Segurança da informação- Aula 4 e exercícios- Ameaças aos sistemas de informação

Prévia do material em texto

Aula 4- Ameaças aos sistemas de informação
Códigos maliciosos (Malware)
O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers,  bots, rootkits e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada. 
Vírus
O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. 
Para se tornar ativo  e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro .
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco.
Como uma máquina pode ser infectada? 
É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:
-Abrir arquivos anexados aos e-mails;
-Abrir arquivos do Word, Excel, etc;
-Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
-Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes,pen drives, CDs, DVDs, etc;
-Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado.
Tipos de vírus:
· Vírus de e-mail: 
É um tipo de vírus propagado por e-mail. Normalmente é recebido como um arquivo anexado à mensagem de correio eletrônico. Como funciona? O conteúdo dessa mensagem normalmente irá induzir o usuário a clicar sobre o arquivo anexado, faznedo com que o vírus seja executado. Neste momento o vírus entra em ação infectando arquivos eprogramas e enviando cópias de si mesmo para os contatos encontrados na lista de endereços de e-mails armazenadas no computador do usuário.; Este tipo de vírus não se propaga automaticamente, é necessário que o usuário execute o arquivo anexado que contém o vírus ou o programa leitor de vírus precisa estar configurado para auto-executar arquivos anexados. 
· Vírus de macro:
 Explora a facilidade de automatização de determinados aplicativos (wod, execel, access, powerpoint) e é parte de uma arquivo normalmente manipulado. Uma macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Por exemplo: em um editor de textos, definir uma macro que contenha a sequência de passos necessários para imprimir um documento com a orientação de retrato e utilizando a escala de cores em tons de cinza. Um vírus de macro explora esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, somente então, o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. Caso este arquivo base seja infectado pelo víırus de macro, toda vez que o aplicativo for executado, o vírus também será. Os arquivos mais suscetíveis a este tipo de vírus são os gerados nos formatos dos programas da Microsoft, como o Word, Excel, Powerpoint e Access, porém isto não quer dizer que arquivos nos formatos RTF, PDF e PostScript não possam conter vírus. 
· Vírus de telefone celular 
Um vírus de celular se propaga de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). Você sabe como o aparelho pode ser infectado? O usuário recebe uma mensagem que diz que seu telefone está prestes a receber um arquivo. O usuário permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho. Os vírus de celular diferem-se dos vírus tradicionais, pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o vírus pode realizar diversas atividades, tais como: Destruir/sobrescrever arquivos, remover contatos da agenda, efetuar ligações telefônicas, drenar a carga da bateria, tentar se propagar para outros telefone
Worms
Programa capaz de se propagar automaticamente através de redes, enviando cópias  de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Geralmente o worm não tem como consequência os mesmos danos gerados por um vírus, mas são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.
Cavalos de Tróia
São programas que parecem úteis, mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
Normalmente é um programa recebido como um “presente” (jogo, papel de parede, cartão virtual), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia:
•instalação keyloggers ou screenloggers; 
•furto de senhas e outras informações sensíveis, como números de cartões de crédito;
•inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
•alteração ou destruição de arquivos.
Adware
É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos.
Spyware
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.
Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso: 
-Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
-Alteração da página inicial apresentada no browser do usuário;
-Varredura dos arquivos armazenados no disco rígido do computador;
-Monitoramento e captura de informações inseridas em 
outros programas, como  processadores de texto;
-Instalação de outros programas spyware;
-Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse
-Captura de senhas bancárias e números de cartões de crédito;
-Captura de outras senhas usadas em sites de comércio eletrônico.
É importante ressaltar que estes programas, na maioria das vezes, comprometem a privacidade do usuário e a segurança do computadordo usuário, dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros.
Backdoors
Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão.  Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
Keyloggers
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito.  Sua ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).  A contaminação por Keylogger, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans.
Screenloggers
Formas mais avançadas de keyloggers que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado,  também são capazes de  armazenar a região  que circunda a posição onde o mouse é clicado. São prints do seu monitor, acompanhando tudo que você clica. 
Rootkits
Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de um invasor. Ou seja, pode ser um conjunto de Cavalo de Troia, vírus, backdoors, etc. O nome rootkit não indica que o conjunto de ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades: 
•programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
•backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits); 
• programas para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
•programas para remoção de evidências em arquivos de logs;
Bot e Botnets
Uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída. O atacante não costuma fazer mal ao host da vítima em si, apenas utiliza o computador da vítima para invadir outros sistemas operacionais de outros hosts. Normalmente, apenas deixa o computador lento, não é visível.
Mas como funciona? 
O bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Ele dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente. 
Normalmente, o bot se conecta a um servidor de IRC1 (Internet Relay Chat) e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por sequências especiais de caracteres, que são interpretadas pelo bot. Estas sequências de caracteres correspondem a instruções que devem ser executadas pelo bot. 
Obs: Internet Relay Chat (IRC) é um protocolo de comunicação utilizado na Internet, basicamente como bate-papo (chat) e troca de arquivos, permitindo a conversa em grupo ou privada.
Um invasor, ao se comunicar com um bot, pode enviar instruções para que ele realize diversas atividades, tais como:
Desferir ataques na Internet, enviar e-mails de phishing, executar um ataque de negação de serviço, furtar dados do computador onde está sendo executado, enviar spam 
Para uma melhor compreensão assista ao vídeo : (a defesa) http://www.antispam.br/videos/
Potenciais atacantes:
Existem controvérsias  sobre o conceito e a nomenclatura  dos possíveis atacantes. Para saber mais leia o artigo  “Como funciona a cabeça de um hacker”.
1.Hackers - Pessoa com amplo conhecimento de programação e noções de rede e internet.  Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados;
2.White-hats - Exploram os problemas de segurança para divulgá-los abertamente. No mundo da segurança de sofware, os hackers éticos são os responsáveis por “informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre, como o sistema operacional GNU/Linux. O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa faz mau uso do poder. Os White hats costumam escrever tutoriais, explicando suas técnicas e expondo para o mundo o que conhecem e aprenderam. Esses tutoriais são publicados em e-zines, que são revistas eletrônicas distribuídas na internet e em BBS, normalmente em formato de texto puro
3. Script Kiddies (ou Wannabes, ou Lammers): São os responsáveis pelas invasões em massa e por fazer barulho na mídia quando invadem sites importantes e alteram sua página inicial colocando frases de protesto ou quando tiram serviços do ar. Recebem esse nome por não saber o que estão fazendo. Eles simplesmente buscam ferramentas prontas, os chamados exploits, que exploram uma determinada vulnerabilidade, e então buscam servidores e serviços vulneráveis. Não sabem como o exploit funciona, já que ele que foi desenvolvido por um Black Hat, que provavelmente estudou o assunto.
 4.Black-hats (hacker mal-intencionados) - Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc.
3. Crackers - Pessoas que invadem sistemas em rede ou computadores apenas por desafio; os crackers se distinguem de todo o resto por se focarem em como funcionam os programas de computador. São os responsáveis pela criação dos cracks, ferramentas que quebram a ativação de um software comercial, permitindo que qualquer pessoa tenha uma versão pirata do software em seu computador. Esses hackers são responsáveis pelo prejuízo das empresas de software, e também por desenvolver vírus e outras pragas como spywares e trojans. Estudam linguagens de programação de baixo nível como Assembly e passam boa parte do tempo monitorando programas de computador, para entender como ele funciona.
5.Pheakres - Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou  realizam chamadas sem tarifação;
7.Defacers - São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.
8. Carder- Um hacker especializado em falsificar cartões de crédito etc. 
Sites interessantes:
Phrack.org (Inglês) - Phrack é uma ezine underground feita por hackers desde 17 de Novembro de 1985. Os artigos são relacionados a segurança, hacking, phreaking, anarquismo, criptografia, espionagem, programação, conspiração e outras notícias do mundo. 
Barata Elétrica - Barata elétrica é um fanzine eletrônico criado e editado por Derneval R. da Cunha em 1995, abordando temas como vida alternativa, hackers, phreaking e softwares. 
Como se tornar um Hacker (em inglês) 
Como se tornar um Hacker (em português) - Guia de Eric S. Raymond, notável hacker do software livre. Aborda tudo o que uma pessoa precisa saber para ser um hackerWhite Hat. 
Unsekurity Scene - Antigo grupo de hackers brasileiros que ganhou fama entre 2000 a 2002, por escrever e documentar suas técnicas e popularizar o hacking ético no Brasil. O site saiu do ar em 2003, porém seus textos ainda podem ser encontrados na internet no link acima. 
Guia do Iniciante, por Meleu (Português) - Meleu foi um dos hackers brasileiros envolvidos no extinto grupo Unsekurity Scene, seus textos ainda são acessíveis em seu site pessoal. Com o Guia do Iniciante pode-se conhecer as habilidades básicas necessárias para se tornar um hacker. O texto foi publicado em 2002. 
Packet Storm (em inglês) - Site especializado na divulgação de exploits e papers sobre vulnerabilidades. Security Focus - Site especializado na divulgação de boletins de segurança e mantenedora da famosa lista de discussões Bugtraq, lista onde é trocada informações sobre as vulnerabilidades nos sistemas atuais. 
Livros interessantes:
 A Arte de Enganar, Kevin D. Mitnick e William L. Simon, 2006, Makron Books, 284 páginas 
Diário Hacker: Confissões de Hackers Adolescentes, Dan Verton, 2002, Berkeley Brasil, 288 páginas 
Hackers Expostos: Quarta Edição, George Kurtz, 2003, Campus-BB, 832 páginas
 Filmes relacionados:
 Caçada Virtual (Takedown, EUA, 2000), de Joe Chapelle, com Amanda Peet, Skeet Urlich, Nicole Arnold, Tom Berenger e Cara Buono
Exemplo de ataques ativos de Disfarce: Página de banco falsificada 
Por isso, deve-se manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidades.
Consulte o material didático Segurança em redes Privadas Virtuais – VPNs, Alexandre Guedes Guimarães,  Raimundo  Corrêa de Oliveira e Rafael Dueire Lins, páginas  11 a 18.  
 
Problema na distribuição: a chave pode ser interceptada. 
Exercícios
	 
		
	
		1.
		Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um:
	
	
	
	spyware 
	
	
	exploit
	
	
	vírus
	
	
	backdoor
	
	
	keylogger
	
	
	
	 
		
	
		2.
		Uma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus são programadas desenvolvidos para alterar de forma nociva softwares instalados em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as opções verdadeiras:
I-O vírus é um programa normalmente malicioso que propaga-se na rede realizando cópias de si mesmo.
II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo programa infectado.
III- Um vírus executa diretamente suas cópias e explora diretamente as vulnerabilidades existentes na rede de computadores
	
	
	
	Apenas I e II
	
	
	I, II e III
	
	
	Apenas I e III
	
	
	Apenas I
	
	
	Apenas II
	
Explicação: 
A afirmativa III refere-se a um WORM
	
	
	
	 
		
	
		3.
		Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas:
I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos sistemas.
II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico.
III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e softwares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal.
	
	
	
	Apenas I
	
	
	Apenas I e III
	
	
	Apenas II
	
	
	Apenas I e II
	
	
	I, II e III
	
Explicação: 
A Qquestão II refere-se a um Hacker.
	
	
	
	 
		
	
		4.
		O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como:
	
	
	
	vírus
	
	
	backdoor 
	
	
	exploit
	
	
	Keylogger
	
	
	Spyware 
	
	
	
	 
		
	
		5.
		As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
	
	
	
	Insconsequentes
	
	
	Tecnológicas. 
	
	
	Voluntárias
	
	
	Destrutivas
	
	
	Globalizadas
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
	
	
	
	falsa, pois não depende do ativo afetado.
	
	
	verdadeira
	
	
	falsa, pois os impactos são sempre iguais para ameaças diferentes.
	
	
	parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
	
	
	falsa, pois não devemos considerar que diferentes ameaças existem .
	
	
	
	 
		
	
		7.
		Atualmente, as organizações consideram a informação atrelada a tecnologia como um ativo valioso internamente. Essas organizações utilizam a tecnologia integrada a informação para gerir melhor seus negócios e agregar valor aos seus produtos e serviços.As ameaças à segurança de informação de uma empresa estão diretamente relacionadas com a perda de algumas características. Entre as afirmativas abaixo marque apenas as que contenha apenas informações corretas:
 
I-Integridade: Quando uma informação fica exposta a um usuário não autorizado e o mesmo efetua modificações nas informações sem a devida autorização.
II-Confidencialidade: Ocorre quando é possível acessar uma informação que deveria ter sigilo, como as senhas de uma usuário ou de administrador do sistema.
III-Disponibilidade: Quando uma informação não fica mais acessível para a pessoa que necessita dele.  Isso ocorre, por exemplo, quando um sistema de comunicação de uma empresa entra em falha.
	
	
	
	Apenas II
	
	
	Apenas I
	
	
	Apenas I e III
	
	
	I , II e III
	
	
	Apenas II e III
	
Explicação: 
As três estão corretas
	
	
	
	 
		
	
		8.
		Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: 
	
	
	
	Screenlogger 
	
	
	Backdoor
	
	
	Keylogger 
	
	
	Worm 
	
	
	Trojan