Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Gestão de Riscos, Ameaças e Vulnerabilidades 2 I. Introdução - guerra cibernética O advento da internet e a globalização transformaram completamente o mundo em que vivemos. Estas transformações afetaram de forma decisiva as organizações, quebrando diversos paradigmas e promovendo uma profunda reavaliação dos que as estão comandando. Atualmente já se vivencia um cenário de guerra cibernética, que dia após dia toma conta das manchetes e páginas dos principais meios de comunicação, colocando em risco a paz mundial. Tecnicamente a guerra cibernética é definida como sendo o uso de ataques digitais às estruturas estratégicas ou táticas de um alvo, para fins de espionagem ou sabotagem. Diferentemente de um confronto militar, a guerra cibernética é silenciosa. Seu perfil é o de uma competição violenta e antiética, na maior parte das vezes desumana e com graves consequências econômicas. Ela nada mais é do que a utilização dos recursos de computação e comunicação para se conseguir uma informação ou até mesmo para destruir, modificar, alterar ou corromper os equipamentos e sistemas de outros países. Em meados de 2013, o ex-técnico de informação da Agência de Segurança Nacional Norte-americana1 (da sigla em inglês NSA) Edward Snowden revelou ao mundo o programa de espionagem conduzido pelo governo dos EUA. Segundo as informações divulgadas por Snowden, os alvos foram governos, governantes, empresas, empresários e cidadãos de vários países, aliados ou não dos EUA, tudo justificado pela égide do "combate ao terrorismo". Ainda segundo Snowden, empresas como a Microsoft, Yahoo, Google, Facebook, Paltalk, Youtube, Skype, AOL e Apple fornecem acesso aos técnicos da NSA para alimentar as bases de dados de 1NSA: é a agência de segurança dos Estados Unidos, criada em 4 de novembro de 1952, com funções relacionadas à inteligência de sinais, incluindo interceptação e criptoanálise. É um dos órgãos encarregados de proteger as comunicações norte-americanas. 3 programas como o “Prism”2, que é um programa de vigilância eletrônica altamente secreto, mantido por aquela agência e que tem por finalidade o monitoramento e avaliação de mídias eletrônicas. Na sua versão mais assustadora, a ciberguerra pode ter como alvo o recurso estratégico mais importante de um país: sua população. Um hacker poderia fazer um ataque terrorista para desestabilizar ou desmotivar uma população a lutar. Isso implica em coisas assustadoras como ataques aos setores financeiros, que causariam danos econômicos; ou ataques a sistemas de comunicação. Você pode imaginar o que aconteceria se a rede de telefonia fosse desativada e a internet caísse. No contexto atual, em que a internet é utilizada em todos os serviços essenciais, como bancos, polícias, hospitais, aeroportos, indústrias, dentre outros, a guerra cibernética é uma ameaça constante e presente. Seu alvo pode ser praticamente qualquer setor importante para a infraestrutura do inimigo. Isto significa setores óbvios como o exército, a defesa nacional e a indústria bélica. No entanto, esses alvos também podem ser fábricas civis de armas, minas e outras manufaturas que auxiliem no funcionamento dessas fábricas — e o sistema elétrico, que fornece energia para todos esses setores. Um bom exemplo seria um ataque ao sistema energético. Nos EUA, este é um recurso estratégico importantíssimo. Se o sistema fosse destruído por um ciberataque, uma possibilidade que assusta o país, não seriam só as fábricas de armas que parariam de funcionar. Um ataque desses resultaria também em acidentes de trânsito, cirurgias interrompidas, falhas em máquinas de suporte à vida — basicamente, uma quantidade absurda de pessoas morreria. 2Prism: um dos programas de vigilância global da NSA que foi mantido secreto até junho de 2013. Permite coletar e monitorar várias atividades de usuários que estão em poder de provedores de serviços de internet, incluindo histórico de pesquisas, conteúdo de e- mails, transferência de arquivos, vídeos, fotos, chamadas de voz e vídeo, detalhes de redes sociais, logins e outros dados em poder das empresas de internet. 4 Hackers com o apoio do Estado, sejam membros das forças militares de um país ou financiados por ele, atacam computadores e redes do oponente que afetem recursos necessários para a guerra. Eles fazem isso da mesma forma que em qualquer outro computador ou sistema: estudam o sistema profundamente, descobrem suas falhas ou vulnerabilidades e usam essa falhas para controlar esse sistema ou destruí-lo. A espionagem é o início do processo de guerra cibernética. É quando você, intencionalmente, invade o sistema do outro para pegar alguma informação que não estaria disponível de outra forma. A estratégia mais urgente, nesse caso, é se prevenir destes ataques. Os analistas de segurança digital devem montar estratégias especializadas em identificar vulnerabilidades em redes de computadores, computadores pessoais e aplicações de forma geral. Não há dúvidas de que o conflito por meio de computadores já começou. Nós já estamos em guerra cibernética. Porém, muitos países não assumem o que fazem. Imagine um cenário de desordem total onde não há energia, a água está acabando e a comida estocada já foi consumida. Enquanto o lixo toma conta das ruas, o trânsito corre sem regras. Os hospitais funcionam parcialmente, o metrô e os aeroportos estão em completa desordem e uma operação bancária simples, como sacar dinheiro, está fora de cogitação: os sistemas foram derrubados. Esse roteiro lembra ficções assustadoras que lemos ou vemos no cinema, como nos filmes Duro de Matar 4, A Estrada e Ensaio sobre a Cegueira. Apesar de ser um cenário bastante catastrófico, vivemos hoje uma era em que os sistemas informatizados de um país podem sofrer ataques e parar de funcionar. Esse caos já é colocado em prática e tem nome: guerra cibernética. É fundamental que estudemos os riscos, vulnerabilidades e ameaças, a fim de nos prevenirmos dessas situações. 5 1. Gestão de riscos 1.1. Introdução A Norma ABNT NBR ISO/IEC 27.005/2008 apresenta vários conceitos importantes, sendo que passaremos a explorar o risco e a medida de risco. Ainda segundo a norma, todas as atividades de uma organização envolvem risco. As organizações devem gerenciar o risco, identificando-o, analisando-o, e em seguida, avaliando se o risco deve ser modificado pelo tratamento, a fim de atender a seus critérios. Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas, monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido. Risco é a possibilidade ou probabilidade de uma determinada ameaça, associada à ocorrência de algum incidente, explorar uma ou várias vulnerabilidades de um ativo ou de um conjunto de ativos, que provoque a alteração isolada ou em conjunto, da confidencialidade, integridade e disponibilidade, princípios básicos da segurança da informação. Sua escala é dada por dois fatores: • Probabilidade de ocorrência da ameaça medida através da combinação da sua frequência com a avaliação das vulnerabilidades; • Consequências trazidas pela ocorrência do incidente, ou seja, o impacto. É preciso lembrar que ativo vem a ser qualquer coisa que tenha valor para a organização. São exemplos de ativos, os elementos que compõem o processo de manipulação da informação, inclusive ela própria, os meios em que ela é armazenada, transportada e descartada. 6 1.2. Risco e impacto Para ilustrar a questão do risco e do impacto, vamos imaginar a questão do assalto a uma residência em diversos cenários. a) Assalto a uma rica residência em uma grande cidade "Na cidade,acontecem muitos assaltos. Porém, se minha casa for assaltada, mando comprar tudo de novo". Neste caso, mesmo havendo risco alto, o impacto é baixo. b) Assalto a uma pobre residência em uma grande cidade “Na cidade, acontecem muitos assaltos. Se minha casa for assaltada, vai ser muito difícil comprar tudo de novo". Nesse caso, o risco e o impacto são altos. c) Assalto a uma rica residência em uma cidade do interior “Na minha cidadezinha não acontecem assaltos. Se mesmo assim minha casa for assaltada, mando comprar tudo de novo". Nesse caso, tanto o risco quanto o impacto são baixos. d) Assalto a uma pobre residência em uma cidade do interior “Na minha cidadezinha não ocorrem assaltos. Mas, se minha casa fosse assaltada, seria muito difícil comprar tudo de novo". Nesse caso, o risco é baixo, porém o impacto é alto. 7 1.2.1. Impacto nos negócios 1.2.1.1. Impactos financeiros Perdas de receitas, vendas, juros ou descontos; Pagamento de multas contratuais; Cancelamento de ordens de vendas por atraso; Indisponibilidade de fundos; Despesas extraordinárias com serviços externos, funcionários temporários, compras de emergência, entre outras. 1.2.1.2. Impactos operacionais Interrupção dos negócios; Perda da capacidade de atendimento a clientes externos e internos, como por exemplo, alta gerência; Problemas de imagem; Problemas de perda de confiança, tais como de clientes, de entidades reguladoras, e outras. 1.2.1.3. Principais benefícios na adoção da gestão de riscos Entender os riscos associados com o negócio e a gestão da informação; Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações; Melhorar a eficácia no controle de riscos. A medida de risco é a combinação da probabilidade de um evento indesejável ocorrer e a sua consequência. O mais importante para a proteção da informação é que esses assuntos formem um conjunto coeso e integrado. É pouco importante para uma organização ter um estado de excelência em um assunto e uma situação deplorável em uma outra dimensão. 8 Esse é um dos primeiros cuidados que se deve ter ao desenvolver e implantar dimensões de controle. Com as melhores das intenções, queremos que, em um primeiro momento, a organização saia do estágio zero para o estágio de controle total e que seja referência de mercado. Cada negócio, independentemente de seu segmento de mercado, possui dezenas ou centenas de variáveis, que se relacionam direta e indiretamente com a definição de seu nível de risco. Como já vimos, o risco é a probabilidade de uma determinada ameaça explorar uma ou várias vulnerabilidades, expondo ativos a perdas de confidencialidade, integridade e disponibilidade, causando impacto nos negócios, que são limitados por medidas de segurança que protegem os ativos. Impede-se assim que as ameaças explores as vulnerabilidades, tentando minimizar o risco. Considerando R como sendo a taxa de risco, V as vulnerabilidades, A as ameaças, I os impactos e M as medidas de segurança, o risco pode ser calculado conforme a equação: Pode-se observar que a inclusão de medidas de segurança pode reduzir o risco. Por isto, a análise de riscos é uma das etapas mais importantes para a construção de um sistema de gestão de segurança de informação. 9 1.3. Contextualização Escopo é o conjunto de ativos, tais como indivíduos, grupos ou organizações, que são afetados diretamente por um determinado risco e que será coberto pelo processo de gestão de riscos. Para as organizações, de uma forma geral, o risco é visto como a exposição às perdas baseada nas frequências estimadas e custos de concorrência. Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada. 1.4. Ciclo PDCA A fim de resolver suas questões corporativas e desenvolver melhorias de gestão, as organizações,implementam um método amplamente utilizado pelas próprias companhias e por consultorias de gestão: o PDCA. Acrônimo para plan (planejar), do (executar), check (verificar) e act (agir), em inglês, o método remete à obra do filósofo francês René Descartes, Discurso do Método, de 1637. Naquela época, a motivação de Descartes era descobrir uma forma de condução científica do pensamento humano em busca da verdade. Essa é a origem fundamental do PDCA, um método cartesiano de resolver problemas. A grande razão de ser do PDCA é a resolução de problemas: ele é um passo a passo para o alcance de metas. O método pode ser aplicado a qualquer tipo de problema e é base fundamental dos processos de gestão de qualquer tipo de organização. Na prática, o método segue a sequência das quatro letras. O primeiro passo é identificar o problema, traçar uma meta e, a partir daí, analisar e planejar as ações que vão trazer o resultado esperado (plan). 10 Depois disso, executar o plano de ação (do), em seguida verificar os resultados (check) e, por fim, agir para consertar possíveis falhas a partir dos aprendizados (act). 1.4.1. Planejar Estabelecer os objetivos e processos necessários para entregar resultados de acordo com o projetado, objetivos ou metas. Ao estabelecer expectativas de resultado, a integridade e precisão da especificação também são partes da melhoria almejada. Quando possível, começar em pequena escala, para testar os possíveis efeitos. 1.4.2. Desempenhar Implementar o plano, executar o processo, fazer o produto. Coletar dados para o mapeamento e análise dos próximos passos: "checar" e "ajustar". A metodologia possibilita desenvolver um planejamento sistemático, permitindo de imediato maior produtividade, segurança, clima organizacional e motivação dos funcionários, com consequente melhoria da competitividade organizacional. 1.4.3. Conferir/ checar Estudar o resultado, medido e coletado no passo anterior, “desempenhar”, e compará-lo em relação aos resultados esperados, que foram os objetivos estabelecidos no passo “planejar”, para determinar quaisquer diferenças. Procurar por desvios principalmente na aplicação do plano e também olhar para a adequação e abrangência do plano permite a execução do próximo passo, ou seja, "agir". Traçar dados pode tornar isso muito mais fácil para ver as tendências ao longo de vários ciclos de PDCA, e assim converter os dados coletados em informação. Informação é o que se precisa para a próxima etapa: "ajustar". 11 1.4.4. Alavancar/ ajustar/ atuar É a realização das ações corretivas, que visam a correção das falhas encontradas durante o processo. Após a correção ser realizada, deve-se repetir o ciclo. É nessa etapa que o ciclo se reinicia, dando continuidade ao processo de melhoria contínua. É através da análise crítica do ciclo PDCA que se estabelece um plano de ação definitivo para a implementação das atividades a serem executadas após os estudos do ciclo. O objetivo é tomar ações corretivas sobre as diferenças significativas entre os resultados reais e os planejados. O plano PDCA, quando aplicado junto ao Sistema de Gestão da Qualidade, pode implementar ações para atingir a melhoria contínua, assegurar a operação e controle dos processos produtivos. No sistema de Gestão da Qualidade, podemos encontrar não conformidades nos processos. Para tratar a não conformidade, utilizamos o plano PDCA. 1.4.5. Ciclo PDCA proposto por Deming3 (melhoria contínua) 3DEMING, W. Edwards. Out of the Crisis. [S.l.]: MIT Center for Advanced Engineering Study, 1986. P – Plan – Planejar D – Do – Implementar C– Check - Verificar A – Act – Atuar corretivamente https://pt.wikipedia.org/wiki/PDCAhttps://pt.wikipedia.org/w/index.php?title=Sistema_de_Gest%C3%A3o_da_Qualidade&action=edit&redlink=1 https://pt.wikipedia.org/wiki/Controle https://pt.wikipedia.org/w/index.php?title=Processos_produtivos&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Processos_produtivos&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Sistema_de_Gest%C3%A3o_da_Qualidade&action=edit&redlink=1 https://pt.wikipedia.org/wiki/PDCA https://pt.wikipedia.org/wiki/W._Edwards_Deming 12 1.5. Gestão de Riscos A Gestão de Riscos, segundo a norma AS/NZS 4360, refere-se a cultura, estruturas e processos de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos. Segundo a Norma NBR ISO 27.002, é o conjunto de práticas, procedimentos e elementos de suporte utilizados para gerenciar o risco. Dessa forma, a Gestão de Riscos é o processo através do qual as organizações lidam com o risco associado à sua atividade, para obter medidas de prevenção ou controle que devem ser adotadas, para eliminar, prevenir ou minimizar um ou vários pontos críticos ou de risco. A Gestão de Riscos em Segurança da Informação – GRSI é um dos assuntos de um processo de segurança da informação em uma organização e compõe o conjunto de ações que possibilitam que este processo ocorra de maneira eficiente, eficaz e contínua ao longo do tempo. Muitos benefícios são verificados na organização, ao se adotar um planejamento adequado para a Gestão de Riscos, entre eles: • Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações; • Melhorar a eficácia no controle de riscos; • Entender os riscos associados com o negócio e a gestão da informação; • Manter a imagem e reputação da organização; • Minimizar as possibilidades de furto de informação e maximizar a proteção e dados; • Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios. O propósito da Gestão de Riscos deve ser voltado a dar suporte a um sistema de segurança da informação - SGSI, que esteja em conformidade legal, e a evidência da realização dos procedimentos corretos, direcionado à preparação de um plano de continuidade de negócio, 13 resposta a incidentes e a descrição dos requisitos de segurança da informação para um produto, serviço ou mecanismo. 1.5.1.1. Etapas do processo da gestão de risco A Gestão de Riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco, cobrindo todo o ciclo de vida do risco, desde a sua identificação até ser comunicado aos envolvidos, podendo ser representada da seguinte forma: 1.6. Análise e avaliação dos riscos Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que cobrem todo o processo de identificação das ameaças e estimativas de risco, iniciando através da identificação dos riscos e seus elementos, que costumam ser classificadas como: Alvo==Agentes ==Ameaças==Vulnerabilidades ==Impactos 1.6.1. Método quantitativo IDENTIFICAR AVALIAR OS RISCOS SELECIONAR, IMPLEMENTAR E OPERAR CONTROLES PARA TRATAR OS RISCOS VERIFICAR E ANALISAR CRITICAMEN TE OS RISCOS MANTER E MELHORAR OS CONTROLES 14 A métrica é feita através de uma metodologia na qual tentamos quantificar, em termos numérico,s os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras. Os métodos quantitativos costumam ser vistos com cautela pelos estudiosos, devido à dificuldade de obtenção de resultados representativos e pela sua complexidade. 1.6.2. Método qualitativo Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. Isto torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Nessa etapa, são identificados os eventos que podem causar perdas, ou seja, as ameaças. Logo após, devemos identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles: • Reduzir através da adoção de novos controles; • Aceitar; • Evitar ou transferir. Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco, como, por exemplo, a apresentada a seguir: PROBABILIDADE DA OCORRRÊNCIA DO INCIDENTE 15 GRAVIDADE DO IMPACTO F Impossível E Improvável D Remota C Ocasional B Provável A Frequente I Catástrofe II Alta III Média IV Baixa É muito importante reduzir os riscos. Devem ser adotadas medidas de proteção adicionais. As medidas básicas de proteção adotadas pela organização são consideradas suficientes para manter os riscos em níveis aceitáveis. A norma fala da avaliação do risco e análise das consequências, em pontos distintos. O que faz mais sentido prático é quando ela define que a avaliação de riscos tem como entrada uma lista de riscos com níveis de valores designados e como saída uma lista de riscos ordenados por prioridades. Ou seja, faz-se necessário priorizar os riscos, pois um de nível alto, com baixo impacto financeiro, não necessariamente deve ser tratado antes de um risco de nível médio, porém com grande impacto financeiro. Dessa forma, a avaliação de risco considera impactos do tipo socioambiental, operacional, financeiro, oportunidade de negócio, cumprimento de prazo ou requisitos legais. Entende-se que, em uma primeira versão do processo da GRSI - Gestão de Risco em Segurança da Informação, pode-se tomar o item impacto englobando todos esses aspectos. Na medida em que a organização amadurece em gestão de risco, pode-se ter uma maior granularidade dos tipos de impactos. A norma define em seus anexos algumas abordagens para o processo de tratamento de risco. Uma das estratégias de razoável eficácia é: 16 • Avaliar, considerando a probabilidade da ameaça e facilidade de exploração, fragilidade dos controles, e chegando ao nível da medida de risco. Desta forma, podemos ter uma visão dos riscos existentes; • Priorização de ações sobre o risco, considerando os impactos ou consequências. Essa maneira ficará coerente quando tratarmos de riscos operacionais, nos quais primeiro será analisado o que impede a organização (ou área da organização) de atingir os seus objetivos e depois consideraremos o custo dessas ações. A norma indica um caminho estruturado que deve ser tomado por base. 1.7. Tratamento dos riscos A fase do tratamento dos riscos é aquela em que se selecionam e implementam as medidas necessárias de forma a reduzir os riscos já previamente identificados. Existem várias classificações disponíveis para as medidas de proteção, sendo uma delas a seguinte: 1.7.1. Medidas preventivas É a adoção de controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem ao grau de vulnerabilidade do ambiente, do ativo atingido ou do sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. 1.7.2. Medidas corretivas ou reativas São aquelas que reduzem o impacto de uma ataque ou incidente. São medidas tomadas durante ou após a ocorrência do evento. 1.7.3. Métodos detectivos São aqueles que expõem os ataques ou incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. 17 1.8. Aceitação e comunicação do risco A aceitação dos riscos ocorre quandoo custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-lo. Já a comunicação dos riscos refere-se à divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles. Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter uma campanha de conscientização de segurança. 1.9. Monitoramento e revisão dos riscos A gestão do risco precisa ser desenvolvida de forma permanente e iterativa, para que as mudanças nos sistemas e na forma como são usados, no perfil dos usuários, no ambiente, na tecnologia, nas ameaças, nas vulnerabilidades e em outras variáveis pertinentes, não tornem obsoletos os requisitos de segurança estabelecidos. Essa etapa de monitoração dos riscos consiste na verificação contínua, supervisão, observação crítica ou determinação da situação, visando identificar uma alteração no nível de desempenho requerido ou esperado dos riscos. 1.10. Riscos, medidas de segurança e o ciclo de segurança Segundo Sêmola4, para um melhor entendimento da amplitude e complexidade da segurança, é comum se estudarem os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. 4 Sêmola, Marcos. Gestão da Segurança da Informação: uma visão executiva. Editora Campus. 18 Essas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação: 1.10.1. Barreiras de segurança 1.10.1.1. Desencorajar Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. As ameaças, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. AMEAÇAS NEGÓCIO ATIVOS 19 A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já é efetiva nesta fase. 1.10.1.2. Dificultar O papel desta barreira é complementar a anterior, através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo. 1.10.1.3. Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros fisicos, aplicações de computador e banco de dados. 1.10.1.4. Detectar Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco — seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo. 1.10.1.5. Deter Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento dessa barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. 20 Nesse momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos são bons exemplos. 1.10.1.6. Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem o sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo com a primeira barreira, criando um movimento cíclico e contínuo. Devido a esses fatores, é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos. 2. Ameaças aos sistemas de informação 2.1. Introdução às ameaças de segurança As ameaças à segurança da informação e na internet continuam a evoluir exponencialmente. Discutiremos aqui as estratégias que as organizações podem adotar para contê-las e minimizá-las. Entende-se por ameaças, que podem ser ambientais ou humanas, tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. O incidente ocorre quando uma ameaça se concretiza. A conectividade sem precedentes da era da internet trouxe um imenso benefício social e econômico, mas também introduziu inúmeros novos desafios. O mundo está totalmente conectado, e assim as ameaças à segurança na internet continuam a evoluir com mais rapidez do que as proteções mais avançadas. Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos, motivados não só pela difusão da internet, que cresceu de alguns milhares de usuários no início 21 da década de 1980 para centenas de milhões de usuários ao redor do globo nos dias de hoje, como também pela democratização da informação. Outros fatores também contribuíram para impulsionar o crescimento dos incidentes de segurança, tais como: • O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho; • O processo de diminuir tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas vezes de forma manual e individual: de máquina em máquina; • A complexidade e a sofisticação dos ataques, que assumem as formas mais variadas, como, por exemplo: infecção por vírus, acesso não autorizado, ataques DoS - denial of service DDoS – distributed denial of service5contra redes e sistemas, furto de informação proprietária, invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fio, entre outras. É a conjunção dessas condições que culmina na parada generalizada de sistemas e redes corporativas ao redor do mundo. Os roubos de informações são hoje um negócio lucrativo e, em geral, controlado pelo crime organizado. 5Os ataques DoS (sigla para denial of service ou "ataques de negação de serviços") consistem em tentativas de fazer com que computadores — servidores web, por exemplo — tenham dificuldade ou mesmo sejam impedidos de executar suas tarefas. Para isso, em vez de "invadir" o computador ou mesmo infectá-lo com malwares, o autor do ataque faz com que a máquina receba tantas requisições que esta chega ao ponto de não conseguir dar conta delas. Em outras palavras, o computador fica tão sobrecarregado que nega serviço. Já o DDoS (sigla para distributed denial of service) é um tipo de ataque DoS de grandes dimensões, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina, distribuindo a ação entre elas. Trata-se de uma forma que aparece constantemente no noticiário, já que é o tipo de ataque mais comum na internet. 22 Um número crescente de modelos de crimes cibernéticos sofisticados, incluindo o surgimento de empresas fantasmas, utiliza ferramentas e serviços de vendas para iniciar ataques na rede, em vez de simplesmente vender as informações obtidas dos ataques. As autoridades governamentais, órgãos de pesquisas e a sociedade em geral podem interferir e ajudar a diminuir as ameaças à segurança da informação e internet, tomando as seguintes medidas: • Aumentando a conscientização dos clientes e da indústria sobre a importância da segurança; • Educando usuários sobre as melhores práticas; • Usando as melhores práticas para assegurar seus próprios sistemas; • Financiando pesquisa e desenvolvimento de longoprazo; • Criando e aplicando com rigidez leis contra crimes cibernéticos e processando criminosos que usam ou tentam usar a rede para roubo, fraude, extorsão ou outros crimes; • Aumentando a colaboração internacional com outros governos, órgãos de aplicação da lei e o setores privados sobre a socialização das melhores práticas e a instauração de processos internacionais por crimes cibernéticos. 2.2. Ameaças 2.2.1. Definição Segundo a definição da RFC 2828, do Internet Security Glossary, ameaça é um potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar dano, ou seja, é um possível perigo que pode explorar uma vulnerabilidade. Já o ataque à segurança da informação, oriundo de uma ameaça inteligente, ou seja, um ato inteligente é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança da organização. 2.2.2. Classificação das ameaças As ameaças podem ser classificadas, segundo a sua intencionalidade, em: 23 a) Naturais Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, entre outros; b) Involuntárias Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, entre outros; c) Voluntárias Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. Podem se originar de fatores técnicos, organizacionais e ambientais, agravados por más decisões administrativas. As ameaças podem também ser classificadas quanto a sua origem: a) Interna Quando o agente do ataque está localizado geograficamente dentro das instalações da organização, como por exemplo um colaborador mal-intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que pode comprometer seus ativos. b) Externa Quando o agente do ataque está localizado geograficamente fora das instalações da organização. 24 AMEAÇAS Causando Impacto NEGÓCIOS ATACAM 25 2.3. Principais tipos de ameaças 2.3.1. Códigos maliciosos - Malwares O termo malware é proveniente do inglês malicious software e refere-se a um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações, confidenciais ou não. Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers, bots, rootkits e spywares são considerados malwares. Também pode ser considerada malware uma aplicação legal que, por uma falha de programação, intencional ou não, execute funções que se enquadrem nessa definição. 2.3.1.1. Vírus Vírus é um programa ou parte de um programa malicioso criado para gerar resultados indesejados, que se autodissemina sem o conhecimento do usuário, “contagiando” os computadores que tiverem contato com ele. O vírus é normalmente malicioso e se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro. Ele utiliza um programa executável para nele se instalar, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. Alguns vírus e outros programas maliciosos, incluindo o spyware, estão programados para “reinfectar” o computador mesmo depois de detectados e removidos. Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas e arquivos do disco. 26 Uma máquina pode ser infectada através de um programa previamente infectado e que seja executado. Isto pode ocorrer de diversas maneiras, tais como: • Abrir arquivos anexados aos e-mails; • Abrir arquivos do Word, Excel, entre outros; • Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; • Instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, de disquetes, pendrives, CDs, DVDs, entre outros; • Ter alguma mídia removível infectada conectada ou inserida no computador quando ele é ligado. 2.3.1.2. Tipos de vírus 2.3.1.2.1. Vírus de e-mail É um tipo de vírus propagado por e-mail. Normalmente é recebido como um arquivo anexado à mensagem de correio eletrônico. O conteúdo dessa mensagem normalmente irá induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado. Nesse momento, o vírus entra em ação infectando arquivos e programas e enviando cópias de si mesmo para os contatos encontrados na lista de endereços de e-mails armazenadas no computador do usuário. Esse tipo de vírus não se propaga automaticamente, sendo necessário que o usuário execute o arquivo anexado que contém o vírus, ou o programa leitor de vírus precisa estar configurado para autoexecutar arquivos anexados. 27 2.3.1.2.2. Vírus de macro Explora a facilidade de automatização de determinados aplicativos tais como Word, Excel, Access, Powerpoint e é parte de um arquivo normalmente manipulado. Uma macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Por exemplo: em um editor de textos, definir uma macro que contenha a sequência de passos necessários para imprimir um documento com a orientação de retrato e utilizando a escala de cores em tons de cinza. Um vírus de macro explora esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, somente então, o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base ou modelos que são abertos sempre que o aplicativo é executado. Caso este arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo for executado, o vírus também será. Os arquivos mais suscetíveis a esse tipo de vírus são os gerados nos formatos dos programas da Microsoft, como o Word, Excel, Powerpoint e Access, porém isto não quer dizer que arquivos nos formatos RTF, PDF e PostScript não possam conter vírus. 28 2.3.1.2.3. Vírus de telefone celular Um vírus de celular se propaga de telefone para telefone através da tecnologia bluetooth ou MMS (Multimedia Message Service). Um aparelho celular pode ser infectado através de uma mensagem recebida informando que o telefone está prestes a receber um arquivo. O usuário permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho. Os vírus de celular diferem-se dos vírus tradicionais, pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o vírus pode realizar diversas atividades, tais como: • Tentar se propagar para outros telefones; • Destruir ou tentar sobrescrever arquivos; • Drenar a carga da bateria; • Remover contatos da agenda; • Efetuar ligações telefônicas. 2.3.1.3. Cavalo de Troia Também conhecido como trojan, é um invasor que não se reproduz. São programas que parecem úteis mas têm um código destrutivo embutido se instalando, geralmente, via e-mail; toda vez que o computador é ligado, o trojan automaticamente é executado sem o conhecimento do usuário. As açõesmaliciosas mais comuns são o furto de senhas e outras informações como número de cartões de crédito. 29 Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criam réplicas de si, e esse é o motivo pelo qual o cavalo de troia não é considerado um vírus. 2.3.1.4. Adware É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. 2.3.1.5. Spyware Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema, ou seja, é um aplicativo ou programa espião, e enviar as informações coletadas para terceiros. Consiste num programa automático de computador que recolhe informações sobre o usuário, sobre os seus costumes na internet, e transmite essa informação a uma entidade externa, sem seu conhecimento ou consentimento. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na internet, direcionando as propagandas que serão apresentadas. Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas na maioria das vezes são utilizados de forma dissimulada, não autorizada e maliciosa. Diferem dos cavalos de Troia por não terem como objetivo fazer com que o sistema do usuário seja dominado e manipulado por uma entidade externa comandada pelo invasor. 30 É importante ressaltar que esses programas, na maioria das vezes, comprometem a privacidade e a segurança do computador do usuário, dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros. 2.3.1.6. Backdoors Backdoor é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão do sistema para que se possa obter o total controle da máquina. São programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim, sem precisar recorrer aos métodos utilizados na invasão. Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam o acesso remoto através da internet. O backdoor pode ser incluído por um vírus, através de um cavalo de troia ou pela a instalação de pacotes de software. 2.3.1.7. Keyloggers São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador, a fim de descobrir suas senhas de banco, números de cartão de crédito e afins. Sua ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros, por exemplo, através de e-mails. 31 A contaminação por keyloggers geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os trojans. Os screenloggers são formas mais avançadas de keyloggers que, além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, também podem armazenar a região que circunda a posição onde o mouse é clicado. 2.3.1.8. Rootkits Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de um invasor. Sua principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Um rootkit não deixa de ser um trojan que busca se esconder de softwares de segurança e do usuário, utilizando diversas técnicas avançadas de programação. O nome rootkit não indica que o conjunto de ferramentas que o compõem são usadas para obter acesso privilegiado, root ou administrador em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador. 2.3.1.9. Worms São programas capazes de se autopropagar por meio de redes, enviando cópias de si mesmo de computador para computador. Diferentemente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se 32 dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro para se propagar. Geralmente os worms não têm como consequência gerar danos como um vírus, mas são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por e-mail. 2.4. Planejamento de um ataque Para que um ataque ocorra, normalmente o atacante irá seguir alguns passos para que tente ter sucesso em sua missão. São eles: 2.4.1. Levantamento das informações O reconhecimento é uma fase preparatória na qual o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação", antes do lançamento do ataque. Existem duas formas de realizar o reconhecimento: ativo e passivo. O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo". O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou do departamento técnico. 2.4.2. Exploração das informações 33 O atacante explora a rede, baseando-se nas informações obtidas na fase de reconhecimento. Essa fase apresenta um alto risco para os negócios de uma empresas, pois, além de ser considerada uma fase de pré-ataque, envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de portscan, scanner de vulnerabilidade e network mapping. 2.4.3. Obtenção de acesso Consiste na penetração do sistema propriamente dita. Nela, são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet ou da rede local, por fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. O atacante, nessa fase, poderá obter o acesso no nível de sistema operacional, aplicação e rede. 2.4.4. Manutenção de acesso O atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de “acessos exclusivos" obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase, o sistema atacado pode ficar comprometido. 2.4.5. Camuflagem das evidências 34 Consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência na máquinahospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnicas utilizadas nesta fase a esteganografia, o tunelamento e a alteração dos arquivos de log. 2.5. Classificação dos ataques Os ataquem podem ser classificados em dois grupos: 2.5.1. Ataques passivos Possuem a natureza de bisbilhotar ou monitorar as transmissões. O objetivo dos ataques passivos é obter informações que estão sendo transmitidas e são muito difíceis de serem detectados por não envolverem a alteração dos dados. Um ataque passivo envolve uma entidade atacante “ouvir” ou “sniff”, normalmente através de analisadores de protocolos, as trocas de comunicações entre a Entidade A e Entidade B ou gravar de forma passiva as atividades destes computadores, para uma posterior análise. Existem diversas formas de se fazer esta “escuta”, tais como keyloggers, para gravar teclas digitadas, e obter IDs de usuário e senhas. O objetivo, independentemente do método, é apenas de ouvir e gravar os dados de que estão circulando pela rede. O ataque passivo propriamente dito não é prejudicial, mas as informações recolhidas podem ser extremamente prejudiciais. Os ataques passivos podem ser divididos em dois grupos: 2.5.1.1. Liberação ou interceptação do conteúdo da mensagem = Ocorre na interceptação de uma conversa telefônica, mensagem de correio eletrônico ou de um 35 arquivo transferido, que pode conter informações importantes ou confidenciais, para descobrir seu conteúdo. 2.5.1.2. Análise do tráfego = Aqui o atacante observa os padrões das mensagens enviadas e pode determinar o local e a identidade dos envolvidos na comunicação e observar a frequência eo tamanho das mensagens trocadas. Essas informações podem ser úteis para descobrir a natureza da comunicação que estava ocorrendo. 2.5.1.3. Exemplos de ataques passivos (normalmente utilizados antes de um ataque ativo): • Pesquisa de vulnerabilidades; • Pesquisa por portas/ serviços; • http://www.insecure.org – Nmap; • Escuta (sniffing); • Ataques de senhas; • Muito comuns pela facilidade de execução e taxa de sucesso; • Força bruta; O atacante lê o conteúdo da mensagem da Entidade A para a Entidade B Entidade B Atacante Entidade A O atacante observa o padrão das mensagens da Entidade A para a Entidade B Entidade B Atacante Entidade A 36 • Teste de todos os caracteres possíveis; • Ataques de dicionário; • Reduz sensivelmente o tempo de quebra. 2.5.2. Ataques ativos Os ataques ativos envolvem o uso de informações obtidas durante um ataque passivo, tais como identificações de usuários e senhas. Podem ainda ser um ataque imediato utilizando artifícios tecnológicos tais como negação de serviço, worms, trojans ou outros malwares. Em um ataque ativo, o atacante está decidido e já possui informações suficientes para tirar um site do ar, roubar informações ou até mesmo destruir o equipamento de computação. Esses ataques envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso e podem ser subdivididos em quatro categorias: 2.5.2.1. Disfarce = Ocorre quando uma entidade se faz passar por outra. 2.5.2.2. Modificação da mensagem =Significa que alguma parte de uma mensagem legítima foi alterada ou que as mensagens foram adiadas ou reordenadas para produzir um efeito não autorizado. Entidade B Atacante Entidade A A mensagem da Entidade A é interceptada pelo Atacante, que a envia para a Entidade B, parecendo ser a original da Entidade A 37 2.5.2.3. Repetição =Envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado. 2.5.2.4. Negação de serviço =Este tipo de ataque impede ou inibe o uso ou gerenciamento das instalações de comunicação. Pode ter um alvo específico, como por exemplo, um servidor. Outra forma de negação de serviço é a interrupção de uma rede inteira, seja desativando a rede ou sobrecarregando-a com mensagens a fim de prejudicar o desempenho. Entidade B Atacante Entidade A O atacante modifica a mensagem da Entidade A para a Entidade B Entidade B Atacante Entidade A O atacante captura a mensagem da Entidade A e posteriormente a repassa para a Entidade B Atacante O atacante interrompe o serviço prestado pelo servidor Entidade A 38 2.5.2.5. Exemplos de ataques ativos: • DoS/DDoS - Enquanto o DoS é de fácil execução e pode ser corrigido, o DDoS é difícil e não pode ser evitado; • Reduz a qualidade de serviço a níveis intoleráveis; • Buffer Overflow; • Shell code, escrito em assembler; • Tem como objetivo executar algum código ou conseguir acesso privilegiado; • Ataques SYN; • Fragilidade nativa do TCP/IP; • Conexão de três vias (Syn, Syn-Ack, Ack); • Spoofing; • Faz-se passar por outro ativo da rede; • ITM (Man-In-The-Middle); • Falta de política de classificação da informação; • Engenharia Social. 2.6. Como se proteger dos ataques e ameaças Como vimos, algumas das ameaças estudadas são capazes de se propagar automaticamente, através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Porém, todas as ameaças exploram as vulnerabilidades encontradas. O Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil - CERT é mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil e atende a qualquer rede brasileira conectada à internet. Esse centro de estudos produz uma cartilha de segurança para a internet, que contém recomendações e dicas sobre como você pode aumentar a sua segurança na web. Deve ser lida e acompanhada por todos que se interessem em como se proteger. Nela se encontra uma série de recomendações, sendo uma das mais importantes: http://www.nic.br/ http://www.cgi.br/ 39 • Manter o sistema operacional e os softwares instalados nos computadores, sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidades. 2.7. Conclusão A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado. Novas formas de infecção podem surgir. Portanto, é importante manter-se informado através de jornais, revistas e de sites sobre segurança e de fabricantes de antivírus. 2.8. As dez maiores ameaças de segurança nas empresas de pequeno e médio porte Desde 1999 a equipe WatchGuard6 monitora, diariamente, emergentes ameaças de segurança de rede, com um foco especial nas questões que afetam as pequenas e médias empresas. Quando percebem uma ameaça que pode afetar as empresas negativamente, alertam imediatamente os assinantes por avisos via e-mail. Esse documento contém a lista dos dez principais vetores de dados mais comuns na experiência deles, como analistas de segurança para as pequenas e médias empresas. Sugerem também as práticas, técnicas e defesas para combater cada vetor. 6Para obter informações sobre a WatchGuard®, visite <www.watchguard.com>. http://www.gantech.com.br/www.watchguard.com 40 3. Vulnerabilidades de segurança 3.1. Introdução A vulnerabilidade é uma fraqueza que permite que um atacante reduza a garantia da informação de um sistema, sendo presente ou associada a ativos que manipulam ou processam informações que, ao serem exploradas por ameaças, permitem a ocorrência de um incidente. Assim, afeta um ou mais princípios de segurança da informação, ou seja, a disponibilidade, integridade e confidencialidade.Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha do sistema, acesso do atacante à falha e a capacidade do atacante de explorar a falha. Para explorar uma vulnerabilidade, um atacante deve ter pelo menos uma ferramenta ou técnica aplicável que possa conectar a uma fraqueza do sistema. Desta forma, a vulnerabilidade também é conhecida como superfície de ataque. As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou de uma condição favorável, que são as ameaças. A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada. As vulnerabilidades estão presentes no dia a dia das empresas e se apresentam nas mais diversas áreas de uma organização. Se partirmos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os ambientes empresariais são vulneráveis e muitas vezes encontramos também vulnerabilidades nas medidas implementadas pela empresa. https://pt.wikipedia.org/w/index.php?title=Hacker_(seguran%C3%A7a_de_computadores)&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Garantia_da_informa%C3%A7%C3%A3o&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Superf%C3%ADcie_de_ataque&action=edit&redlink=1 41 O gerenciamento de vulnerabilidade é a prática cíclica de identificar, classificar, remediar e mitigar vulnerabilidades, geralmente referentes a softwares nos sistemas de computador. Esta mesma pode ser explorada em um determinado sistema ou serviço vulnerável que esteja rodando na máquina. Gerenciar vulnerabilidades permite identificar falhas de segurança ante um agente malicioso e, ao promover ações imediatas de melhoria no desenvolvimento, a empresa antecipa-se ao risco de ataques a partir das aplicações web. O planejamento desse processo deve, evidentemente, levar em conta o tamanho da empresa, a quantidade e a complexidade das aplicações web, os indicadores de nível de risco admitidos, a equipe de desenvolvimento, as demais competências internas, as oportunidades de testes, os custos envolvidos e finalmente o orçamento total de segurança. As vulnerabilidades mais exploradas nos dias de hoje são as do tipo buffer overflow7, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de negação de serviço DDoS e acesso irrestrito ao sistema. Além dessas, outra vulnerabilidade bastante recorrente nos sistemas é a enumeração de usuários. É deste assunto que trataremos a seguir. 3.2. Enumeração de usuários A enumeração de usuários é uma prática utilizada para identificar os usuários ativos em um determinado sistema. Geralmente é utilizada para viabilizar ataques de força bruta. A constatação da vulnerabilidade se dá através da possibilidade de discernir entre usuários válidos e inválidos em uma aplicação. 7Buffer overflow é uma anomalia na qual um programa, ao escrever dados em um buffer, ultrapassa os limites do buffer e sobrescreve a memória adjacente. É um caso especial de violação de segurança de memória. https://pt.wikipedia.org/w/index.php?title=Gerenciamento_de_vulnerabilidade&action=edit&redlink=1 42 Existem várias falhas nas aplicações que permitem a exploração dos usuários; no entanto, esse tipo de falha é mais comum ser encontrada nos mecanismo de autenticação. Comumente, um atacante irá interagir com o mecanismo de autenticação da aplicação na tentativa de identificar o comportamento do sistema em resposta às requisições efetuadas em diferentes cenários de autenticação, como por exemplo, utilizando um usuário válido e outro inválido. Em alguns casos, as aplicações fornecem respostas que revelam se um determinado usuário existe na base de dados quando uma credencial inválida é utilizada na requisição de autenticação. Os testes de enumeração de usuários valida se a aplicação fornece, direta ou indiretamente, alguma informação que permita a distinção entre usuários válidos de uma aplicação. A seguir, vamos apresentar algumas abordagens que podem ser utilizadas para nortear os testes, no sentido de verificar a vulnerabilidade da aplicação quanto à segurança da informação. 3.2.1. Cenários de teste para a enumeração de usuários com base nas respostas das páginas 3.2.1.1. Autenticação com um usuário válido e senha válida Registre a resposta fornecida pela aplicação quando um usuário válido e uma senha correta sejam utilizados no pedido da autenticação. Verifique o tamanho e a resposta do servidor. 3.2.1.2. Autenticação com um usuário válido e senha inválida Nesse cenário, o administrador do teste deve utilizar um usuário válido e uma senha inválida e registrar a resposta de erro enviada pelo servidor para analisar o comportamento da aplicação para esse caso. Geralmente as aplicações apresentam mensagens como: “Falha na autenticação” ou “Senha inválida”. Verifique o tamanho e a resposta do servidor. 43 3.2.1.3. Autenticação com um usuário inválido Nesse outro cenário, o administrador do teste deve utilizar um usuário inválido e senha inválida e registrar o response do servidor. Geralmente as aplicações apresentam mensagens como: “Usuário inválido”, “Login não encontrado” ou “Conta inválida”. Verifique o tamanho e a resposta do servidor. Uma aplicação bem implementada deve retornar o mesmo tamanho e a mesma mensagem de erro para requisições de autenticação inválida. Caso o administrador do teste perceba que a aplicação apresenta tamanho e códigos de resposta diferentes para cenários de requisições malsucedidas de autenticação, como nos cenários 2 e 3, é indício de vulnerabilidade na aplicação. 3.2.1.3.1. Exemplo de indício de vulnerabilidade Request: Usuário válido / Senha inválida Response: “Senha incorreta” (tamanho: 1500) Request: Usuário inválido / Senha inválida Response: “Usuário não encontrado” (tamanho: 1780) Neste exemplo, é perceptível que no primeiro request a aplicação revela que o usuário é válido (portanto existente na base de dados), já que a resposta identifica que apenas a senha estava incorreta. O segundo response também revela claramente que o usuário requisitado não é válido. Com essas informações, já é possível a um atacante interagir com a aplicação realizando “requests” com nomes variados de usuários, para verificar qual deles a aplicação irá identificar como usuário válido, com base no “response” retornado. 3.2.1.4. Enumeração de usuários com base em URLs 44 Algumas aplicações web realizam redirecionamento de página quando falhas de autenticação acontecem. As URLs utilizadas para redirecionamentos podem ser analisadas para identificar os usuários válidos. 3.2.1.4.1. Exemplo de indício de vulnerabilidade Usuário válido / Senha inválida: http:// www.teste.com/err.jsp?User=usuario&Error=0 Usuário inválido / Senha inválida: http:// www.teste.com/err.jsp?User=usuario&Error=2 3.2.1.5. Enumeração de usuários com base nos códigos de respostas do servidor (response code) Geralmente os servidores de aplicações, quando não são configurados de forma adequada, acabam apresentando mensagem de erro padrão para a requisição de recursos e/ou diretórios. Esses responses na maioria das vezes são: • “403 Forbidden” para indicar que o recurso existe, porém não há permissão suficiente para que a requisição possa acessá-lo; • “404 Not found”para indicar que o recurso não existe. Algumas aplicações são desenvolvidas utilizando princípios REST, permitindo assim que osrecursos da aplicação, como a conta do usuário, possam ser associados a URLs. Exemplo: a URL http:// www.teste.com.br/usuario01 faz referência à conta do usuário 01. Dessa forma, um atacante pode utilizar os “response codes” retornados pelo servidor para enumerar os usuários da aplicação. https://pt.wikipedia.org/wiki/REST 45 3.2.1.5.1. Exemplo de indício de vulnerabilidade Usuário válido: Request: http:// www.teste.com/usuario01 Response: 403 Forbidden Usuário inválido: Request: http:// www.teste.com/usuario01 Response: 404 Not Found No primeiro caso, o usuário existe mas a página não é exibida, visto que o servidor responde com o código ”403 Forbidden”. Já no segundo caso, o código ”404 Not Found” indica que o usuário não existe na base da aplicação. Com essas informações, é possível a enumeração dos usuários da aplicação por um atacante. Nota: nem sempre o servidor apresenta um response code "404 Not Found" quando um recurso não existente for solicitado. Ao invés disso, ele responde com o response code "200 OK", mas com um imagem que representa o erro. Para esses casos, um atacante atento associará a imagem de erro a um usuário não existente. Esse mesmo raciocínio pode ser utilizado para qualquer resposta enviada pelo servidor, bastando diferenciar qual tipo de resposta representa um usuário válido e qual representa um usuário inválido. 3.2.1.6. Enumeração de usuários com base nas funcionalidades de recuperação de senha 46 Aplicações que disponibilizam funcionalidades de recuperação de senhas muitas vezes permitem que os usuários possam ser enumerados com base nas mensagens que apresentam: 3.2.1.6.1. Exemplo de indício de vulnerabilidade Usuário válido / Senha inválida: Mensagem: “Sua nova senha foi enviada com sucesso para o e-mail cadastrado” Usuário inválido / Senha inválida: Mensagem: “O e-mail informado não foi encontrado” 3.3. Ferramentas para exploração de vulnerabilidades Existem ferramentas específicas para se explorar as vulnerabilidades; cada ferramenta para a sua respectiva vulnerabilidade a ser explorada, na maioria das vezes escritas em linguagem C e Assembvly. Essas ferramentas são chamadas deexploits. Um exploit pode ser um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional, como o próprio sistema operacional ou serviços de interação de protocolos, como por exemplo, servidores web. São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. 3.4. Classificação das vulnerabilidades 47 Não existe una única causa para o surgimento de vulnerabilidades. A negligência por parte dos administradores de rede e a falta deconhecimento técnico são exemplos típicos, porém diferentes tipos de vulnerabilidades podem estar presentes em diversos ambientes computacionais. As vulnerabilidades podem ser classificadas da seguinte forma: 3.4.1. Vulnerabilidades físicas Os pontos fracos de ordem física são aqueles presentes nos ambientes em que as informações estão sendo armazenadas ou gerenciadas. São ambientes com pontos fracos de ordem física, onde são armazenadas ou gerenciadas as informações. Estas situações podem comprometer a disponibilidade da informação, tais como instalações inadequadas para o trabalho, falta de extintores contra incêndio, locais desorganizados ou pessoas não autorizadas transitando no local, tirando a privacidade no manuseio das informações sigilosas. Ao serem explorados por ameaças, afetam diretamente os princípios básicos da segurança da informação, principalmente a disponibilidade. São exemplos de vulnerabilidades físicas: • Instalações prediais fora do padrão; • Salas de CPD mal planejadas; • Falta de extintores e detectores de fumaça; • Risco de explosões, vazamentos ou incêndios. 3.4.2. Vulnerabilidades naturais São aquelas que envolvem condições naturais, que podem trazer riscos para os equipamentos e as informações. Podemos citar como exemplos: locais propensos a inundações, ambientes sem a devida proteção contra incêndio, terremotos, furacões ou maremotos. 48 A probabilidade de estar expostos às ameaças naturais é fundamental na escolha e na preparação de um ambiente. Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaça natural que possa ocorrer em uma determinada região geográfica. São exemplos de vulnerabilidades naturais: • Incêndios; • Enchentes; • Terremotos; • Tempestades; • Falta de energia; • Acúmulo de poeira; • Aumento de umidade e de temperatura. 3.4.3. Vulnerabilidades de hardware Estão relacionadas aos equipamentos que apresentam defeitos de fabricação ou configuração, podendo permitir o ataque de vírus ou violações. Nessas situações encontram-se a falta de atualizações dos programas e equipamentos não dimensionados corretamente. Os pontos fracos de hardware são os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas, que podem permitir o ataque ou sua alteração. São exemplos de vulnerabilidades de hardware: • A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados; • A conservação inadequada dos equipamentos; • Falha nos recursos tecnológicos =desgaste, obsolescência, má utilização; • Erros durante a instalação. 3.4.4. Vulnerabilidades de software 49 São os pontos fracos existentes nos aplicativos, permitindo o acesso de indivíduos não autorizados. É por esta razão que os softwares são os preferidos dos elementos que buscam as ameaças. Exemplos: • Aplicativos com configurações ou instalações inadequadas; • Programas de e-mail que permitem a execução de códigos maliciosos; • Falta de atualizações. Podem ser classificadas como vulnerabilidade de aplicativo ou de sistema operacional. Neste caso, os pontos fracos de software ocorrem quando aplicativos ou o sistema operacional permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede. São exemplos de vulnerabilidades de software: • A configuração e a instalação indevidas dos programas de computador ou de sistemas operacionais, que podem levar ao abuso dos recursos por parte de usuários mal- intencionados; • Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário. 3.4.5. Vulnerabilidades de mídias Os pontos fracos de mídias são as formas de utilização inadequadas dos dispositivos de armazenamento das informações, que podem deixar seu conteúdo vulnerável a uma série de fatores que poderão afetar a integridade, a disponibilidade e a confidencialidade das informações. São exemplos de vulnerabilidades de mídias: • Uso incorreto das mídias de armazenamento (pendrive, CD-ROM, DVD-ROM, HD); • Discos, fitas, relatórios e impressos, que podem ser extraviados; 50 • Local de armazenamento em locais insalubres ou com alto nível de umidade, magnetismo ou estática, mofo; • Defeito de fabricação. 3.4.6. Vulnerabilidades de comunicação Está relacionado ao tráfego de informações. Estes tráfegos podem ser realizados através de fibra óptica, ondas de rádio, satélite ou cabos. O sistema de comunicação escolhido deve ser seguro, de modo que as informações transmitidas alcancem o destino desejado e que não sofram nenhuma intervenção alheia. As informações deverão ser criptografadas e, após alguma falha no processo, a informação não deverá ficar disponível para pessoas não autorizadas e muito menos perder sua confiabilidade. Os pontos fracos de comunicação abrangemtodo o tráfego de informações, onde quer que transitem, seja por cabo, satélite, fibra óptica ou ondas de rádio. Abrangem qualquer falha na comunicação que faça com que uma informação fique indisponível para seus usuários, ou pelo contrário, fique disponível para quem não possua direitos de acesso, ou ainda que as informações sejam alteradas em seu estado original, afetando sua integridade. São exemplos de vulnerabilidade de comunicação: • Acesso não autorizado; • Perda de comunicação; • Ausência de sistemas de criptografia nas comunicações; • Má escolha dos sistemas de comunicação para o envio de mensagens de alta prioridade da empresa. 51 3.4.7. Vulnerabilidades humanas As vulnerabilidades humanas podem ser oriundas de atitudes intencionais ou não, e seus pontos fracos são: • Uso de senha fraca; • Compartilhamento de credencial de acesso; • Falta de treinamentos para o usuário ou o desconhecimento de segurança da informação; • Funcionários descontentes. Os pontos fracos humanos relacionam-se aos danos que as pessoas podem causar às informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não e interna ou externa. Um importante exemplo de vulnerabilidade humana interna é o desconhecimento das medidas de segurança adequadas que são adotadas pela organização. São exemplos de vulnerabilidades humanas: • Falta de treinamento; • Compartilhamento de informações confidenciais; • Não execução de rotinas de segurança; • Erros ou omissões nos procedimentos operacionais da organização; • Ameaça de bomba; • Sabotagens; • Vandalismo, roubo ou destruição da propriedade ou dos dados. 52 3.4.8. Vulnerabilidades de armazenamento As informações são armazenadas em suportes físicos, discos rígidos ou magnéticos, tais como CD, DVD, cartão de memória, pendrive, fitas magnéticas, entre outras. Suas utilizações inadequadas podem ocasionar vulnerabilidade, afetando a integridade, a disponibilidade e a confidencialidade das informações. Os pontos fracos podem danificar ou indisponibilizar os meios de armazenamento. Exemplos: • Defeitos de fabricação; • Uso incorreto; • Prazo de validade e expiração. 3.5. Análise de vulnerabilidades A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A análise de vulnerabilidade tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Essa análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informações das empresas. É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que a empresa fornece ou desempenha. A análise compreende todos os ativos da informação da empresa, que abrangem: • Tenologias =Softwares e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefone, rádio e gravadores; • Ambiente = É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Responsável pela análise de áreas técnicas; 53 • Processos = Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilhada entre os setores da organização; • Pessoas = São ativos da informação e executam processos, logo precisam ser analisadas. A análise de vulnerabilidades permite que os profissionais de TI e de segurança da empresa possam ter maior conhecimento do ambiente de TI e seus problemas, assim como a possibilidade de tratamento das vulnerabilidades, com base nas informações geradas. 3.5.1. Ferramentas para análise de vulnerabilidades de segurança Existem vários softwares para detectar vulnerabilidades, e a cada dia com o avanço das tecnologias surgem novas versões e novos produtos. Algumas delas: • Nmap - É um software livre que realiza a coleta de informações sobre as portas do protocolo TCP/IP. É muito utilizado para avaliar a segurança dos computadores, para descobrir serviços ou servidores e determinar o layout de uma rede de computadores. Por já existir há muitos anos, é provavelmente a ferramenta mais utilizada na coleta de informações. • Nessus - É um programa de verificação de falhas/ vulnerabilidades de segurança, sendo composto por cliente e servidor. Tem como grande vantagem ser atualizado com frequência e possuir um relatório bastante completo. Até bem pouco tempo atrás, só funcionava em Linux, mas recentemente foi lançada um versão para Windows. É distribuído sob os termos da licença pública geral GNU. Além da análise de vulnerabilidades, também é muito importante que o profissional de TI periodicamente realize uma pesquisa de vulnerabilidade sobre os produtos ou aplicações utilizados em sua organização. 54 3.6. Pesquisa de vulnerabilidade Significa descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele tenta explorá-la. É importante realizar uma pesquisa de vulnerabilidade, para auxiliar os profissionais de segurança a identificar e corrigir vulnerabilidades de rede como também proteger a rede de ser atacada por invasores, como: • Obter informações que auxiliam a prevenir os problemas de segurança; • Obter informações sobre vírus; • Conhecer as fragilidades de redes de computadores; • Conhecer os alertas de segurança antes de um ataque de rede; • Conhecer como recuperar uma rede após um ataque. 3.7. Teste de vulnerabilidade Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. O objetivo do teste é a identificação nas máquinas da rede alvo de: • As portas do protocolo TCP/IP que se encontram desprotegidas (abertas); • Os sistemas operacionais utilizados; • Patches e service packs (se for o caso) aplicados; • Os aplicativos instalados. 3.8. Conclusão Uma importante empresa do ramo de segurança, a http://blog.skyboxsecurity.com/, publicou um relatório comparativo com as dez empresas cujos produtos apresentaram uma maior quantidade de problemas de vulnerabilidades de 2014, comparado com o ano de 2013. http://blog.skyboxsecurity.com/ 55 Fonte: http://blog.skyboxsecurity.com/vulnerability-threat-management/top-10-most-vulnerable-vendors-2014/. REFERÊNCIAS BIBLIOGRÁFICAS BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. GUIMARÃES, A.G. ; LINS, R.D.; OLIVEIRA, R. Segurança com VPNs. Rio de Janeiro: Brasport, 2006. KUROSE, J.F.; ROSS, K.W. Redes de Computadores e a Internet: uma abordagem top-down. 5. ed. São Paulo: Addison Wesley, 2010. LYRA, Mauricio Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. NAKAMURA, E.T.; GEUS, P.L. de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007. SANTOS JUNIOR, A.L. dos. Quem mexeu no meu sistema? Segurança em sistemas de informação. Rio de Janeiro: Brasport, 2008. 56 SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Campus, 2003.
Compartilhar