.
5. Pheakres - Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou  realizam chamadas sem tarifação;
6. Wannabes - Ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos;
7. Defacers - São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las;
Ameaças passivas x ativas:
Nós vimos que as ameaças podem ser classificadas quanto a sua intencionalidade e podem ser classificadas quanto a sua origem: INTERNA ou EXTERNA.
Ela pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou um cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações estratégicas da empresa.
Segundo Stallings, na literatura os termos ameaças e ataque normalmente são usados para designar mais ou menos a mesma coisa:
 Podemos classificar os ataques como:
 
 
 
Ao final de nosso estudo podemos concluir que:
A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difíceis e sofisticados. Novas formas de infecção podem surgir. Portanto, é importante manter-se informado através de jornais, revistas e de sites sobre segurança e de fabricantes de antivírus.
Avaliando o aprendizado:
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: Resposta: Vírus
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Resposta: Adware
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: Resposta: Cavalo de Tróia.
Aula 5: Ataques à segurança
Com o avanço das tecnologias e a valorização da informação nas organizações, o profissional da área de TI necessita atualmente além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque. Deverá também ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela organização.
Para que um ataque ocorra, normalmente o atacante irá seguir os seguintes passos:  
Levantamento das informações
A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque.
Existem duas formas de realizar o reconhecimento: ativo e passivo.
O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”.
O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
Exploração das informações
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e networking mapping.
Obtenção de acesso
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar os métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido.
Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede.
Manutenção do acesso
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
Camuflagem das evidências
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnicas utilizadas nessa fase a esteganografia*, o tunelamentoe a alteração dos arquivos de log.
*Esteganografia - (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra, uma forma de segurança por obscurantismo. Em outras palavras, esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. É importante frisar a diferença entre criptografia e esteganografia. Enquanto a primeira oculta o significado da mensagem, a segunda oculta a existência da mensagem.
Um exemplo básico de técnica moderna de esteganografia é a alteração do bit menos significativo de cada pixel de uma imagem colorida de forma a que ele corresponda a um bit da mensagem. Essa técnica, apesar de não ser ideal, pouco afeta o resultado final de visualização da imagem.
Principais tipos de ataque:
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema.  Estes ataques podem ser classificados como:
Ataque para obtenção de informações: Neste tipo de ataque é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador.
Ataques aos sistemas operacionais: Os sistemas operacionais atuais apresentam uma natureza muito complexa devido a implementação de vários serviços, portas abertas por padrão, além dediversos programas instalados. Muitas vezes a aplicação de patches e hotfixes não é tarefa tão trivial devido a essa complexidade: dos sistemas, da rede de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI.  Consequentemente os atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o sistema de rede da organização.   
Ataques à aplicação: Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os desenvolvedores de software têm um tempo de desenvolvimento do produto muito curto.  Apesar de muitas organizações utilizarem metodologias baseadas na engenharia de software, as aplicações muitas vezes são desenvolvidas com um grande número de funcionalidades e Recursos, seja para cumprir prazos ou por falta de profissionais qualificados, não são realizados testes antes da liberação dos  produtos. Além disso, normalmente as características de segurança da aplicação são oferecidas posteriormente ou muitas das vezes como um componente “add-on”. A não existência de controles de erros nas aplicações pode levar a ataques, por exemplo, de buffer overflow.
Ataques de códigos pré-fabricados (shrink wrap code): Por que reinventar a roda se existem uma série de exemplos de códigos já prontos  para serem executados?  Quando um administrador de sistemas instala um sistema operacional ou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. Normalmente o problema na utilização destes scripts, é que  não passaram por um processo de refinamento e customização  quanto as reais necessidades de cada administrador  e quando utilizado em sua versão padrão podem  então conduzir a um ataque do tipo shrink wrap code, ou seja o atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque.
Ataques de configuração mal feita (misconfiguration): Muitos sistemas  que deveriam estar fortemente seguros, podem   apresentam vulnerabilidades caso não tenham sido configurados adequadamente. Com a complexidade dos sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de configurar um sistema adequadamente os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, evitando que algum serviço ou software não necessário possa ser explorado.
Principais tipos de ataque:
Packet Sniffing
Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque também é conhecido como  espionagem passiva  e sua utilização diminuiu muito com a utilização de switches no lugar dos hubs.
A utilização de firewalls contribui muito para evitar esse tipo de ataque. Pois além de limitar as portas que poderão ser acessadas, podemos definir os estados das conexões tcp que serão aceitos. Podemos, por exemplo, definir que para a porta 21, somente o endereço IP xpto.xpto.xpto.xpto poderá acessar.
Port Scanning
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta.
Como funciona o Port Scanning ?
Um dos métodos de se implementar um port scanning é a partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso.   
Scanning de vulnerabilidades
Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização de um software de  scanning de vulnerabilidades.
Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades.  Seu  principal alvo são aplicativos desatualizados, por exemplo:
 A versão de algum software utilizado na sua organização na qual foram achadas falhas críticas de segurança mas que a equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo.
Ip Spoofing
Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde o atacante se passa por um usuário legítimo.
SYN Flooding
Este tipo de ataque  explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma  um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas.
A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.
* Three-way-handshake
O protocolo TCP é um protocolo confiável, pertencente a  pilha de protocolos TCP/IP. Para que ocorra troca de dados entre dois computadores é necessário que as duas máquinas estabeleçam uma conexão.  Essa conexão é virtual e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois ocorre em três etapas.   Esse processo sincroniza os números de seqüência e fornece outras informações necessárias para estabelecer a sessão:
1. O cliente manda uma requisição (SYN)
2. O servidor responde com SYN-ACK (quer dizer que aceitou o protocolo e estabeleceu a conexão)
3. O cliente envia as informações em forma de “pacotes”
Fragmentação de pacotes IP
Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum transfer unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um meio físico da rede.  Este tipo de ataque   utiliza-se dessa característica  devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes.
Fraggle
Consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais.
Smurf
O ataque smurf é idêntico ao ataque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
SQL Injection
Um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.
Buffer Overflow
Conseqüência direta de péssimos hábitos de programação. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.
Ataque físico
Muitas vezes as organizações investem em equipamentos do tipo  firewalls e anti-vírus e pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de dispositivos USB, ou ainda por acesso  as informações sigilosas.
Dumpster diving ou trashing
Consiste na verificação do lixo em buscade informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos,  senhas e outros  dados importantes)  sejam triturados ou destruídos de alguma forma.
Engenharia Social
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É  um dos meios mais utilizados de obtenção de informações sigilosas e importantes. 
Isso ocorre, pois a maioria da empresas não possui métodos que protejam seus funcionários das armadilhas de engenharia social. Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. 
Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
Phishing Scam
Phishing, também conhecido como phishing scam ou phishing/scam, é um método de ataque que se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular.
Ataque de negação de serviço (DoS)
Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis.  Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga.  Estes tipos de ataques podem ser realizados de duas formas:
-Forçando o sistema alvo a  reinicializar ou consumir todos os seus recursos (como memória ou processamento)  de forma a não poder mais fornecer seu serviço.
-Obstruindo  a mídia de comunicação entre os clientes  e o sistema alvo de forma a não comunicarem-se adequadamente.
Ataques coordenados (DDoS)
Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço.
Como o ataque funciona?
-Consiste em fazer com que os Zumbis se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. 
-Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. 
-Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
Existem uma série de vírus e ferramentas que foram criadas para a distribuição de rotinas de ataque de negação de serviço:
Seqüestros de conexões
As conexões do protocolo TCP são definidas por quatro informações essenciais: 
-endereço IP de origem;
-porta TCP de origem;
-endereço IP do destino;
-porta TCP do destino. 
Todo byte enviado por um host é identificado com um número de seqüência que é conhecido pelo receptor. O número de seqüência do primeiro byte é definido durante a abertura da conexão e é diferente para cada uma delas.
Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de seqüencias válidos, colocando-se entre os dois hosts e enviando os pacotes válidos para ambos.
*Foram realizadas implementações no protocolo TCP/IP que praticamente inviabilizou esse tipo de ataque, que se tornou famoso por ter sido utilizado pelo Mitnick em conjunto com outras técnicas.
Source Routing
Mecanismo legítimo que foi especificado para o protocolo  IP, mas que pode ser explorado de forma ilícita. Neste tipo de ataque define-se uma rota reversa para o tráfego de resposta, em vez de utilizar algum protocolo de roteamento padrão.
Avaliando o aprendizado:
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: Resposta: É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque.
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Resposta: Ataque para Obtenção de Informações
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? Resposta: DDos

Outros materiais