Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE FEDERAL DE JUIZ DE FORA INSTITUTO DE CIÊNCIAS EXATAS ESPECIALIZAÇÃO EM REDES DE COMPUTADORES MONOGRAFIA TEMA: SEGURANÇA EM REDES DE COMPUTADORES Antonio Njaim Atalla Neto JUIZ DE FORA Maio, 2013 SEGURANÇA EM REDES DE COMPUTADORES ANTONIO NJAIM ATALLA NETO Universidade Federal de Juiz de Fora Instituto de Ciências Exatas Departamento de Ciências da Computação Especialização em Redes de Computadores Orientador: Prof. Klaus Wehmuth JUIZ DE FORA Maio, 2013 SUMÁRIO RESUMO...........................................................................................................................04 1 INTRODUÇÃO..............................................................................................................05 2 TIPOS E FORMAS DE ATAQUES A UMA REDE DE COMPUTADORES................07 2.1 ATAQUES..................................................................................................................07 2.1.1 IP Spoofing..............................................................................................................07 2.1.2 SynFlood.................................................................................................................08 2.1.3 Smurf.......................................................................................................................09 2.1.4 Deny of Service (DoS).............................................................................................09 2.1.5 Hijacking...................................................................................................................10 2.1.6 ARP Cache Poisonig...............................................................................................11 2.2 FERRAMENTAS DE DETECÇÃO E SEGURANÇA.................................................12 2.2.1 Wireshark................................................................................................................12 2.2.2 Netwox e Netwag....................................................................................................12 2.2.3 Nmap e Zenmap......................................................................................................12 3 TIPOS DE CÓDIGOS MALICIOSOS............................................................................14 3.1 OS DEZ PIORES VÍRUS CONHECIDOS..................................................................15 3.1.1 Melissa.....................................................................................................................15 3.1.2 I Love You................................................................................................................15 3.1.3 Klez..........................................................................................................................16 3.1.4 Code Red e Code Red II.........................................................................................16 3.1.5 Nimda......................................................................................................................16 3.1.6 SQL Slammer ou Sapphire......................................................................................17 3.1.7 My Doom..................................................................................................................17 3.1.8 Sasser e Netsky.......................................................................................................17 3.1.9 Leap-A ou Oompa-A................................................................................................17 3.1.10 Storm Worm...........................................................................................................18 3.2 TIPOS DE INFECÇÕES.............................................................................................19 3.2.1 Vírus de Boot...........................................................................................................19 3.2.2 Time Bomb...............................................................................................................19 3.2.3 Worms ou Vermes……………………………………………………………………….19 3.2.4 Trojans ou Cavalos-de-Tróia....................................................................................20 3.2.5 Malwares..................................................................................................................20 3.2.6 Adwares...................................................................................................................20 3.2.7 Rootkits....................................................................................................................20 3.2.8 Vírus de Macro.........................................................................................................21 3.2.9 Vírus Polimórficos....................................................................................................21 3.3 TÉCNICAS DE ESCODERIJO DOS VÍRUS..............................................................21 3.4 ASSINATURA DOS VÍRUS........................................................................................22 3.5 TIPOS DE ATACANTES.............................................................................................23 3.5.1 Hacker......................................................................................................................23 3.5.2 Cracker.....................................................................................................................23 3.5.3 Engenheiro Social....................................................................................................24 3.6 TÉCNICAS DE DEFESA.............................................................................................24 3.6.1 Software Antivírus....................................................................................................24 3.6.2 Heurística.................................................................................................................24 3.6.3 Software Antispyware...............................................................................................25 3.6.4 Removedor de Propagandas...................................................................................25 4 FIREWALL…........................................…………………………………………..............26 5 DMZ...............................................................................................................................27 6 RISCO...........................................................................................................................29 6.1 IDENTIFICAÇÃO DOS RISCOS................................................................................29 6.2 AVALIAÇÃO DOS RISCOS......................................................................................30 7 SEGURANÇA DE REDES WIRELESS......................................................................31 7.1 POSSÍVEIS PROBLEMAS.......................................................................................31 7.2 ALGUMAS SOLUÇÕES...........................................................................................32 8 SOLUÇÕES BÁSICAS DE SEGURANÇA EM UMA REDE INTERNA....................34 9 CRIPTOGRAFIA..........................................................................................................36 9.1 CHAVES CRIPTOGRÁFICAS..................................................................................36 9.1.1 Chave Simétrica.....................................................................................................36 9.1.2 Chave Assimétrica.................................................................................................37 9.2 ALGORITMOS E TIPOSDE CRIPTOGRAFIA........................................................37 10 CERTIFICADO DIGITAL E SEUS EMISSORES.....................................................39 10.1 CARACTERÍSTICAS..............................................................................................39 10.2 MODELOS DE CERTIFICAÇÕES..........................................................................39 10.3 EMISSORES...........................................................................................................40 11 ASSINATURA DIGITAL............................................................................................42 12 VPN – REDE VIRTUAL PRIVADA...........................................................................43 13 NORMA ISO 27002...................................................................................................45 13.1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)........................................46 13.2 SEGURANÇA FÍSICA E DO AMBIENTE...............................................................47 13.2.1 Áreas seguras......................................................................................................47 13.2.2 Seguranças de equipamentos.............................................................................48 13.3 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO......................50 13.3.1 Notificação de fragilidades e eventos de segurança da informação....................50 13.3.2 Gestão de incidentes de segurança da informação e melhorias.........................50 14 CONCLUSÃO............................................................................................................52 REFERÊNCIAS BIBLIOGRÁFICAS...............................................................................53 4 RESUMO Este trabalho consiste na apresentação de um estudo abrangente sobre segurança em redes de computadores e não somente dissertar sobre algum tema específico, mencionando um pouco de cada assunto concernente a este tema. Alguns pontos que serão tratados são: tipos e formas de ataques a computadores de uma determinada rede e técnicas de como se defender dos mesmos; utilização de métodos como filtros e bloqueios de sites e domínios além de programas utilizados com este propósito e a forma de tentar burlá-los utilizando de aplicativos específicos ou proxyservers. Este documento conterá também algumas especificidades como rootkits, malwares, vírus, worms e trojans; chaves criptográficas simétrica e assimétrica, além de algoritmos e tipos de criptografia; certificado digital e seus emissores e assinatura digital. Podendo citar alguns casos especiais, como por exemplo, políticas e regras de segurança em redes; firewall; IDs e as particularidades da segurança em redes wireless. Chegando, então, a conclusão do trabalho, que mostra ao leitor a importância e a necessidade de implementação de técnicas de segurança de redes de computadores para se obter grandes resultados no que tange a serviços e a produtos relacionados direta e indiretamente com o bom desempenho da rede para garantia e entrega de qualidade ao usuário final. 5 1 INTRODUÇÃO Segurança em Redes de Computadores, abrange desde serviços corriqueiros, freqüentemente vistos no dia-a-dia como anti-vírus e firewall, que mesmo sendo mais comuns, possuem alguns pontos interessantes a serem analisados. Além disso, possui algumas particularidades na área de redes como criptografia, chaves criptográficas, certificado e assinatura digital, bem como algumas regras básicas de segurança e ainda segurança em redes wi-fi. Tendo, assim, a segurança em redes papel importante para implantação e operação de políticas para as redes de computadores. Nesta monografia será analisada um pouco de cada uma dessas peculiaridades relacionadas à Segurança em Redes e o seu bom funcionamento, verificando as tecnologias que compatibilizam cada uma das aplicações para uma eficiente execução. Na prática, uma boa demonstração de como há comportamentos importantes relacionados a cada uma dessas aplicações é uma simples implementação de políticas e regras de segurança em um ou mais computadores, no caso de uma rede. A importância disso, por exemplo, seria no caso de transferência de informações de e-commerce ou comercio eletrônico, que deve ter pelo menos, uma mínima garantia de segurança por parte do servidor do sítio que oferece tal serviço e também do administrador de uma rede, no caso de uma empresa ou do próprio usuário final por assim dizer. Neste caso, uma possível solução inicial é a escolha de melhores ou mais eficazes antivírus e anti- spywares com maior robustez, capazes de exercer o melhor monitoramento durante essa transferência de informações entre determinado sítio e o computador do usuário final. Por outro lado, não se pode deixar de verificar quão pesado é esse antivírus para o sistema, ou seja, quanto de memória RAM ele requisitará para executar e monitorar tal computador, o que poderia vir a gerar uma certa lentidão acima do normal neste PC ocasionando atrasos na inicialização e execução de alguns programas e aplicativos. Esta breve exemplificação demonstra como a segurança em redes abrange desde uma simples escolha de instalação de software até melhor utilização do hardware disponível, balanceando cada um para melhor otimização e eficácia no uso de determinados serviços. Então, para ajudar a minimizar qualquer eventual perda, utilizam-se as políticas e técnicas de Segurança que melhor aproveitará dos recursos disponibilizados. Basicamente, no âmbito de redes, por padronização, utiliza-se o serviço de firewall disponibilizado pelo próprio sistema operacional (podendo ser também 6 implementado por softwares de terceiros) e configurações básicas de segurança no roteador desta rede, definindo bloqueios e filtros de acesso a determinados sites inseguros, podendo também permitir o acesso a somente os sites cadastrados além de definir também permissões de acesso à rede apenas pelos endereços IP cadastrados neste roteador ou bloquear acesso de alguns endereços IP, também cadastrados no roteador, considerados como provável ameaça. Estas configurações consideram todo e qualquer site como seguro ou inseguro, bloqueando ou permitindo o acesso, não importando qual a origem do mesmo, mas apenas considerando o que está definido como regra no roteador, que é na porta de entrada entre a rede e a internet. É considerado bom desempenho e boa segurança de rede aquela rede que permite e bloqueia os sítios ou os endereços IP de forma eficaz, ou seja, só é bloqueado quem realmente é uma provável ameaça e da mesma forma, só é permitido o acesso de quem é realmente confiável. Não comprometendo assim o uso da rede para quem é o real e confiável usuário. Segurança em Redes pode também, em alguns casos, ser entendido como algo que gera confiabilidade e integridade no quesito transmissão de dados, pois para o usuário do serviço há certa previsão do que esperar tanto na entrega como no recebimento desses dados. Um exemplo dessa área na Segurança seria o uso das chamadas Chaves Criptográficas Simétricas (Chave Única) ou Assimétricas (Chaves Pública e Privada), onde para haver essa troca de informação ou transferência de dados, é necessário que as partes envolvidas na transação possuam um determinado par de chaves. Por exemplo, no caso da criptografia assimétrica, quem envia o arquivo ou a mensagem possui uma Chave Privada (única e exclusiva do emissor, utilizada para codificar a mensagem) e uma Chave Pública. A chave pública será encaminhada para ser utilizada pelo destinatário da mensagem para decodificar a mensagem, pois o mesmo só conseguirá ter acesso a leitura desta mensagem se possuir tal chave fornecida pelo emissor. Se durante a transmissão a chave for perdidaou a mesma não conseguir decifrar a mensagem, significa que alguma interferência ocorreu durante a transmissão e o arquivo ficará bloqueado para acesso. Além dos casos brevemente citados acima ainda há vários outros pontos e possibilidades de técnicas de segurança para serem utilizadas em uma rede de computadores. Pontos tais que veremos mais detalhadamente no decorrer deste documento. 7 2 TIPOS E FORMAS DE ATAQUES A UMA REDE DE COMPUTADORES Ameaça, derivada de um cracker, que é uma pessoa física com um vasto conhecimento computacional em sistemas operacionais variados, sendo mais comum sistemas baseados na linguagem Unix. Este agente (cracker) verifica e “varre” intencionalmente determinada rede buscando vulnerabilidades ou portas de entrada que permitam iniciar um ataque sendo com intenções de capturar informações ou simplesmente danificar e causar congestionamento nesta rede. Então, pode-se entender que este agente, com a habilidade e conhecimento necessário aproveitam de um ponto fraco em uma determinada rede ou uma vulnerabilidade, para atingir seu objetivo. Uma ameaça não precisa, necessariamente, vir por meio de um agente ou cracker, mas pode ser também um fator espontâneo natural ou acidental, como no caso de uma descarga elétrica, falta de energia ou até mesmo um incêndio em um Data Center ou em uma sala que possui determinado computador detentor de informações importantes para a empresa ou para o usuário. Quando ocorre a junção de acontecimentos ameaça e vulnerabilidade, resulta no chamado risco, e quando chega a ocorrer tal fato, o perigo ou dano pode ser iminente, devendo o administrador desta rede tomar as devidas precauções para que o mesmo seja extinto ou pelo menos minimizado, por exemplo, se não possuir antivírus instalado ou atualizado, regularizar a situação ou ainda, se não possui firewall, tratar de pô-lo em operação. 2.1 ATAQUES 2.1.1 IP Spoofing Neste tipo de ataque, o agente mascara ou falsifica o endereço IP do computador que está sendo utilizado para realizar o ataque, de forma que ele não seja rastreado ou identificado, ou seja, ao “trocar” o seu número de IP este cracker poderá, dentre outras coisas, conseguir livre acesso a uma rede interna de uma determinada instituição, agindo e compartilhando informações como se fora um próprio membro desta rede. Esta falsificação de IP pode ser feita pela própria manipulação do cabeçalho de um pacote. Após o atacante mascarar seu endereço IP ele pode realizar outras formas de ataques como o SynFlood, que será vista a seguir. 8 2.1.2 SynFlood Baseado no mecanismo de estabelecimento de conexões TCP chamado three way handshake, em português chamado cumprimento de três vias, tem como característica principal, como o próprio nome diz, a “inundação” de uma certa rede com inúmeras falsas requisições de conexão, as chamadas Syn, onde o atacante envia uma seqüência de requisições Syn para a rede ou máquina alvo, ocasionando lentidão ou paralisação desta rede e sobrecarga direta na camada de transporte, pois o servidor não é capaz de processar e responder todas elas. A pilha de memória sofre um overflow e as requisições de conexões legítimas são, então, desprezadas. Essa técnica é utilizada em conjunto com diversos ataques. Este ataque utiliza um dos possíveis comandos desta ferramenta de gerenciamento de segurança Netwox1, que será vista mais detalhadamente adiante, da seguinte forma: .primeiro é iniciado o serviço de telnet para preparar o ambiente; .depois é checado o que está em processamento com o comando netstat –na (plataforma Linux); .para o ataque, deve-se desabilitar a opção de tcp_syncookies com o comando: sysctl –w net.ipv4.tcp_syncookies=0; .diminuir o tamanho da fila de TCP de número 1024 para 256, com o comando sysctl –w net.ipv4.tcp_max_syn_backlog=256; .iniciar o ataque com o comando: netwox 76 –i “número_IP” –p “23”; .então a máquina da vítima começará a receber pacotes falsos de syn ack e responderá a estes pedidos de conexão, podendo o mesmo ser visualizado utilizando novamente o comando netstat. Este ataque causa maior dano a vítima se a mesma possuir pouco tamanho de buffer para a fila de mensagens TCP, pois quanto menor o tamanho do buffer, menos capacidade de armazenamento de fila, ou seja, menos processos e serviços serão suportados para execução no computador atacado, por este motivo é utilizado o comando sysctl –w net.ipv4.tcp_max_syn_backlog=256 para preparar o ambiente para ataque. 1 Ferramenta que permite a identificação e resolução de problemas de rede. Indicado para uso de administradores de rede e para auditorias de segurança. Possui mais de 200 possibilidades de recursos. 9 2.1.3 Smurf Neste ataque, o agente gera um grande tráfego de pacotes e solicitações de ping enviado para o endereço de broadcast da rede como se a origem fosse um determinado endereço IP, que seria o da vítima. Desta forma, cada host desta rede recebe o pacote ICMP echo e respondem para o suposto endereço de origem, que é o IP da vítima. A rede é comprometida, pois todos os hosts estarão ocupados em responder as solicitações ICMP echo e a vítima estará sobrecarregada com estas inúmeras respostas. Uma forma de tentar se defender deste tipo de ataque é utilizando determinados equipamentos capazes de limitar o tráfego de certos tipos de pacotes a uma banda da rede, como o roteador da CISCO que possui a funcionalidade chamada CAR2, além de que os switches mais modernos estão preparados para não permitirem ataques provenientes de redes externas que têm a intenção de solicitar echo requests em broadcasts de um segmento a outro desta rede atacada. 2.1.4 Deny of Service (DoS) DoS ou Negação de Serviço ocorre quando usuários de uma rede ficam impossibilitados de utilizarem os recursos normais da rede, pois os mesmos estão indisponíveis ou com um tempo de resposta aumentado. Isso ocorre quando um agente sobrecarrega determinada rede com solicitações, geralmente falsas, que impossibilitam esta rede de atender a todos. Este ataque impede o funcionamento de um determinado serviço utilizando de formas como obstrução de meios de comunicação, geração de erros e incapacitação de infraestrutura, por exemplo, derrubar um poste de energia elétrica para interromper o fornecimento aos servidores, que se não previram geradores autônomos, ficarão fora do ar. Além de poder haver dano simplesmente por não haver recursos suficientes no sistema utilizado ou o mesmo estar sendo mal utilizados, como problemas com licenças de uso, disponibilidade de processamento e de memória. Ainda podem haver ataques direcionados à camada de rede, utilizando comandos simples como no caso do ping flood, ou inundação de ping, que utiliza parâmetros que inicia o envio de pacotes mais rápido que a máquina da vítima pode agüentar, especificando o tamanho dos pacotes enviados e o tempo de duração desse 2 Committed Access Rate ou Taxa de Acesso Comprometido limita o tráfego da rede definindo tamanho de largura de banda. 10 ping, mas como esse ataque é antigo, já existem ferramentas que bloqueiam as respostas automáticas ao ping, como forma de defesa. Ainda há o caso do chamado DDoS ou Distributed Deny of Service, que em português é Negação de Serviço Distribuído, que ao utilizar máquinas escravas pela ordem dada pelo atacante, estas direcionanam um ataque em massa a uma determinada rede ou site da web, podendo causar também spans. Os computadores escravos são chamados comumente de bots que podem se tornar assim pela invasão de worms ou trojans (cavalos-de-tróia). A melhor forma para prevenir ataque DDoSé a conscientização do usuário em não executar arquivos duvidosos, acessar sites inseguros e realizar downnloads sem checá-lo com um programa antivírus atualizado. 2.1.5 Hijacking Hijacking, como a tradução para o português, significa “seqüestro”, ou seja, o atacante se apossa de uma sessão ativa em determinado computador, basicamente explorando falhas e vulnerabilidades de protocolos desta rede. Este ataque pode ser conhecido também como Man-in-the-Middle ou homem no meio, onde uma máquina atacante se posiciona “no meio” da conversação de duas máquinas e irá “seqüestrar” as informações trocadas por elas. Este ataque, geralmente, explora vulnerabilidades e falhas na pilha de protocolos usando o arp, pois um endereço MAC e um endereço IP precisam ser associados para o iniciar o ataque. O arp solicita o endereço MAC de determinado computador através do IP por este utilizado na rede. Já o computador cujo endereço MAC fora solicitado envia uma resposta com seus dados para o computador solicitante destas informações, então a máquina atacante irá se posicionar entre a máquina vítima e um roteador (com saída para internet) ou outra máquina e capturará os pacotes que trafegam entre os pontos. Este ataque faz uma associação entre o endereço MAC do computador do atacante e o endereço IP do computador da vítima, que fará com que o roteador considere o computador do atacante como sendo o da vítima e a vítima considere o atacante como sendo o roteador. Nesse caso o tráfego dessa conversação é direcionado todo para o cracker. Aproveitando desta técnica, um atacante pode realizar uma falsificação de HTTPs, se posicionando entre a vítima e um servidor web que utiliza protocolo HTTPs, como um site de banco por exemplo, e que gerará um certificado digital falso, e se a vítima concordar ao ser questionada sobre a aceitação desse certificado estará passando suas informações para o atacante. 11 Há algumas semelhanças entre este ataque e o IP Spoofing, porém no Hijacking o atacante participa ativamente do ataque, pois ele estará entre duas máquinas monitorando e capturando informações. Já no IP Spoofing o atacante usa outro usuário para realizar o ataque, mascarando seu IP, e, além disso, o atacante não está seqüestrando uma sessão ativa, mas apenas utilizando de uma vulnerabilidade de algum computador para realizar seu ataque, que resultará normalmente em Negação de Serviço ou SynFlood. O IP Spoofing envolve somente duas máquinas no ataque, a que atacará e da vítima, enquanto o Hijacking ou Man-in-the-Middle envolverá três máquinas, ou seja, mesmo que o ataque partirá de somente uma máquina o atacante necessitará da participação de mais duas máquinas para que o ataque seja realizado. Este ataque é comumente visto em invasão de redes sem fio onde a propagação do sinal fora da área da empresa favorece o acesso de intrusos. Ferramentas que podem ser utilizadas para realizar este ataque são: ettercap, sslstrip dentre outras e ferramentas utilizadas para se defender deste ataque são o ettercap3 também e o arpwatch4. 2.1.6 ARP Cache Poisoning Este ataque enche o cache da máquina atacada com informações falsas sobre IPs e MAC address, daí o nome Cache Poisoning ou Envenenamento de Cache. Este ataque é realizado da seguinte maneira: .o ambiente precisa ter, além do atacante, uma máquina host e uma máquina vítima; .na máquina da vítima é feito um teste com o comando arp, e esta retornará o cache deste computador; .na máquina atacante é realizado o comando número 33 da ferramenta Netwox, que mudará o endereço MAC da máquina host. Este ataque só é útil a partir do momento que a vítima possuía em seu cache a entrada referente ao host, senão este ataque não funcionará. 3 Ettercap é uma ferramenta gratuita contra ataques do tipo man-in-the-middle em uma determinada rede. É capaz de capturar o tráfego da rede e interceptar senhas de usuários. Compatível com as plataformas Linux, OS e Windows. 4 Programa que monitora tráfego ARP em uma rede, basicamente comparando em uma tabela um endereço IP com um endereço MAC conhecido. Utilizando para detecção de ataque ARP Spoofing. 12 2.2 FERRAMENTAS DE DETECÇÃO E SEGURANÇA 2.2.1 Wireshark Através do wireshark (SHARPE; WARNICKE, 2013) é possível, para um administrador de rede, visualizar bem o tráfego de pacotes, permitindo, em alguns casos, a captura dos mesmos, para análise mais detalhada, como, por exemplo, pacotes do tipo HTTP GET, que possuem informações de login como nome de usuário e senha em determinados sites da web. A possibilidade do uso de filtros também é bastante interessante, como por exemplo, o ip.addr == “ip”, que possibilita visualizar o tráfego de pacotes de determinada máquina de forma mais detalhada. 2.2.2 Netwox e Netwag Netwag (DAMALIO, 2008) é a versão gráfica do antigo Netwox, sendo mais fácil localizar e utilizar as ferramentas. O Netwag executa procedimentos em janelas ou em linhas de texto e guarda o histórico de comandos utilizados. Possui funções que vão desde ser um "sniffer" de pacotes até ser um "spoofer" de informações em uma rede. Também executa testes relevantes para o bom desempenho da rede e para validar a segurança da mesma. Assim como o Netwox, é uma ferramenta bastante interessante para se utilizar como defesa e prevenção contra ataques à rede. Permite também detectar causas de lentidão e instabilidade na rede. 2.2.3 Nmap e Zenmap Segundo informações do sítio oficial da ferramenta, nmap.org, o Nmap é uma ferramenta que identifica os computadores da rede, e verifica qual deles respondem ao ping; analisa quais portas estão abertas em determinado computador da rede; mostra também qual é o Sistema Operacional e as características de hardware e os dispositivos da rede. Funciona com linhas de comando e tem a versão gráfica que é o Zenmap, cujas informações estão contidas no sitio nmap.org/zenmap. O Zenmap permite ao usuário criar uma topologia de rede, identificando dispositivos e ligações entre eles. Tanto o Nmap quanto o Zenmap são utilizados como ferramentas de segurança da rede, que identifica determinadas vulnerabilidades em determinadas máquinas, por exemplo, através do comando nmap -v --sript vuln "endereço_IP". Além de permitir fazer mapeamento da rede e auditoria de segurança. Porém esta ferramenta pode ser usada 13 por um cracker que quer obter informações de um computador através do nmap para efetuar o ataque a determinada vulnerabilidade. 14 3 TIPOS DE CÓDIGOS MALICIOSOS A origem dos códigos maliciosos remonta até o inicio dos anos 80, onde Dr. Len Eidelmen (WIKIPEDIA) demonstrou um programa auto-replicante desenvolvido por ele que conseguia instalar-se em diferentes pontos do sistema. Já em 1984 foi quando o termo “vírus” foi utilizado para denominar este programa auto-replicante. E em 1986 surge efetivamente o primeiro vírus de computador chamado Brain (WIKIPEDIA-Brain) que era um tipo de vírus que danificava o sistema de inicialização do sistema chamado vírus de boot, que se propagava pelos antigos disquetes. Mas o titulo de primeiro desenvolvedor de um código malicioso ficou com Rich Skrenta, que em 1982 havia desenvolvido o Elk Cloner (WIKIPEDIA-Elk Cloner) que se propagava pelo disquete e infectava os computadores Apple 2 com sistema operacional DOS da época. Vírus e outras ameaças são programas desenvolvidos por crackers que buscam meios para atingir e alterar dados importantes em um sistema operacional causando diversos tipos de danos diferentes dependendo do tipo de ameaça desenvolvida para realizar um tipo específico de ataque, o que será visto a seguir. Uma dessas ameaças, como um vírus, por exemplo, infecta o sistemacomparativamente a um vírus biológico, daí vem o uso da nomenclatura, que depois de penetrar no hospedeiro pode se multiplicar para causar maior dano possível a um determinado computador, e se o mesmo estiver conectado a uma rede, como em um empresa, o risco de se espalhar na rede é bem considerável. Geralmente uma ameaça como essa infecta o computador por próprio erro ou “inocência” do usuário, que muitas vezes realiza downloads de sítios com procedência duvidosa e este usuário não possui ou não utiliza das ferramentas necessárias para tentar rechaçar este ataque. Como no caso de incautos que abrem anexos de emails despreocupados se o remetente é conhecido e com o tipo de mensagem que estão recebendo, e até chegam a fornecer informações pessoais quando são, através do email malicioso, encaminhados para algum sítio falso, que já é o ambiente construído pelo cracker para coletar essas informações. Ainda há o caso de contaminação pelo mau uso do dispositivo móvel ou pen- drive que deve ser scaneado por pelo menos dois tipos de antivírus diferente antes de ser executado para evitar de vir a ocorrer a infecção. Um sistema operacional sem as devidas atualizações pode ser também uma possível vulnerabilidade para um ataque, mas infelizmente no caso do sistema operacional Windows quando atualizado regulamente pode vir a surgir problemas em sua 15 execução, pois muitas de suas atualizações causam erros no sistema ou ocasionam muita lentidão chegando até a praticamente não iniciar mais. De acordo com sítios especializados no assunto, até o ano de 1995 havia “somente” 15 mil vírus catalogados; em 1999 20.500 vírus catalogados; em 2000 49 mil; 2001 58 mil; 2005 75 mil vírus conhecidos; em 2007 200 mil; 2008 mais de 530 mil vírus catalogados; 2010 mais de 950 mil; 2011 mais de 1.200.000 e em 2012 mais de 1.450.000 vírus conhecidos. 3.1 OS DEZ PIORES VÍRUS CONHECIDOS Realizada por Johnatan Strickland (HOW STUFF WORKS) a lista abaixo enumera os dez piores vírus já catalogados até 2012. 3.1.1 Melissa Seu criador David L. Smith (STRICKLAND) concedeu este nome ao vírus em homenagem a uma dançarina “exótica” do Estado da Flórida, EUA. Desenvolvido com base em uma simples macro do editor de texto Microsoft Word, um dos programas do pacote Microsoft Office, este vírus se espalhava pela internet atacava primeiramente a conta de email da vítima e ao ser aberto fazia cópias de si mesmo e enviava mensagens infectadas para as primeiras 50 pessoas da lista de contato. 3.1.2 I Love You Criado nas Filipinas (STRICKLAND) esta ameaça na verdade era um worm, pois fazia copias de si mesmo de forma automática. Se propagava também na forma de emails contendo o anexo love-letter-for-you.txt.vbs. Qualquer usuário mais experiente saberia que extensão .txt.vbs era algo estranho, já que .vbs é uma extensão do programa Visual Basic Scripting, que era o programa usado para criar a ameaça, mas muitos foram infectados por este worm. Além de se auto copiar, este worm escondia algumas pastas no HD, acrescentava novos arquivos na chave de registro da vítima, enviava cópias de si mesmo pelo email e pelo antigo IRC (internet relay chat) e ainda baixava da internet o programa win-bugsfix.exe e o executava. Ao invés de consertar as falhas ou bugs do sistema, como parecia dizer seu nome, bugsfix, este programa roubava senhas digitadas pela vítima e 16 as enviava para o cracker que o desenvolveu. Estima-se que este verme causou um prejuízo aproximado de 10 bilhões de dólares. 3.1.3 Klez Este worm (STRICKLAND) também se propagava por email realizando cópias de si mesmo. Porém ele podia carregar programas para o sistema operacional e deixá-lo inoperante. Podia também desativar o software antivírus da máquina e se fazer passar pelo mesmo. O mais interessante deste verme é que ao ser enviado ele não precisava utilizar de nomes que seriam desconhecidos para a vítima, mas ele utilizava de um nome da própria lista de contatos infectada, fazendo-se parecer legítimo. 3.1.4 Code Red e Code Red II Desenvolvidas para atacar sistemas operacionais (STRICKLAND), principalmente Windows NT que possuía vulnerabilidade quanto ao tamanho do buffer, e estes worms sobrecarregavam o mesmo. O verme Code Red foi utilizado em um ataque de Negação de Serviço Distribuída (DDoS) na Casa Branca (STRICKLAND) em Washington, EUA e os servidores do local ficaram inacessíveis por tanta sobrecarga. Mas o que este ataque causava era somente um travamento no sistema, não gerando maiores danos. Já o verme Code Red II (STRICKLAND), ao infectar um computador, dava acesso remoto ao cracker que o controlava e utilizava para cometer crimes e fraudes. 3.1.5 Nimda Este verme foi um dos que se espalharam mais rapidamente na internet (STRICKLAND), por meio de emails. Seus alvos principais não eram usuários comuns, mas servidores de internet com a finalidade de deixá-los mais lentos. Ao atingir um sistema operacional de um usuário comum, o atacante ficaria com os mesmos privilégios administrativos da vítima, ou seja, se a vítima era administrador de alguma rede, o atacante também passaria a administrar essa rede remotamente. Então algumas atualizações de antivírus passaram a incluir sistemas de defesa, como por exemplo, bloqueio do computador ao perceber que este estava disponibilizando recursos de seu sistema através de um acesso remoto desconhecido. 17 3.1.6 SQL Slammer ou Sapphire Este vírus, também desenvolvido para atacar principalmente servidores de internet (STRICKLAND), conseguiu derrubar vários sistemas importantes como o serviço de caixa automático do Bank of America nos EUA (STRICKLAND) e o sistema de check- in da empresa Continental Airlines (STRICKLAND), que teve que cancelar vários vôos por falhas em seu sistema. Este vírus causou aproximadamente 1 bilhão de dólares em prejuízos (STRICKLAND) antes que os antivírus pudessem disponibilizar patches de eliminação do mesmo. 3.1.7 MyDoom Este verme também conhecido como Novarg (STRICKLAND), abriu várias vulnerabilidades em sistemas operacionais, seu ataque foi programado com data de inicio e termino, porém as vulnerabilidades e aberturas por ele criadas continuaram mesmo depois do fim do ataque Depois de um tempo, este worm atacou novamente as vítimas que já possuíam a vulnerabilidade e através de mensagens de email da conta da própria vitima se espalhou, utilizando a técnica de spoofing de remetente, ou seja, o worm utilizava algum nome da lista de contatos da vítima para enviar a mensagem, e utilizou-as para realizar um ataque a sites de busca, principalmente o Google, tornando-o mais lento ou até indisponibilizando-o. 3.1.8 Sasser e Netsky O vírus Sasser (STRICKLAND) não se espalhava por emails, mas ao infectar um computador ele buscava outros sistemas vulneráveis através de endereços IP aleatórios e os instruía a baixarem o vírus. Este vírus também dificultava o desligamento do computador. Já o vírus Netsky (STRICKLAND) se propagava por mensagens de email, realizando spoofing de remetente e atacando principalmente os sistemas operacionais Windows. Ele se manifestava em uma mensagem com um anexo de 22.016 bytes e ao infectar uma máquina podia iniciar um ataque de Negação de Serviço (DoS). Este vírus já representou cerca de 25% de vírus atuantes na internet. 3.1.9 Leap-A ou Oompa-A Apesar de a Apple divulgar comerciais dizendo que os vírus fora feito pra PCs e não para Macs (STRICKLAND), o que não deixa de ser uma certa verdade, pois de 18 acordo com o próprio Johnatan Strickland que realizou esta lista no sítio How Stuff Works, a Apple tem a política de deixar seu sistema operacional e seu hardware de forma mais oculta gerando o conceito de “segurança através da obscuridade”, isso não impediu que um cracker conseguisse invadir um Mac. Este vírus (STRICKLAND)utiliza o programa iChat de mensagens instantâneas para se propagar na internet entre computadores Mac vulneráveis. O vírus envia uma mensagem, utilizando a técnica de spoofing de remetente, para cada pessoa de sua lista de contatos, contendo uma imagem JPEG, que ao abri-la o destinatário é infectado. É um vírus diferenciado no quesito ataque a Mac, mesmo não causando muitos danos ao computador infectado. 3.1.10 Storm Worm Este trojan ou cavalo-de-tróia (STRICKLAND) iniciou sua propagação por mensagens de email com o titulo “230 mortos em temporal na Europa”, daí a origem de seu nome. Sua função era transformar suas vítimas em bots ou robôs que obedeciam ao cracker para realizar um ataque ou servir de botnet para enviar mensagens de spam. A mensagem continha um link para visualização de uma notícia ou vídeo e ao clicar o usuário estaria baixando o trojan para seu computador. Embora este talvez seja o vírus mais difundido na internet, ele não é difícil de identificar ou remover com um software de antivírus atualizado. Além desses dez vírus que já causaram bastante infecções nos sistemas operacionais, ainda existe mais alguns relativamente recentes que estão sendo considerados bastante perigosos. São estes: Stuxnet: este worm explora uma fragilidade ainda não solucionada no sistema operacional Microsoft Windows, onde o computador infectado passa a enviar informações por acesso remoto ao atacante. O curioso é que aparentemente este worm só atacou máquinas pertencentes a grandes indústrias e não PCs domésticos (TECMUNDO). O perigo iminente está que uma das indústrias invadidas era do ramo de energia nuclear, portanto o estrago causado poderia ser catastrófico. Ainda não é conhecido o país de origem desse verme. Este worm pode dar início a uma nova geração de ataque, chamado de “cyber terrorismo”. Mahdi: este malware com nome em analogia ao Islã foi descoberto recentemente por uma empresa de segurança de Israel. Utilizado para espionagem industrial, chegou a infectar quase mil computadores no Oriente Médio. 19 Doqu: o nome deste worm vem da expressão “~dq” que é dado aos arquivos por ele infectados. Descoberto por uma Universidade da Hungria este malware trabalha em conjunto para prover portas de acessos aos atacantes a fim de roubo sistêmico de informações. Parte do código deste worm ainda é desconhecido por ser altamente elaborado (WIKI-Doqu). Flame: ameaça que começou a atacar computadores no Irã e se espalhou por outros países do Oriente Médio pode ser considerado um dos piores vírus conhecidos, segundo os desenvolvedores da Kaspersky Lab5. Além de infectar o computador através de portas, muitas vezes, desconhecida pelo usuário, o vírus permite que seu remetente acesse o computador da vítima remotamente, e se não for identificado rapidamente continuará se multiplicando no computador hospedeiro. Desenvolvido na linguagem de programação chamada Lua, o flame não tem o objetivo de danificar o PC da vítima, mas sua função principal é roubar informações, seja capturando telas e partes de textos considerados relevantes, além de poder também gravar áudio e identificar dispositivos com Bluetooth que compartilham informações com a máquina hospedeira enviando essas informações para o computador do remetente do vírus. Como as ameaças acima descritas, os principais alvos do flame são grandes empresas e instituições. 3.2 TIPOS DE INFECÇÕES 3.2.1 Vírus de Boot Este tipo de vírus foi um dos primeiros a serem desenvolvidos e atacava a parte de inicialização ou boot do sistema operacional. 3.2.2 Time Bomb O virus Time Bomb é programado para atacar somente quando determinado por seu desenvolvedor, e quando infecta um computador só se tornará ativo no momento específico programado. 3.2.3 Worms ou Vermes Criado com intuito maior de se auto copiar do que efetivamente danificar o sistema, os worms se auto copiam e se propagam de forma automática na internet, a 5 Empresa que desenvolve o software antivírus Kaspersky. 20 maior função desta ameaça é transformar suas vítimas em bots ou robôs para realizar ataques como Negação de Serviço e SynFlood. 3.2.4 Trojans ou Cavalos-de-Tróia Com a função de abrir portas de acesso nas máquinas infectadas, permite ao cracker coletar informações e enviá-las pela internet, muitas vezes sem o conhecimento da vítima. Inicialmente os trojans tinham acesso apenas a dados e arquivos do sistema, mas os mais recentes buscam informações mais confidenciais como senhas bancárias. Os cavalos-de-tróia não possuem a capacidade de se auto copiar por isso precisam ser baixados e instalados no computador, geralmente através de falsos links vindos por email. Os trojans podem também enviar vários spams utilizando a conta de email e a lista de contatos de sua vítima, e podem utilizá-las como robôs para um ataque de Negação de Serviço. 3.2.5 Malwares Malware ou Software Malicioso, é uma ameaça, como vírus ou trojans, que ao infectar uma máquina causa danos ou roubo de informações por um agente remoto. 3.2.6 Adwares Adwares, que traduzindo significa programas de anúncios, apesar de não serem danosos, estes intrusos se alojam, na maioria das vezes, nos navegadores de internet, na forma de ferramentas de busca ou janelas pop-ups (janelas que surgem na tela durante a navegação na internet) sem o consentimento do usuário, e em suas versões mais recentes, são de difícil remoção. 3.2.7 Rootkits A origem deste nome remonta ao inicio do sistema operacional Linux, quando este disponibilizava os chamados “kits”, que forneciam acesso, através de uma backdoor6, por exemplo, a todo o computador e seu sistema operacional, dando ao agente controle e monitoramento do mesmo, que é o chamado no Linux acesso “root”, portanto inicialmente era isso que se propunham os kits, daí o nome rootkit. 6 Ambiente que permite acesso por controle remoto de determinado computador, permitindo ao controlador a administração do PC, podendo o usuário local nem ter conhecimento da invasão. 21 No sistema Linux, o rootkit substitui um programa dentre os instalados no sistema, deixando o usuário inocente em relação à infecção, pois o rootkit passará a responder as solicitações do usuário de forma autêntica, quando na verdade há um agente controlando e capturando as informações por trás desta ameaça. Já no sistema Windows, o que ocorre é um bloqueio do uso de determinado software, pois o rootkit, ao infectar os processos ativos na memória do sistema, anula as requisições do usuário sobre uso de determinado serviço impedindo-o de funcionar e fazendo parecer que o programa não está lá. Para se prevenir desta ameaça o ideal é não abrir emails desconhecidos ou inesperados, como falsos emails da Receita ou Polícia Federal, pois é por mensagens eletrônicas que o rootkit mais se espalha na internet. Além de ter um bom antivírus e anti- spams que não permitirá que essas mensagens suspeitas cheguem a sua caixa de entrada do serviço de email. O rootkit, além de liberar o acesso remoto para o atacante, pode também instalar o chamado keylogger no computador infectado, e o atacante capturará remotamente tudo digitado pelo usuário, inclusive suas senhas pessoais. 3.2.8 Vírus de Macro Estes vírus infectam basicamente programas do pacote Microsoft Office, como Word, Excel e Power Point, e utilizando os macros desses programas desenvolvem vírus com instruções para se auto copiar e se espalhar pela internet. 3.2.9 Vírus Polimórficos Como o nome já sugere, estes vírus se modificam ou assumem diferentes formas ao se auto copiarem através da variação de sua assinatura em cada cópia, ou seja, com a variação de sua assinatura, a biblioteca ou banco de dados do antivírusnão o detecta, pois não possui informações suficientes sobre suas variantes. 3.3 TÉCNICAS DE ESCODERIJO DOS VÍRUS Apesar dos antivírus estarem cada vez mais modernos e eficientes, os vírus e outras ameaças também “evoluem” para tentar driblar a detecção (SCRIBD). Algumas formas de camuflagem utilizada por estas ameaças são: 22 Encriptação: técnica muito utilizada por vírus para esconder seu código original. Ao encriptar seu código o vírus torna-se mais difícil de ser detectado pelos softwares antivírus. Desativação de antivírus: alguns códigos maliciosos conseguem, ao infectar determinada máquina, desativar o antivírus que está ativo no PC e conseqüentemente não serão detectados. Esconder-se nas pastas do sistema: algumas ameaças mais elaboradas conseguem se alojar nas pastas importantes do sistema operacional, portanto ficando, de certa forma, escondido, pois normalmente o usuário não verifica conteúdo das pastas do sistema e qualquer “arquivo” que seja detectado nessas pastas pode gerar a dúvida se é realmente uma ameaça. Cookie7: alguns malwares podem estar entre os cookies armazenados durante uma navegação, que depois de alojado no computador pode ficar monitorando os passos da vítima na rede, podendo até capturar informações importantes como senhas. Esconder-se em extensões não-executáveis: normalmente os vírus são alocados em arquivos com extensões executáveis, mas uma nova geração de vírus vem atacando outras extensões como .sys, .dll, .prg, .ovl, .bin, .drv, .scr e até arquivos do pacote Microsoft Office com extensões .doc e .xls. Com esta forma de camuflagem, o vírus pode passar muito mais despercebido, pois estas são extensões que normalmente não são infectadas. Vírus Stealth: em uma analogia aos caças norte-americanos stealth, este vírus se esconde quando percebe que há algum antivírus ativo no sistema, dificultando desta forma sua detecção pelo software. 3.4 ASSINATURA DOS VÍRUS Todo vírus ou código malicioso, por assim dizer, possui uma forma única de ser escrito, ou seja, uma seqüência definida de caracteres pré-determinados que o identifique perante o software antivírus (ANDRADE). Essa seqüência de caracteres é chamada de assinatura do vírus. 7 Informações ou dados de sítios visitados que ficam armazenados no computador após uma navegação na internet. 23 Ao infectar determinado arquivo o vírus deixa sua assinatura no mesmo, sendo desta forma que o antivírus detecta a contaminação. Mas quem define qual é assinatura de determinado vírus é a empresa que desenvolve o software antivírus, fazendo parte do banco de dados ou biblioteca de vírus conhecidos e identificados por aquele software. Por este motivo que algumas vezes um software identifica um arquivo contaminado e outro software não o identifica, pois seus bancos de dados são um pouco diferentes. Assim, é importante ter pelo menos dois softwares antivírus instalados no computador, pois um pode complementar o outro para melhor segurança. 3.5 TIPOS DE ATACANTES 3.5.1 Hacker Embora muitos entendam o termo hacker como algo criminoso, na verdade não é bem assim. Os chamados hackers são usuários com profundo conhecimento utilizado para desenvolver e aprimorar softwares ou até hardwares de forma legal. Geralmente são jovens programadores na plataforma Linux e possuem uma ética em seu trabalho, ou seja, não tem a intenção de invadir ou prejudicar sistemas. Eles são os grandes responsáveis pelo crescimento da web e pela disponibilização de vários softwares livres. 3.5.2 Cracker Como o nome diz, cracker é aquele que quebra códigos, senhas e segurança de sistemas geralmente com intuito criminoso. Este termo foi sugerido pelos hackers que não queriam mais ser confundidos com vândalos e criminosos, deixando o nome cracker para designá-los. Os crackers costumam alterar softwares originais, permitindo que sejam copiados e distribuídos como se fossem legítimos, através do uso de números seriais ou alteração do arquivo original de instalação, podem também transformar um simples software de versão trial (com data limite de expiração) e um software free liberado para uso. Ainda há aqueles que se dedicam a quebrar criptografia e a desenvolver ameaças como vírus, trojans ou simples adwares. 24 3.5.3 Engenheiro Social Este atacante, em muitas das vezes, nem precisa ter um vasto conhecimento em programação e muito menos na plataforma Linux, pois seu ataque se baseia no convencimento e na manobra da vítima, seja por uma simples conversa até mesmo instigando e induzindo, através de um falso site, a vítima a entregar seus dados pessoais. Nesse tipo de ataque não adianta a segurança computacional, pois o próprio usuário é convencido a entregar os dados confidenciais, não precisando o atacante realizar nenhum esforço em tentativas e uso de softwares para obter tais informações, bastando somente de uma situação convincente, buscando obter a confiança da vítima. 3.6 TÉCNICAS DE DEFESA 3.6.1 Software Antivírus Este tipo de software trabalha com o sistema de banco de dados, e para este programa ser efetivo ele deve ter sempre sua base de dados atualizada, pois há o surgimento de novos vírus na internet que precisam ter sua assinatura armazenada no banco do desenvolvedor do programa antivírus. A função desse programa é detectar e se possível eliminar a ameaça, por isso a necessidade de estar sempre com sua base atualizada. Para que seu desempenho seja mais eficaz, é recomendado que este software inicie o monitoramento no momento de inicialização do sistema operacional, e ficará ativo durante o uso do computador podendo ser visualizado na bandeja de ícones junto com outros programas em execução. 3.6.2 Heurística Palavra que origina do grego Heuriskein, que significa descobrir (WIKI). O método de detecção por heurística tenta sempre aproximar-se mais do objetivo de forma mais rápida. Sendo assim, na execução do antivírus esse método usará a intuição para identificar a ameaça. A execução por heurística difere do método tradicional por não garantir tempo máximo de execução e de ser sempre a melhor solução para determinado problema, já que utiliza de resultados anteriores para agir pela “intuição” para qual a melhor forma de agir para determinado caso. A qualificação da heurística varia de quão próximo do objetivo a avaliação chegou. 25 3.6.3 Software Antispyware Parecido com o software antivírus, o antispyware é desenvolvido para detectar códigos espiões ou spywares quando tentam realizar alterações em arquivos de registro do sistema operacional. Também trabalham com sistema de base de dados com ameaças conhecidas catalogadas em seu banco por isso precisam se manter atualizados para detecção de novas possíveis ameaças. 3.6.4 Removedor de Propagandas Ainda há pequenos programas desenvolvidos para remover uma nova espécie de ameaça, que mesmo que não cause dano ao computador, é também considerada uma intrusão, pois se instala, muitas vezes sem o conhecimento ou consentimento do usuário, que ao baixar e instalar um programa, geralmente gratuito, em seu computador, a intrusão acaba sendo instalada também, e é difícil de ser removida, pois as versões mais novas de adwares não possuem o desinstalador e também não são permitidas sua remoção, por exemplo, no Painel de Controle do Windows, tendo que o usuário utilizar de um software de terceiro para poder desinstalar esse intruso, software como o AdwCleaner, que é bem eficaz para remoção de adwares. 26 4 FIREWALL Firewall, que literalmente significa “Parede Corta-Fogo”, tem a função de criar uma barreira ou proteção para uma determinada rede ou computador específico. Há dois tipos básicos de firewall, o de hardware quesão dispositivos configuráveis como proxys e roteadores e os de software que são programas instalados para desempenharem a função de proteção através de filtros, seja de endereços IP, portas de acesso ou endereços MAC8. O firewall é eficaz em evitar ataques e invasões em pequenas e médias redes de computadores, conseguindo isolar a comunicação de dois setores, como por exemplo, o setor de RH do setor Financeiro, onde há informações confidenciais para a empresa, mas requer maior atenção no âmbito de redes maiores, onde além de envolver maior número de equipamentos e dispositivos conectados à rede, acaba sendo maior alvo de ataques. Alguns tipos de firewall: Filtros de Pacotes: apesar de serem fáceis de elaborar, possuem vulnerabilidades na camada de protocolo TCP/IP. Filtro de Estados: é um filtro de pacotes melhorado, pois sua tabela de regras é diretamente associada à tabela de estados, facilitando o desempenho do firewall. As conexões são todas monitoradas e somente o pacote que fizer parte da tabela de estado pode ter acesso à rede. Proxy: É uma espécie de intermediador entro o host interno e externo, monitorando e interceptando todos os pacotes que trafegam nesta rede, não permitindo a comunicação direta entre estes hosts. Possibilita a autenticação de usuário, mas este tipo de firewall pode tornar a rede um pouco mais lenta. Firewall Pessoal: A principal função deste firewall é proteger portas de comunicação entre o computador e a internet. Sua principal proteção é contra spywares e sob seu monitoramento este programa impede que o código malicioso entre por determinado porta ou interfira em algum protocolo, além de detectar tentativas de intrusões por um acesso remoto. A peculiaridade deste tipo de firewall é que ele protege somente o equipamento onde fora instalado. 8 Endereço físico único gravado na memória ROM de uma placa de rede que identifica o dispositivo na internet de forma mais eficiente que o endereço IP. 27 5 DMZ DMZ, que significa zona desmilitarizada, é basicamente uma pequena área localizada entre a rede interna de uma empresa e a internet, impedindo certo tipo de tráfego entre elas. A DMZ cria uma zona para as máquinas que poderão ser acessadas através da internet e por estarem mais expostas requerem maior atenção com relação a sua segurança e prevenção de ataques. As máquinas que não estão dentro da DMZ não poderão ser acessadas via internet. A DMZ trabalha com sistema de filtros, configurada para bloquear acesso a determinados sites, alguns tipos de downloads, além de filtro de pacotes, de estados e de cache. Sendo que o filtro de pacotes controla o tráfego baseando-se em tabelas de endereços IP que são permitidos ou não, e em bloqueios e liberações de portas. Já o filtro de tipo Stateful realiza os mesmos procedimentos do filtro de pacotes, porém realiza uma inspeção dos pacotes que entram e saem da rede armazenando-os em uma tabela de sessão. Esses dados servem de conferência para discernir se a origem dos pacotes é conhecida ou pertence a uma fonte não autorizada. No filtro baseado em cache, como proxys, a DMZ fica como intermediária entre a rede interna e a rede externa, autenticando e autorizando as conexões. Além de servir de filtro, a DMZ pode também conter ataques protegendo a rede interna, utilizando pontos de filtragem que protegem os serviços ativos contendo o tráfego que entra e sai da DMZ com ajuda do roteador ou do firewall e ainda contendo políticas de acesso como login, horário disponibilizado para conexão e endereços IP permitidos para acesso. Se um ataque entra na DMZ ele não conseguirá passar para a rede interna, devido a esses pontos de filtragem. A implantação de uma DMZ em uma rede residencial, por exemplo, é muito simples, pois a configuração é feita no roteador liberando ou negando a conexão de determinada máquina à internet. Já em redes maiores é recomendado utilizar além do router, um servidor Proxy, um bom sistema operacional que suporta configurações mais elaboradas de segurança ou um servidor Linux munido com, por exemplo, o iptables. Alguns pontos interessantes da DMZ são seu estabelecimento entre duas zonas de segurança interceptando e controlando as conexões; os servidores que precisam ser 28 acessados remotamente ficam dentro da DMZ; contém o ataque sem deixá-lo entra na rede interna e a possibilidade de posicionar dispositivos para realizarem o cache da rede. 29 6 RISCO De acordo com a definição do PMBOK (DOROW), risco é “evento ou condição incerta que, se acontecer, tem um efeito positivo ou negativo para a organização”. Ou pela definição da AS/NZS (DOROW) risco é “a chance de algo acontecer e que terá impacto nos objetivos”. E pela ISO1779 (DOROW) tem por definição que “a segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio”. Numa definição informal pode-se entender por risco algo onde o resultado é incerto quando se espera um determinado objetivo, mas há alguma probabilidade desse objetivo não ocorrer, podendo, muitas vezes, esse risco ser calculado, donde concluir-se- á se tal risco é aceitável, pelos possíveis posteriores ganhos ou se o impacto poderá causar sério dano à empresa, sendo, então descartado. Vindo, o que era somente um risco, a ser concretizado, o dano causado, a uma empresa, por exemplo, pode ser financeiro, físico ou um simples atraso no alcance da meta determinada. A norma, similar a ISO, AS/NZS 34 define como etapas de uma Gestão de Riscos, a Identificação e a Avaliação que serão mostradas a seguir. 6.1 IDENTIFICAÇÃO DOS RISCOS Primeiro é estabelecido o contexto do risco, definindo em qual cenário será analisado o risco. Feito isto é então identificado os riscos, determinando qual o impacto desse risco no cenário analisado. E por fim, é feita a análise de riscos, determinando as conseqüências caso ocorra tal fato. A etapa de análise de riscos é importante, pois o gerenciamento e administração de uma rede de computadores sempre deve ser atrelado a uma boa análise de riscos, pois o gasto ou investimento em determinada área visando a segurança de uma rede deve ser calculado se é necessário realmente ou não, dependendo do grau de risco e 30 possível impacto para a empresa. O cálculo do risco basicamente é a probabilidade de tal evento ocorrer e o impacto que este evento iria causar. A análise de riscos em TI pode ser subdividida em: Análise Qualitativa dos Riscos: que é o conceito básico, onde é identificado o risco, é analisado o impacto e calculado a probabilidade de que ele ocorra. Análise Quantitativa dos Riscos: neste tipo de análise estima-se, em valores financeiros, quanto este risco pode custar para a empresa. Na análise qualitativa os valores são classificados como alto, médio ou baixo, e é recomendada quando o prazo para análise é mais curto, mas possui a desvantagem de seu resultado poder vir a ser distorcido. Já na análise quantitativa é recomendada quando os ativos são conhecidos, assim como seus valores e custos. A desvantagem deste método, é que se os valores não são conhecidos, o levantamento completo necessário poderá ser bastante demorado. Pela prática das empresas, quando os valores não são totalmente conhecidos, é recomendado realizar primeiro a Análise Qualitativa para depois realizar a Análise Quantitativa, para, desta forma, obter um resultado mais preciso. 6.2 AVALIAÇÃO DOS RISCOS Depois de identificado o risco existe quatro tipos possíveis de ações: Evitar: elimina o risco através de uma ação drástica, como bloquear acesso a rede externa deuma empresa, para evitar que ameaças entrem para a rede interna; Transferir: transfere a responsabilidade de gerência de um risco para um terceiro, como uma empresa provedora da administração de sites ou emails, sendo esta responsável, contratualmente, por queda ou perda do serviço. Mitigar: minimizar os riscos, como por exemplo, bloquear o acesso a determinados sítios da internet. Aceitar: quando o risco é improvável de ocorrer ou seu impacto é pequeno, o melhor é aceitá-lo e ter um plano de contingência caso o risco ocorra. É importante sempre monitorar o ambiente a fim de manter os riscos conhecidos sob controle dentro das especificações determinadas, para que se algo acontecer, a medida necessária será imediatamente tomada. 31 7 SEGURANÇA DE REDES WIRELESS Com o crescente aumento de dispositivos móveis e sem fio, surge também a necessidade de diretivas de segurança para atender a essas aplicações. Mas aplicar mecanismos de segurança em tais dispositivos é um desafio encontrado por desenvolvedores e administradores de redes. Isso ocorre porque há certas limitações inerentes ao ambiente móvel, tais como a qualidade da transmissão; limitações na largura de banda wireless; variabilidade da qualidade do sinal, principalmente quando o dispositivo ultrapassa a fronteira de sinal nativa e passa a agir como “visitante” (roaming), o que trará ainda maior dificuldade, pois necessitará de maior gerenciamento de acordo com a variação de sua localização. Além de algumas peculiaridades inerentes a redes moveis, que são sua propagação e área de abrangência. Por se propagar por ondas eletromagnéticas fica difícil margear o alcance desta rede, ficando “acessível” para alguma pessoa não autorizada que consiga captá-la. 7.1 POSSÍVEIS PROBLEMAS Ao instalar uma base wireless com as configurações vindas de fábrica o incauto instalador poderá incorrer em problemas tais como: Uso de senha padrão do dispositivo: encontrado facilmente em pesquisas na internet, cada aparelho possui um login de acesso padrão que se não for alterado logo na instalação, pode gerar graves problemas de acesso se um invasor captar essa rede. Ele provavelmente mudará esta senha e configurará o dispositivo da forma como ele quiser. Uso do nome identificador da rede padrão: como praxe, os modelos têm seu SSID, ou nome que identifica e diferencia a rede sem fio dentre outras disponíveis em determinado local, configurado com o próprio nome do dispositivo, por exemplo, no roteador d-link, seu SSID padrão será d-link. Essa nomenclatura sinalizará para algum possível invasor que aquela rede foi instalada com a configuração padrão de fábrica, e que provavelmente, sua segurança está comprometida. Sem controle de acesso: qualquer pessoa que estiver no alcance desta rede poderá, teoricamente, acessá-la. 32 Não utilizar criptografia: para uma pessoa treinada fica mais fácil capturar o que trafega em uma rede que não utiliza criptografia, podendo emails ou dados importantes serem interceptados por alguém não autorizado. Área de abrangência além do necessário: isso pode gerar lentidão, baixo desempenho e conseqüente insatisfação dos usuários. Posicionamento inadequado do dispositivo: o mau planejamento de posição de um roteador pode gerar áreas desnecessárias de abrangência e áreas sem conexão. Como analisado, o impacto que uma rede sem fio mal configurada pode causar é muito grande, devendo, portanto, sempre ser instalada e configurada por pessoas qualificadas para tal, de acordo com critérios e especificações técnicas de segurança. 7.2 ALGUMAS SOLUÇÕES Algumas soluções básicas que podem ser tomadas para rechaçar tentativas de invasão, seja de curiosos ou de verdadeiros intrusos que poderão causar dano a rede, são: Criptografia: é o mínimo que pode ser feito para trazer alguma segurança para sua rede sem fio. O método WEP (wired equivalent privacy), apesar de ser facilmente quebrado por usuários avançados da plataforma Linux, é ainda o mais comum utilizado em wireless. Já o método WPA (wi-fi protected access) oferece um pouco mais de segurança aos seus usuários. A nova especificação em segurança em redes wi-fi traz o método AES (advanced encryption standard) que parece ser o sistema mais eficaz para encriptação de dados em redes wireless, pois cria chaves criptográficas de 256 bits, o que não é tão fácil de ser quebrada por pessoas não autorizadas. SSID (Service Set Identifier): é o nome que identificará seu roteador ou Access Point entre outras disponíveis no local. Uma rede com um SSID padrão de fábrica, ou seja, com o próprio nome do aparelho, como linksys, d-link e outros, sinaliza para um possível invasor que aquela rede está mal configurada, portanto mais fácil de ser penetrada. Mudar a senha padrão do dispositivo: os modelos de dispositivos sem fio vêm com senhas padrões de acesso, que qualquer cracker iniciante pode quebrar, por 33 isso é preciso alterar esta senha logo na instalação do aparelho, para evitar possíveis invasões. Filtro de MAC Address: é possível, também, no roteador incluir a configuração de filtros de MAC Addresses, onde somente os MACs cadastrados poderão ter acesso à rede sem fio. Este filtro também é útil para permitir ou negar certos endereços de MAC ao acesso à rede cabeada e não só a rede wireless. Limitar a distribuição de endereços IP: ao configurar tal roteador ou ponto de acesso, é recomendado limitar o número de endereços IP que serão distribuídos nessa rede. Por exemplo, se serão somente quatro computadores que acessarão esta rede, não é necessário deixar a distribuição de endereços IP até 200 possíveis, que é o padrão de fábrica do dispositivo. É interessante também configurar um filtro de endereços IP, permitindo ou negando certos IPs ao acesso a determinadas portas ou sítios da internet. Desativar SSID Broadcast: quando a rede sem fio é aberta e possivelmente acessada ao público, é necessário manter o envio do SSID pelo sinal, para que os possíveis usuários possam visualizar e se conectar a esta rede, mas quando o acesso é normalmente disponível para os mesmos computadores, não há a necessidade de envio de sinal de SSID, pois quem usualmente se conecta a esta rede já a tem a associação gravada em seu notebook ou dispositivo móvel, além de ser uma dificuldade a mais para possíveis invasores. Regular a intensidade do alcance sinal: alguns dispositivos com configurações mais avançadas permitem que o alcance de seu sinal seja regulado, ou seja, é possível limitar a área de abrangência do sinal ao limite da casa ou empresa que utilizará esta rede, impedindo, de certa forma, que curiosos ou invasores captem seu sinal. Utilizar um Firewall: como medida final, é bom ressaltar a utilização de um hardware ou software de firewall, como o Zone Alarm, McAfee e Norton, que aumentará ainda mais a segurança desta rede. Atualizar o Firmware9 do dispositivo: assim como um software antivírus ou um sistema operacional, o roteador também precisa ser atualizado para funcionar de acordo com a necessidade do atual ambiente, sendo que sua atualização é feita em seu firmware. 9 Conjunto de intruçoes programadas diretamente no hardware do equipamento, armazenado de forma permanente na memória (ROM, PROM ou EPROM) do aparelho. Envolvido com as operações mais básicas do equipamento, sem as quais ele não funcionaria corretamente. 34 8 SOLUÇÕES BÁSICAS DE SEGURANÇA EM UMA REDE INTERNA Um grande problema enfrentado principalmente por empresas é o acesso indevido a determinados sítios da internet, que ocasionam lentidão ou peso na rede interna e também podem ser portas de acesso a vírus e softwares maliciosos. Outro problema encontrado é o uso da banda disponível para realizar downloadsde grandes arquivos como músicas ou vídeos, o que prejudica muito o desempenho desta rede. Algumas possíveis soluções para sanar este problema são: Bloqueio de sítios direto no router: o bloqueio realizado diretamente no roteador é uma das formas mais eficazes de proteção contra acessos a sítios indevidos em uma empresa. Neste bloqueio é definido qual site é permitido ou também negado o acesso. Sendo assim o usuário interno não conseguirá acessar nada além do permitido pelo administrador da rede. Uma forma de burlar este acesso pelos usuários é utilizar de sites da internet chamados de proxy servers, como por exemplo, ninjaproxy.com; novaproxy.us; hidebehindproxy.com; proxserver.com; dentre outros, estes sites fazem um “interfaceamento” do browser acessado dentro da rede e o site que fora bloqueado, permitindo que o usuário navegue por esse site como se este estivesse com livre acesso. Por isso é necessário incluir estes sites de proxy mais conhecidos no filtro de bloqueio do roteador. Bloqueio de sítios no arquivo “hosts”: este arquivo fica “escondido” na pasta C:\Windows\System32\drivers\etc e é um método bastante eficaz quando o roteador é limitado em relação ao número de possíveis bloqueios de sítios. Desta forma, o administrador da rede pode acessar o arquivo hosts e adicionar uma linha com o nome do site a ser bloqueado direcionando a um endereço IP que não corresponde à realidade. Podem-se adicionar quantos sites desejar, mas este método possui a desvantagem de ter que ser realizado manualmente em cada computador conectado à rede interna. Filtros de Portas: também realizado no roteador, este método permite pegar um determinado endereço IP ou uma faixa de IPs dentro de uma rede interna é permitir ou negar acesso a determinadas portas ou range de portas na internet, podendo ainda agendar este bloqueio ou liberação, deixando intervalos disponíveis para acesso. 35 Software Free para bloqueio de sítios: uma solução prática e gratuita é a instalação de um software chamado Kurupira, disponível para download na internet. Além de gratuito seu arquivo de instalação é pequeno, cerca de 15 MB, e é bastante eficaz para bloqueios, liberações e outras funcionalidades na administração da rede. Sua configuração é bem simples e em português, vindo com alguns possíveis bloqueios a sítios conhecidos como facebook e youtube, além de programas como Skype e MSN, onde seu bloqueio é feito com uma simples marcação na caixa ao lado do nome do programa ou sítios que deseja bloquear. Ainda há a possibilidade de adicionar manualmente qualquer site, além desses, para bloqueio. É possível também agendar intervalos para liberação ou bloqueio à internet e a visualização completa do histórico de navegação do usuário daquele computador. Outra grande vantagem deste software é que quando instalado automaticamente bloqueia acesso a sites pornográficos, impedido até o aparecimento do nome desses sites em um resultado realizado por qualquer site de busca. É acessado ou desinstalado somente com a senha configurada na instalação, mas possui a desvantagem de ter que ser instalado manualmente em cada computador conectado a esta rede. 36 9 CRIPTOGRAFIA Com a enorme necessidade de segurança na transferência de dados atualmente surgem técnicas e métodos que tentam de alguma forma sanar ou minimizar os problemas com segurança e invasão de dados em uma rede. Uma dessas técnicas, sendo uma das mais eficazes, é a criptografia, que nada mais é do que transformar algo que é legível em algo ilegível à vista do leitor, pois este método codifica os caracteres conhecidos em outros, como letras e números embaralhados, o que é totalmente incompreensível. É útil para proteger operações financeiras via internet, backups de dados confidenciais, emails ou qualquer que seja o dado que se queira esconder do acesso de pessoas não autorizadas. As propriedades inerentes à criptografia são: Autenticidade: garante que a pessoa ou entidade é quem ela diz ser; Confidencialidade: manter as informações sigilosas a quem não tem acesso permitido; Integridade: mantém a informação da maneira como ela fora criada, garantindo que ela não foi alterada durante o processo de transação; Não-Repúdio: não permite que a pessoa ou entidade que gerou tal informação negue que foi ela sua autora. 9.1 CHAVES CRIPTOGRÁFICAS O método de criptografia utilizado em transações computacionais faz uso das chamadas chaves criptográficas, que por sua vez, pode ser do tipo Simétrica ou Assimétrica. 9.1.1 Chave Simétrica Neste método de criptografia, é utilizada somente uma chave, que é a mesma tanto para codificar quanto para decodificar a mensagem ou informação, daí vem o nome alternativo para esta técnica que é a Criptografia de Chaves Privadas. É também utilizado o mesmo algoritmo no lado do remetente e do destinatário. 37 Este tipo de criptografia é eficiente e muito utilizado em sites que se apresentam como seguros, onde normalmente fazem uso do método SSL (Secure Sockets Layers). O maior problema encontrado neste tipo de sistema é na troca das chaves, pois é neste momento que alguém pode interceptar a conversa e capturar a chave compartilhada, mas este problema é resolvido usando método assimétrico que será explicaddo posteriormente. A criptografia simétrica demanda menos tempo para ser concluída, devido a menor exigência dos processadores para processar a encriptação e decriptação, por isso é mais utilizada para codificar maior quantidade de dados. 9.1.2 Chave Assimétrica Este tipo de criptografia, também chamado de chave pública, utilizam de duas chaves diferentes, uma para codificar a mensagem e a outra para decodificá-la. A chave chamada pública é disponibilizada pelo emissor ou proprietário para quem ele quiser que se comunique com ele de forma segura, enquanto a chave privada é de exclusivo uso do proprietário não sendo ela compartilhada. Ao criptografar uma informação com a chave pública ele só poderá ser decriptografado com a chave privada correspondente. Para tentar quebrar este código demandará bastante de um possível invasor, pois a técnica e algoritmos utilizados são bastante complexos. É recomendado, para aumentar a eficiência deste método, utilizar a criptografia assimétrica em conjunto com a criptografia simétrica. 9.2 ALGORITMOS E TIPOS DE CRIPTOGRAFIA Há alguns métodos conhecidos de criptografia das mais variadas formas de se implementar, tais como: CRYPT: técnica de criptografia que remonta à Segunda Guerra Mundial, já existem softwares de fácil acesso para quebrar este tipo de criptografia (MAGALHÃES). ROT13: este método consiste simplesmente em mover uma determinada letra do alfabeto em 13 casas a frente, por exemplo, a letra A tornar-se-á a letra O (MAGALHÃES). DES: segundo descrição de Vicente Magalhães, esta técnica, chamada de Data Encryption Standard, fora apresentada nos anos 70 pela empresa de computadores IBM, 38 sendo que nesta época, supostamente, o governo dos Estados Unidos adotara este tipo de criptografia não-oficialmente. O DES, que foi o primeiro código a tornar-se acessível ao público, consiste em utilizar uma mesma chave, tanto para criptografar quanto para decriptografar a mensagem, como visto no método de Chave Simétrica. Sua implementação consiste em embaralhar um grupo 64 bits 16 vezes de forma pré- determinada e possui ainda duas possíveis variações, a ECB (Eletronic Code Book) e a CBC (Cipher Block Chaining). TRIPLO DES: nesta variação do DES, o número de chaves aumenta e a mensagem é codificada por três vezes mais, sendo que a chave é diferente em cada um destes três estágios de codificações (MAGALHÃES). IDEA: desenvolvido na década de 80 na Suíça, este método embaralha os grupos de 64 bits utilizando uma chave de
Compartilhar