Prévia do material em texto
Prof. Cid Marques de Carvalho Noções de Informática – Segurança SEGURANÇA DA INFORMAÇÃO A segurança da informação não é, ao contrário do que muitos acreditam, um adjetivo, uma característica genérica de um site, serviço ou software, e sim uma área da tecnologia da informação que tem quatro critérios centrais, (Autenticidade, Integridade, Disponibilidade, Confidencialidade), que somados aos demais (Auditoria, Privacidade, Legalidade e Não Repúdio) formam a segurança da informação. Como a falta de privacidade de dados, no fluxo de informações sem sigilo e principalmente os ataques externos a uma rede de computadores de uma organização pública ou privada pode comprometer dados, prejudicar a prestação de serviços ou mesmo comprometer procedimentos. As organizações estão cada vez mais focadas em criar um ambiente elevado de segurança, e por esta razão este tópico é tema recorrente em provas de concursos públicos. Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo seguros equipamentos, sistemas, documentações e arquivos. CRITÉRIOS DA SEGURANÇA Conforme Instrução Normativa nº 1 de 13/06/2008 Toda análise de segurança deve ter quatro critérios definidos, que são os critérios universais da segurança da informação, tanto ataques como procedimentos de segurança podem visar um ou mais critérios para violação ou proteção de dados. Uma informação ou ambiente é considerado completamente seguro quando apresenta a segurança relativa aos quatro critérios. Disciplina a Gestão de Segurança da Informação (GSI) e Comunicações na Administração Pública Federal, direta e indireta. DOU 18.06.2008 Art. 1º Aprovar orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. Art. 2º Para fins desta Instrução Normativa, entende-se por: I - Política de Segurança da Informação e Comunicações: documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações; II - Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações; Seguem abaixo os critérios de segurança da informação: III - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade; É a garantia de que os sistemas e as informações de um computador estarão disponíveis quando necessário. Quando a informação é atacada e torna-se indisponível para os que deveriam visualizar. Como exemplo, temos a queda de um servidor no último dia de inscrições para um concurso público por grande quantidade de acessos simultâneos. IV - Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; Princípio em que as informações e dados serão guardados em sua forma original evitando possíveis alterações realizadas por terceiros. É quebrada quando alguém altera o conteúdo da informação não sendo a pessoa autorizada para isso. Como exemplo temos a alteração do conteúdo de um site governamental, por um ataque realizado por terceiros. V - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado; É a capacidade de controlar quem vê as informações e sob quais condições. Assegurar que a informação só será acessível por pessoas explicitamente autorizadas. Quando a informação é visualizada por que não deveria ter acesso a ela. Como exemplo, temos a visualização de um conteúdo por um terceiro que não tinha este grau de autorização, quebrando com isso o segredo da informação. VI - Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade; Permite a verificação da identidade de uma pessoa ou agente externo de um sistema. É a confirmação exata de uma informação. É quebrada quando alguém autentica algo ou se autentica em determinado local sem ser a pessoa autorizada para Prof. Cid Marques de Carvalho Noções de Informática – Segurança isso. Como exemplos temos o furto de uma senha e o acesso indevido, por terceiros, em uma rede social. Obs. A consequência da confirmação da autenticidade gera a Irretratabilidade ou o não repúdio. VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações; VIII - Quebra de Segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações; IX - Tratamento da Informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas. Auditoria. É a possibilidade de rastrear os diversos passos que o processo realizou ou que uma informação foi submetida, identificando os participantes, locais e horários de cada etapa. Exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu violação de segurança. Privacidade. Capacidade de controlar quem viu certas informações e quem realizou determinado processo para saber quem participou, em que local e o horário. Legalidade. É a garantia de legalidade de uma informação de acordo com a legislação vigente. Não Repúdio. Não há como "dizer não" sobre um sistema que foi alterado ou sobre um dado recebido. CONCEITO DE AMEAÇA E VULNERABILIDADE Uma ameaça é um possível perigo que pode explorar uma vulnerabilidade do sistema. Note que a ameaça é algo ativo (ele que explora a vulnerabilidade). Já a vulnerabilidade é algo passivo, simplesmente existe. 1. Cuidado, alguns autores não diferenciam ataque e ameaça e por vezes são utilizados como sinônimos. 2. Para norma ISO/IEC 27002, vulnerabilidade é uma fragilidade e ameaça é causa de um incidente. Vulnerabilidade: é uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede. Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível. Ameaça: uma causa potencial de incidente um indesejado, que pode resultar em um dano para um sistema ou organização. Ameaça de Análise – Após uma análise poderão descobrir as possíveis consequências da ameaça a um sistema. Ameaça Inteligente- Situação em que seu adversário possui capacidade técnica e operacional para fazer uso de algo vulnerável no sistema. DIFERENÇA ENTRE O HACKER E O CRACKER Hackers - São especialistas em tecnologia da informação que invadem sistemas, quebram senhas e códigos sem intenções claramente maliciosas, e muitas vezes são autorizados pelos proprietários da informação, para testar os níveis de segurança da rede de uma organização. São considerados invasores e assim podem ser apresentados em uma prova, porém não tem como objetivo final dos ataques cometer o crime da fraude, prejudicando terceiros com o furto de dados, desvio de dinheiro ou cópia de conteúdo privado. Crackers – São especialistas em tecnologia da informação que invadem sistemas, quebram senhas e códigos com intenções maliciosas, sem a autorização do proprietário da informação, em linhas gerais, é o criminoso virtual que tem a intenção de prejudicar terceiros obtendo vantagens próprias, seja com desvio de dinheiro, invasão a rede social alheia ou mesmo furto de dados privados para benefício próprio. ATAQUES Um ataque é qualquer ação que compromete a segurança da informação. Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque. Prof. Cid Marques de Carvalho Noções de Informática – Segurança Motivações Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações criminosas. Alguns exemplos são: Demonstração de Poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. Motivações Financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes. Motivações Ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia. Motivações Comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas. Características Um Ataque pode ser decorrente de um furto a um sistema de segurança no intuito de invadir sistemas e serviços. Ele pode ser dividido em ativo, passivo e destrutivo; Ataques Passivos: Um exemplo de ataque passivo é uma leitura não autorizada. Note que nada acontece com o conteúdo da informação. O cracker está interessado em monitorar a transmissão sem ser percebido. Outro exemplo de ataque passivo é a análise de tráfego. Mesmo que o canal de comunicação seja criptografado, a simples intensidade de tráfego pode ser uma informação importante. O aumento de tráfego para determinados pontos a partir de certa origem, podem indicar, por exemplo, um ataque terrorista. A leitura não autorizada e a analise de tráfego são ataques chamados de interceptação. Estes ataques violam o princípio da confidencialidade. Ataques Ativos: Um ataque ativo pode ser divido em 4 tipos: a) Disfarce (ou fabricação): uma entidade finge ser outra. Viola o princípio da autenticidade. b) Repetição: captura passiva de dados seguida de retransmissão para produzir um efeito não autorizado. Viola o princípio da integridade. c) Modificação de mensagens: alteração do conteúdo da mensagem. Viola o princípio de integridade. d) Negação de serviço (ou interrupção): impede o acesso à informação, por exemplo, um ataque DOS (Denial of service). Violam o princípio da disponibilidade. O Destrutivo: Proíbe qualquer acesso aos dados, ou efetivamente destrói os dados do dispositivo atacado. Para que um ataque seja considerado bem sucedido o sistema atacado deve estar vulnerável. Tipos de Ataque à Informação Incêndio, problemas na eletricidade, erros no hardware e software, alterações em programas, furto de dados, invasão ao terminal de acesso, dificuldades de telecomunicação, etc. Uma ameaça acontece quando há uma ação sobre uma pessoa ou sobre um processo utilizando uma determinada fraqueza e causa um problema ou consequência. As ameaças podem ter origem natural, quando surgem de eventos da natureza, como terremotos ou enchentes; podem ser involuntárias, como falta de energia ou erros causados por pessoas desconhecidas; ou se tratam de ameaças voluntárias em que hackers e bandidos acessam os computadores no intuito de disseminar vírus e causar danos. Força Bruta (Brute Force) É considerado o ataque em que o usuário não comete nenhum erro ou procedimento indevido, mas mesmo assim seus dados e segurança são violados de forma forçada, através da invasão. Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Qualquer computador, equipamento de rede ou serviço que seja acessível via Internet, com um nome de usuário e uma senha, pode ser alvo de um ataque de força bruta. Dispositivos móveis, que estejam protegidos por senha, além de poderem ser atacados pela rede, também podem ser alvos deste tipo de ataque caso o atacante tenha acesso físico a eles. Se um atacante tiver conhecimento do seu nome de usuário e da sua senha ele pode efetuar ações maliciosas em seu nome como, por exemplo: Prof. Cid Marques de Carvalho Noções de Informática – Segurança Trocar a sua senha, dificultando que você acesse novamente o site ou computador invadido; Invadir o serviço de e-mail que você utiliza e ter acesso ao conteúdo das suas mensagens e à sua lista de contatos, além de poder enviar mensagens em seu nome; Acessar a sua rede social e enviar mensagens aos seus seguidores contendo códigos maliciosos ou alterar as suas opções de privacidade; Invadir o seu computador e, de acordo com as permissões do seu usuário, executar ações, como apagar arquivos, obter informações confidenciais e instalar códigos maliciosos. Mesmo que o atacante não consiga descobrir a sua senha, você pode ter problemas ao acessar a sua conta caso ela tenha sofrido um ataque de força bruta, pois muitos sistemas bloqueiam as contas quando várias tentativas de acesso sem sucesso são realizadas. As tentativas de adivinhação costumam ser baseadas em: Dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet; Listas de palavras comumente usadas, como personagens de filmes e nomes de times de futebol; Substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"'; Sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx"; Informações pessoais de conhecimento prévio do atacante, ou coletadas na Internet em redes sociais e blogs, como nome, sobrenome, datas e números de documentos. Quebra de Senha: O quebrador, ou cracker, de senha é um programa usado pelo hacker para descobrir uma senha do sistema. O método mais comum consiste em testar sucessivamente as palavras de um dicionário até encontrar a senha correta. Apesar dos ataques de força bruta poder ser realizados manualmente, na grande maioria dos casos, eles são realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo.Exemplo: Hidra. Varredura em Redes (Scan): É uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalados. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. A varredura em redes e a exploração de vulnerabilidades associadas podem ser usadas de forma: Legítima: por pessoas devidamente autorizadas, para verificar a segurança de computadores e redes e, assim, tomar medidas corretivas e preventivas. Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos serviços disponibilizados e nos programas instalados para a execução de atividades maliciosas. Os atacantes também podem utilizar os computadores ativos detectados como potenciais alvos no processo de propagação automática de códigos maliciosos e em ataques de força bruta. Obs.: Não confunda scan com scam. Scams, com "m", são esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras através de instalação de malware no seu dispositivo. Um ataque de força bruta, dependendo de como é realizado, pode resultar em um ataque de negação de serviço, devido à sobrecarga produzida pela grande quantidade de tentativas realizadas em um pequeno período de tempo. Negação de Serviço / Denial Of Service (DoS e DDoS): É uma técnica pela qual um atacante se utiliza para tirar de operação um serviço, um computador ou uma rede conectada à Internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service). O Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas variantes, como os ataques distribuídos de negação de serviço (DDoS). Nessa variante, o agressor invade muitos computadores e instala neles um software zumbi, como o Tribal Flood Network ou o Trinoo. Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam o servidor-alvo, tirando-o do ar. O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas. Nos casos já registrados de ataques, os alvos ficaram impedidos de oferecer serviços durante o período em que eles ocorreram, mas, ao final, voltaram a operar normalmente, sem que tivesse havido vazamento de informações ou comprometimento de sistemas ou computadores. Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem o conhecimento de seu dono, por estar infectado e fazendo parte de botnets. Prof. Cid Marques de Carvalho Noções de Informática – Segurança Ataques de negação de serviço podem ser realizados por diversos meios, como: Pelo envio de grande quantidade de requisições para um serviço, consumindo os recursos necessários ao seu funcionamento (processamento, número de conexões simultâneas, memória e espaço em disco, por exemplo) e impedindo que as requisições dos demais usuários sejam atendidas; Pela geração de grande tráfego de dados para uma rede, ocupando toda a banda disponível e tornando indisponível qualquer acesso a computadores ou serviços desta rede; Pela exploração de vulnerabilidades existentes em programas, que podem fazer com que um determinado serviço fique inacessível. Nas situações onde há saturação de recursos, caso um serviço que não tenha sido bem dimensionado, ele pode ficar inoperante ao tentar atender as próprias solicitações legítimas. Por exemplo, um site de transmissão dos jogos da Copa de Mundo pode não suportar uma grande quantidade de usuários que queiram assistir aos jogos finais e parar de funcionar. Scanners de Portas: Os scanners de portas são programas que buscam portas TCP abertas por onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de um computador durante muitos dias, em horários aleatórios. Spoofing: É a técnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema. Há muitas variantes, como o spoofing de IP. Para executá- lo, o invasor usa um programa que altera o cabeçalho dos pacotes IP de modo que pareçam estar vindo de outra máquina. Smurf: O Smurf é outro tipo de ataque de negação de serviço. O agressor envia uma rápida sequência de solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um endereço de broadcast. Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima. Assim, o computador-alvo é inundado pelo Ping. Interceptação de tráfego Sniffing: O sniffer é um programa ou dispositivo que analisa o tráfego da rede. Sniffers são úteis para gerenciamento de redes. Mas nas mãos de hackers, permitem roubar senhas e outras informações sigilosas. Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Esta técnica pode ser utilizada de forma: Legítima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados. Maliciosa: por atacantes, para capturar informações sensíveis, como senhas, números de cartão de crédito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja, sem criptografia. Note que as informações capturadas por esta técnica são armazenadas na forma como trafegam, ou seja, informações que trafegam criptografadas apenas serão úteis ao atacante se ele conseguir decodificá-las. Engenharia Social É considerado o ataque que induz o usuário a entregar dados e cometer ações que comprometem a segurança através da boa-fé, onde, através da indução, são levados a acreditar que estão cometendo uma ação legitima e honesta, se caracteriza por e-mail de falsos bancos ou mensagens que induzem a fornecer dados pessoais. Falsificação de e-mail, ou E-mail Spoofing: é uma técnica que consiste em alterar campos do cabeçalho de um e- mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Esta técnica é possível devido a características do protocolo SMTP (Simple Mail Transfer Protocol) que permitem que campos do cabeçalho, como "From:" (endereço de quem enviou a mensagem), "Reply-To" (endereço de resposta da mensagem) e "Return-Path" (endereço para onde possíveis erros no envio da mensagem são reportados), sejam falsificados. Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes de phishing. Atacantes se utilizam de endereços de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinatários acreditem que elas partiram de pessoas conhecidas. Exemplos de e-mails com campos falsificados são aqueles recebidos como sendo: De alguém conhecido, solicitando que você clique em um link ou execute um arquivo anexo; Do seu banco, solicitando que você siga um link fornecido na própria mensagem e informe dados da sua conta bancária; Do administrador do serviço de e-mail que você utiliza, solicitando informações pessoais e ameaçando bloquear a sua conta caso você não as envie. Você tambémpode já ter observado situações onde o seu próprio endereço de e-mail foi indevidamente utilizado. Alguns indícios disto são: Prof. Cid Marques de Carvalho Noções de Informática – Segurança Você recebe respostas de e-mails que você nunca enviou; Você recebe e-mails aparentemente enviados por você mesmo, sem que você tenha feito isto; Você recebe mensagens de devolução de e-mails que você nunca enviou, reportando erros como usuário desconhecido e caixa de entrada lotada (cota excedida). Mail Bomb: É a técnica de inundar um computador com mensagens eletrônicas. Em geral, o agressor usa um script para gerar um fluxo contínuo de mensagens e abarrotar a caixa postal de alguém. A sobrecarga tende a provocar negação de serviço no servidor de e-mail. Desfiguração de Página (Defacement): Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da página Web de um site. As principais formas que um atacante, neste caso também chamado de defacer, pode utilizar para desfigurar uma página Web são: Explorar erros da aplicação Web; Explorar vulnerabilidades do servidor de aplicação Web; Explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação Web; Invadir o servidor onde a aplicação Web está hospedada e alterar diretamente os arquivos que compõem o site; Furtar senha de acesso à interface Web usada para administração remota. Para ganhar mais visibilidade, chamar mais atenção e atingir maior número de visitantes, geralmente, os atacantes alteram a página principal do site, porém páginas internas também podem ser alteradas. CONTROLES DE SEGURANÇA Autorizar e Autenticar Autorizar um usuário é conceder ou negar acesso ao sistema utilizando controles de acesso no intuito de criar perfis de acesso. Com esses perfis é possível definir que tarefa será realizada por determinada pessoa. Autenticar é a comprovação de que uma pessoa que está acessando o sistema é quem ela diz ser. Ela é importante, pois limita o controle de acesso e autoriza somente determinadas pessoas o acesso a uma informação. Contas e Senhas Elabore sempre uma senha que contenha pelo menos oito caracteres, compostos de letras, números e símbolos e jamais utilize como senha seu nome, sobrenomes, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com você ou palavras que façam parte de dicionários. Utilize uma senha diferente para cada serviço e altere com frequência. Além disso, crie tantos usuários com privilégios normais, quantas forem as pessoas que utilizam seu computador. As senhas representam a forma mais básica de garantir a autenticidade em um ambiente privado na internet, seja o acesso a um banco, rede social, e-mail ou outro tipo de serviço não público. Porém a senha não é a forma exclusiva de garantir a autenticação do usuário, e existem três grupos básicos para este procedimento, que seguem abaixo: Processo de Autenticação Identificação positiva: quando o usuário possui alguma informação em relação ao processo, como acontece quando ele possui uma senha de acesso. Verificar aquilo que você sabe – Senhas ou Perguntas para acesso. Identificação proprietária: o usuário tem algum material para utilizar durante a etapa de identificação como um cartão. Verificar aquilo que você possui – Cartão ou chaves. Identificação Biométrica: casos em que o usuário se identifica utilizando alguma parte do corpo como a mão ou impressão digital. Verificar aquilo que você é – Biometria O método de verificação daquilo que você sabe, através de senhas, (password), é o método mais comum de autenticação de uma conta, para confirmação da identidade do usuário, confirmando que este de fato é quem diz ser. Senhas Inseguras Nomes próprios Palavras contidas em dicionários. Datas Combinações obvias. Pois estas podem ter um ataque através de WORDLIST Senhas Seguras Letras, números ou Caracteres aleatórios. Podem ter um ataque através de FORÇA BRUTA Chaveamento de Senha Selecionamos caracteres de uma determinada frase: baseie-se em uma frase e selecione a primeira, a segunda ou a última letra de cada palavra. Exemplo com a frase: "O Cravo brigou com a Rosa debaixo de uma sacada" Prof. Cid Marques de Carvalho Noções de Informática – Segurança Você pode gerar a senha: OCbcaRddus Utiliza-se uma frase longa e geralmente pouco conhecida, porém que faça sentido para o proprietário da senha Procedimentos com Senhas Não compartilhar a senha com terceiros. Não utilizar a mesma senha para serviços distintos. A senha deve ser de fácil memorização. Quanto maior o número de caracteres mais forte é a senha. Sempre que possível incluir caracteres como símbolos. Fazer uso de gerenciadores de senhas. Ficar atento quanto ao uso de serviços e e-mail, para a senha não ser acessada por terceiros através da engenharia social. Utilizar procedimento de segurança, como antimalwares e firewall. Procedimentos de Segurança e Prevenção O que define as chances de um ataque na Internet ser ou não bem sucedido é o conjunto de medidas preventivas tomadas pelos usuários, desenvolvedores de aplicações e administradores dos computadores, serviços e equipamentos envolvidos. Se cada um fizer a sua parte, muitos dos ataques realizados por meio da Internet podem ser evitados ou, ao menos, minimizados. A parte que cabe a você, como usuário da Internet, é proteger seus dados, fazer uso dos mecanismos de proteção disponíveis e manter o seu computador atualizado e livre de códigos maliciosos. Ao fazer isto, você estará contribuindo para a segurança geral da Internet, pois: Quanto menor a quantidade de computadores vulneráveis e infectados, menor será a potência das botnets e menos eficazes serão os ataques de negação de serviço; Quanto mais consciente dos mecanismos de segurança você estiver, menores serão as chances de sucesso dos atacantes; Quanto melhores forem as suas senhas, menores serão as chances de sucesso de ataques de força bruta e, consequentemente, de suas contas serem acessadas; Quanto mais os usuários usarem criptografia para proteger os dados armazenados nos computadores ou aqueles transmitidos pela Internet, menores serão as chances de tráfego em texto claro ser interceptado; Quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores serão as chances de ele ser invadido. Instale e mantenha atualizado um bom programa antivírus e atualize as assinaturas do antivírus, de preferência diariamente; Configure o antivírus para verificar os arquivos obtidos pela Internet, discos rígidos (HDs) e unidades removíveis, como CDs, DVDs e pen drives; Siga todas as recomendações para prevenção contra vírus; Desabilite no seu programa leitor de e-mails auto execução de arquivos anexados às mensagens; Não execute ou abra arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessário abrir o arquivo, certifique-se que ele foi analisado pelo programa antivírus; Utilize na elaboração de documentos formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript; Não utilize, no caso de arquivos comprimidos, o formato executável. Utilize o próprio formato compactado, como por exemplo, Zip ou Gzip. Mantenha o sistema operacional e demais softwares sempre atualizados; Aplique todas as correções de segurança (patches) disponibilizadas pelos fabricantes, para corrigir eventuais vulnerabilidades existentes nos Softwares utilizados; Instale um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que um worm ou bot se propague. Incidente de Segurança e Uso Abusivo na Rede O incidente desegurança está relacionado a qualquer problema confirmado ou não e tem relação com redes de computadores ou sistemas de computação. Pode ser caracterizado por tentativas de acesso aos dados de um sistema, acessos não autorizados, mudanças no sistema sem prévia autorização ou sem conhecimento da execução, etc. O uso abusivo na rede é um conceito mais difícil de ser definido, mas possui características específicas como envio de spams e correntes, distribuição de documentação protegida por direito autoral, uso indevido da internet para ameaçar e difamar pessoas, ataques a outros computadores, etc. Registros de Eventos (logs) Os logs são registros de tarefas realizados com programas de computador e geralmente são detectados por firewalls. Os logs podem ser acusados no momento em que uma pessoa tenta entrar em um computador e é impedido pelo firewall. Verifique sempre os logs do firewall pessoal e de Prof. Cid Marques de Carvalho Noções de Informática – Segurança IDSs que estejam instalados no computador e confira se não é um falso positivo, antes de notificar um incidente. Notificações de Incidentes Muitas vezes um computador é atacado por um programa ou pessoa mal intencionada. Caso seja um ataque proveniente de um computador, avise aos responsáveis pela máquina para que sejam tomadas medidas necessárias. No entanto, caso esse ataque venha de uma pessoa que invadiu seu sistema com um computador é importante avisá-lo de tal atitude para que tome as medidas cabíveis. Inclua logs completos com data, horário, time tone (fuso horário), endereço IP de origem, portas envolvidas, protocolo utilizado e qualquer outra informação que tenha feito parte da identificação do incidente. Além disso, envie a notificação para os contatos da rede e para os grupos de segurança das redes envolvidas; manter cert@cert.br na cópia das mensagens. MALWARES O termo "malware" é proveniente do inglês "malicious software" ("software malicioso"); é um software destinado a executar alguma ação maliciosa, que prejudica o usuário afetado, como se infiltrar-se em um sistema de computador alheio de forma ilícita e desconhecida, com a intenção de causar alguns danos, acesso indevido, furto de dados e alterações ou roubo de informações confidenciais ou não. Malwares não se replicam, com exceção do Worm Tipos de Malwares Trojan (Cavalo de Troia) – Um programa malicioso que se passa por um presente, algo inofensivo, mas que tem uma ação maliciosa interna, executada de forma oculta enquanto o usuário é distraído com a ação “original” do programa que é o presente. O malware executa ação que é originalmente destinada para ele, como um cartão virtual, falso game, site de banco, etc. Ransomware – É uma subcategoria de Trojan Horse que sequestra o conteúdo de um computador, restringindo o acesso ao conteúdo através de criptografias ou senhas e solicita um resgaste, uma recompensa financeira para que tal conteúdo seja disponibiliza novamente por quem de direito. Spyware – Termo que designa diversos softwares maliciosos que atuam ocultos, em segundo plano, e que tem a intenção de se apropriar de dados pessoais para que o criminoso cometa algum tipo de fraude. Keylogger – Um dos mais antigos tipos de Spywares, ele registra e captura aquilo que é digitado no teclado físico do computador e envia estes dados para o cracker. Na maioria das vezes ele é ativado em situações prévias, como o acesso aos bancos e comércio eletrônico. A forma de se proteger de que senhas e dados pessoais sejam roubados através de keyllogers é a utilização de teclados virtuais. Mouselogger - O vírus instalado na plataforma do usuário intercepta e faz um “print screen” dos pedaços das áreas visuais pressionadas pelo mouse. Screenlogger – É o softwares malicioso que registra instantâneos sequenciais da tela do computador e tem a intenção de registrar a posição do cursor do mouse e a imagem na tela, toda vez que o usuário clica com o mouse. Os screeenlogger podem copiar a senha digitada em um teclado virtual. Adware (Advertising Software) – Softwares maliciosos que tem o objetivo central de enviar propagandas direcionadas, pela internet. Seu objetivo é a divulgação de produtos e serviços e não tem a intenção de furtar dados pessoais dos usuários. Geralmente os adwares são instalados nos computadores quando é realizado o download de determinado conteúdo ou ainda instalado um programa de computador. Worm - Software malicioso que atua em redes de computadores e tem o objetivo de se propagar na rede, pois ele tem a capacidade de se replicar, criar cópias de si mesmo, e caminhar com os protocolos de rede, infectando outros computadores. Geralmente os worms deixam a rede gradativamente mais lenta até que causa a queda da rede, atacando a disponibilidade da informação. Após infectar um computador, ele tenta se propagar e continuar o processo de infecção. Para isto, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: efetuar varredura na rede e identificar computadores ativos; aguardar que outros computadores contatem o computador infectado; utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos; utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-mail. Após identificar os alvos, ele efetua cópias de si mesmo e tenta enviá-las para estes computadores, por uma ou mais das seguintes formas: como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo; anexadas a e-mails; via programas de troca de mensagens instantâneas; http://pt.wikipedia.org/wiki/L%C3%ADngua_inglesa http://pt.wikipedia.org/wiki/Software http://pt.wikipedia.org/wiki/Computador http://pt.wikipedia.org/wiki/Spyware http://pt.wikipedia.org/wiki/Keylogger http://pt.wikipedia.org/w/index.php?title=Screenlogger&action=edit&redlink=1 http://pt.wikipedia.org/wiki/Adware http://pt.wikipedia.org/wiki/Worm Prof. Cid Marques de Carvalho Noções de Informática – Segurança incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). Após realizado o envio da cópia, ele necessita ser executado para que a infecção ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cópia; diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador; pela realização de uma ação específica do usuário, a qual ele está condicionado como, por exemplo, a inserção de uma mídia removível. Após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir deste momento, o computador que antes era o alvo passa a ser também originador dos ataques. Backdoor – Software malicioso que permite aos invasores um acesso remoto não autorizado. As backdoors são geralmente ocultas, levando o computador infectado a ser controlado ou monitorado sem que o usuário atacado perceba tal invasão. Hijackers – Softwares maliciosos que tem o objetivo de modificar a página inicial do navegador ou mesmo de outros programas do computador. Os hijackers podem tanto direcionar o usuário para uma página determinada, quanto abrir automaticamente abas ou mesmo instalar no browser uma barra de ferramentas de determinada empresa. Sniffers – São softwares ou hardwares maliciosos que atuam em redes de computadores, farejando o conteúdo compartilhado. Os sniffer físicos são denominados conectores dentados e tem a intenção de capturar o conteúdo compartilhado em uma rede antes que esta chegue até o computador de destino, furtando os dados no cabeamento. Bot – É um programa que dispõe de mecanismos de comunicaçãocom o invasor que permitem que ele seja controlado remotamente. É um software malicioso que tem características parecidas com o Worm, pois ele se replica, criando cópias dele mesmo e caminhando com os protocolos de uma rede de computadores, infectando os demais computadores de uma rede. Fora esta característica também permite se estabeleça comunicação com o computador invasor, permitindo que este controle o bot e decida qual a ação que será executada no computador infectado. Botnet - É uma rede estabelecida através da propagação de bots. Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots. Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras pessoas ou grupos que desejem que uma ação maliciosa específica seja executada. Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos (inclusive do próprio bot), coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante (com o uso de proxies instalados nos zumbis). O esquema simplificado apresentado a seguir exemplifica o funcionamento básico de uma botnet: Um atacante propaga um tipo específico de bot na esperança de infectar e conseguir a maior quantidade possível de zumbis; os zumbis ficam então à disposição do atacante, agora seu controlador, à espera dos comandos a serem executados; quando o controlador deseja que uma ação seja realizada, ele envia aos zumbis os comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; os zumbis executam então os comandos recebidos, durante o período predeterminado pelo controlador; quando a ação se encerra, os zumbis voltam a ficar à espera dos próximos comandos a serem executados. Muitas pessoas ainda pensam que o malware é um software que interrompe completamente o funcionamento normal de PCs. Se o seu computador está trabalhando perfeitamente, significa que ele não está infectado, correto? Errado. O principal objetivo dos cibercriminosos não é apenas fazer um ataque por diversão, mas sim ganhar dinheiro com isso. Em muitos casos, o objetivo é completamente contrário ao comportamento do malware: o melhor é ser totalmente visível para os usuários. Por exemplo, esse tipo de comportamento de “discrição” muitas vezes é típico das botnets. Normalmente, elas consistem em milhares de PCs, e se estamos falando sobre as grandes botnet, são centenas de milhares de PCs. Os proprietários desses computadores não tem nenhuma pista de que eles estão infectados. Tudo que eles podem ver é que o PC trabalha um pouco mais lento, o que não é incomum nos PCs em geral. As botnets são projetadas para coletar dados pessoais, incluindo senhas, números de previdência social, detalhes do cartão de crédito, endereços e números de telefone. Estes dados geralmente são usados em crimes como roubo de identidade, vários tipos de fraude, spam e distribuição de outros tipos de malware. As botnets também podem ser usadas para lançar ataques em sites e redes. http://pt.wikipedia.org/wiki/Backdoor http://pt.wikipedia.org/w/index.php?title=Sniffers&action=edit&redlink=1 http://pt.wikipedia.org/wiki/Bot Prof. Cid Marques de Carvalho Noções de Informática – Segurança Isto sempre leva a um esforço de muitas partes que colaboram para interromper uma grande botnet. Rootkit – Representa um conjunto de softwares maliciosos que tem, como finalidade manter a presença de um invasor no computador infectado. Ele não é utilizado para alterar o status de administradores e demais contas e sim assegurar, de variadas formas combinadas, a manutenção no invasor que controla o computador infectado através de acesso remoto. SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma sequência de requisições SYN para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI. Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam uma série de mensagens, que normalmente são assim: O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor. O servidor confirma esta requisição mandando um SYN-ACK (acknowledge) de volta ao cliente. O cliente por sua vez responde com um ACK, e a conexão está estabelecida. Isto é o chamado aperto de mão em três etapas (Three- Way Handshake). Um cliente malicioso, que implemente intencionalmente um protocolo TCP errado e incompleto, pode não mandar esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK em falta. Esta chamada conexão semi-aberta explora a boa-fé do protocolo TCP que espera por um certo tempo e algumas tentativas de restabelecimento de um sinal ACK válido para retomar a comunicação. A resposta maliciosa ao comando SYN gerada pelo cliente pode ocupar recursos no servidor (memória e processamento) ou causar prejuízos para empresas usando softwares licenciados por conexão (aumento de conexões "ativas"). Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira. Exploit (em português explorar, significando "usar algo para sua própria vantagem") é um pedaço de software, um pedaço de dados ou uma sequência de comandos que tomam vantagem de um defeito, falha ou vulnerabilidade a fim de causar um comportamento acidental ou imprevisto a ocorrer no software ou hardware de um computador ou em algum eletrônico (normalmente computadorizado). Tal comportamento frequentemente inclui coisas como ganhar o controle de um sistema de computador, permitindo elevação de privilégio ou um ataque de negação de serviço. VÍRUS DE COMPUTADORES Durante muito tempo o termo vírus serviu, de forma genérica para caracterizar todos os ataques realizados nos computadores e todos os tipos de softwares maliciosos, e inclusive hoje, de forma coloquial, o termo vírus é utilizado de forma errônea para designar todos os ataques, quando na verdade vírus representa uma categoria dentro dos malwares e não todos os ataques. Na informática para concursos públicos o termo vírus de computador é caracterizado como um software malicioso que é desenvolvido por crackers e que tem sempre uma intenção maliciosa de determinada natureza. Esta denominação tem origem nos vírus da biologia, pois em uma alusão a estes, infecta o computador da vítima causando malefícios. Vírus se replica Tipos de Vírus Vírus de Boot – Um dos mais antigos tipos de vírus ele se localiza em setores de inicialização do Hard Disk, se alocando na inicialização do sistema operacional, e assim que este sistema operacional é carregado, sendo Windows, Linux ou qualquer outro, ele é carregado e gera a ação maliciosa muitas vezes antes mesmo do antivírus existentes entrar em operação. Time Bomb (bomba-relógio) – Esta categoria de vírus é programada para atuar em uma data futura pré-definida, em data determinada pelo cracker. Na data definida, ele atua, e apenas nesta data gera algum tipo de dano ao computador infectado. Os mais conhecidos exemplos de malwares da categoria de vírus do tipo “Time Bomb” são os "Sexta-Feira 13" e "1º de Abril". Estado Zombie – Esta categoria de vírus se caracteriza pelo acesso indevido e o controle do computador infectado por terceiros, deixando o computadorinfectado como um verdadeiro zombie, onde o usuário perde o controle do computador e o invasor detém controle sobre a máquina infectada. A partir do momento em que o estado zombie é estabelecido, o invasor pode se utilizar desta situação para instalar qualquer tipo de malware, como trojans, spywares, worms, bots, etc. Geralmente o estado zombie é estabelecido em computadores que tem o firewall desabilitado ou mesmo tenham sistemas operacionais com falhas de segurança. Quando os computadores apresentam estas fragilidades tem grande chance de serem infectadas e entrarem em uma condição de estado zombie. http://pt.wikipedia.org/wiki/Rootkit http://pt.wikipedia.org/wiki/Inform%C3%A1tica http://pt.wikipedia.org/wiki/Software http://pt.wikipedia.org/wiki/Sexta-Feira_13 http://pt.wikipedia.org/wiki/Zombie Prof. Cid Marques de Carvalho Noções de Informática – Segurança Vírus de Macro (Vírus de Aplicativo) – São ataques através de vírus que ficam hospedados em arquivos de aplicativos de escritórios, como editores de textos (Word e Writer), aplicativos de planilhas de cálculos (Excel e Calc), aplicativos de apresentações (PowerPoint e Impress) e aplicativos de bancos de dados (Access e Base). Uma macro não é necessariamente uma ação maliciosa, e sim uma ação automática, porém quando esta executa um vírus ele gera ações nocivas ao computador infectado. O pacote de aplicativos de escritório Microsoft Office e seus aplicativos internos (Word, Excel, PowerPoint e Access) até a versão 2003 habilitava macros de forma automática assim que o arquivo fosse aberto, gerando uma fragilidade muito grande e facilitando o ataque por vírus de macro, já o pacote Microsoft Office nas versões 2007, 2010 e 2013 bloqueiam as macros quando o arquivo é aberto, apresentando uma caixa de diálogo em que o usuário tem a opção de executar ou não a macro contida no arquivo. Splog – Esta categoria de vírus é muito particular, pois são caracterizadas por falsos blogs, que através da indução por engenharia social, induz o usuário a navegar e com isso acessar páginas que apresentam propagandas comerciais. Os splogs não tem intenção fraudulenta, pois geralmente possibilitam a aquisição do produto oferecido, porém ao se passarem por um blog de notícias em que de forma indireta vendem produtos, são classificados na literatura especialistas como malwares. ANTIMALWARES Como se tornou comum na informática a definição genérica de vírus como todos os ataques existentes na informática, também de forma igualmente errônea, se caracterizam os programas para combater os ataques de antivírus, e por esta definição genérica, porém amplamente adotada e aceita comercialmente, não existe base para recursos e anulações em provas. Porém tecnicamente, um programa de segurança que tem o objetivo de verificar os dispositivos de armazenamento massivo como Hard Disk (interno ou externo), pen-drive, etc, e que pode identificar variados tipos de ataques, ou seja, variados tipos de malwares deve ser denominado como Antimalwares. Características dos Antimalwares Os antimalwares são programas de segurança desenvolvidos para ações de prevenção ou correção de danos causados por ataques de softwares maliciosos nos computadores. Sua forma de funcionamento é permissiva, ou seja, permite qualquer ação do usuário no computador em que ele está conectado, bloqueando apenas as ações que são proibidas. Existem diversas empresas que distribuem antimalwares, e o ideal é utilizar em cada computador apenas um programa, pois utilizando dois ou mais pode haver conflito entre as configurações destes. O critério de eficácia de um antimalware não está no fato de ser um programa gratuito ou pago, ou ser um software de livre distribuição ou proprietário, na verdade o único critério que torna um antimalware mais ou menos eficaz é a atualização constante da biblioteca de vírus ou de malwares. Segue lista dos principais antimalwares (ou antivírus) do mercado: AVG Norton Antivírus Malwarebytes Avast, Avira Categorias de Programas de Segurança Permissivos – Programas de segurança permissivos são aqueles em que tudo é permitido, a não ser que exista alguma proibição. Restritivos – Programas de segurança restritivos são aqueles em que nada é permitido a não ser que seja criada uma exceção. Métodos de Funcionamento Dependendo do desenvolvedor e das características dos programas de segurança da categoria de antimalwares, eles apresentam formas variadas de funcionamento na identificação de possíveis ameaças assim como na resolução de programas gerados pelos ataques já realizados e prevenção contra possíveis ataques futuros. Seguem abaixo as principais formas identificação de malwares: Verificação de malwares através da biblioteca de vírus (malwares) – Quando uma nova ameaça é identificada o desenvolvedor isola uma parte de sua estrutura que não é comum a outros arquivos maliciosos, esta parte da estrutura, um grupo de caracteres, é denominada string. Os string que identificam um arquivo malicioso permite a identificação de tal arquivo no computador ou rede verificados pelo antimalware através de uma verificação completa de todas as pastas do sistema. Assim que o antimalware identifica o string do arquivo malicioso, ele avisa o usuário do comprometimento do computador e este decide pelo procedimento adequado. Verificação de ações em execução – Também chamado de sensoreamento heurístico é um método mais http://pt.wikipedia.org/wiki/AVG http://pt.wikipedia.org/wiki/Avast http://pt.wikipedia.org/wiki/Avira Prof. Cid Marques de Carvalho Noções de Informática – Segurança complexo e, portanto passível de erros, pois é baseado na análise das ações de cada executável quando é feita a verificação. Em linhas gerais, é a análise de programas que estão em execução. Cada programa é varrido em busca de instruções que não são executadas por programas usuais, como a modificação de arquivos executáveis. Este método muitas vezes traz a necessidade de executar ações sobre programas já em execução, o que nem sempre é realizado com total segurança. Verificação por algoritmos – é uma verificação onde o programa antimalware busca algoritmos para encontrar um resultado. Na verdade todos os programas de segurança trabalham com algoritmos, porém esta denominação está vinculada aos antimalwares gratuitos, para se diferenciarem dos programas pagos que realizam buscas através de critérios publicitários. Verificação de integridade – É um método de busca por arquivos maliciosos, onde é conferido o registro de cada arquivo existente nos computadores protegidos em comparação com os dígitos em comparações posteriores. Caso exista alguma alteração entre a verificação da situação anterior e da situação posterior, o antimalwares indica ao usuário que pode haver comprometimento de segurança no computador verificado. FIREWALL O recurso de segurança denominado Firewall corresponde a um software ou um hardware que tem a função de verificar o conteúdo que é proveniente da Internet ou de uma rede externa qualquer e realizar os bloqueios caso seja necessário ou permissões quando estas forem previamente autorizadas. Em linhas gerais os firewalls físicos (hardwares) ou lógicos (softwares) tem o objetivo de proteger a rede interna contra ataques externos. O firewall não é um antimalware ou antivírus, e não tem a função, portanto, de verificar os arquivos internos dos computadores atrás de ações maliciosas. O ideal, portanto, é que uma combinação básica de segurança congrega tanto recursos de firewall com programas de segurança da categoria antimalware. Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes, com políticas de segurança no conjunto de protocolos TCP/IP. Nesta época a expansão das redes acadêmicas e militares, que culminou com a formaçãoda ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores tornando-se alvos fáceis para a incipiente comunidade hacker. Casos de invasões de redes e fraudes em sistemas de telefonia começaram a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou- se por todos os sistemas da então existente Internet (formado exclusivamente por redes governamentais e de ensino), provocando um verdadeiro "apagão" na rede. O termo em inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores a uma parede anti-chamas, que evita o alastramento de incêndios pelos cômodos de uma edificação. Firewall (Lógico - Software) O Sistema Operacional geralmente tem um software firewall nativo, como as versões do Windows, garantindo a proteção contra ataques externos desde o momento em que o computador é ligado e o sistema operacional é inicializado. Como o firewall funciona com permissões, através de regras restritivas, caso exista no computador um programa instalado que demanda acesso externo, como um programa de compartilhamento de dados para download e upload que utiliza o conceito TORRENT através de conexão Peer-to-Peer, deve ter autorização em exceção para funcionamento e ser liberada a conexão pelo firewall. Impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados dentro de uma rede local. Um firewall também pode ajudar a impedir o computador de enviar software mal-intencionado para outros computadores; Firewall (Físico - Hardware) Os recursos de segurança dos firewalls físicos, em forma de um hardware representam equipamentos conectados aos computadores geralmente de uso corporativo, em organizações públicas e privadas. Uma importante característica do firewall como hardware é que ele é dedicado ao computador ou rede instalado e não compartilhado, esta característica permite que este firewall aumente o desempenho no atendimento de solicitações de bloqueio ou exceções com muito mais agilidade. Regular o tráfego de dados entre uma rede local e a rede externa não confiável, por meio da introdução de filtros para pacotes ou aplicações; Prof. Cid Marques de Carvalho Noções de Informática – Segurança Um firewall pode ajudar a impedir que hackers, crackers ou softwares mal-intencionados (como worms) obtenham acesso ao seu computador através de uma rede ou da Internet; PRÁTICAS DE SEGURANÇA PARA ADMINISTRADORES DE REDES INTERNET - NIC BR SECURITY OFFICE http://www.cert.br/docs/seg-adm-redes/seg-adm- redes.pdf Uso Eficaz de Firewalls (item 4.9 do manual – refere-se a Firewall físico) Um firewall bem configurado é um instrumento importante para implantar a política de segurança da sua rede. Ele pode reduzir a informação disponível externamente sobre a sua rede, ou, em alguns casos, até mesmo barrar ataques a vulnerabilidades ainda não divulgadas publicamente (e para as quais correções não estão disponíveis). Por outro lado, firewalls não são infalíveis. A simples instalação de um firewall não garante que sua rede esteja segura contra invasores. Um firewall não pode ser a sua única linha de defesa; ele é mais um dentre os diversos mecanismos e procedimentos que aumentam a segurança de uma rede. Outra limitação dos firewalls e que eles protegem apenas contra ataques externos ao firewall, nada podendo fazer contra ataques que partem de dentro da rede por ele protegida. Localização dos Firewalls (item 4.12.2 do manual – refere-se a Firewall físico) A localização dos firewalls na rede depende normalmente da sua política de segurança. Entretanto, existem algumas regras que se aplicam a grande maioria dos casos: Todo o trafego deve passar pelo firewall. Um firewall só pode atuar sobre o tráfego que passa por ele. A eficácia de um firewall pode ser severamente comprometida se existirem rotas alternativas para dentro da rede (modems, por exemplo). Caso não seja possível eliminar todos esses caminhos, eles devem ser documentados e fortemente vigiados através de outros mecanismos de segurança. Tenha um filtro de pacotes no perímetro da sua rede. Esse filtro pode estar localizado entre o seu roteador de borda e o interior da rede ou no próprio roteador, se ele tiver esta capacidade e você se sentir confortável utilizando-o para esta tarefa. O filtro de pacotes de borda é importante para tarefas como bloqueio global de alguns tipos de trafego e bloqueio rápido de serviços durante a implantação de correções após a descoberta de uma nova vulnerabilidade. Coloque os servidores externos em uma DMZ. É recomendável que você coloque os seus servidores acessíveis externamente (Web, FTP, correio eletrônico, etc.) em um segmento de rede separado e com acesso altamente restrito, conhecido como DMZ (DeMilitarized Zone, ou zona desmilitarizada). A principal importância disso é proteger a rede interna contra ataques provenientes dos servidores externos— uma precaução contra a eventualidade de que um destes servidores seja comprometido. Por exemplo, suponha que um atacante invada o servidor Web e instale um sniffer na rede. Se este servidor Web estiver na rede interna, a probabilidade dele conseguir capturar dados importantes (tais como senhas ou informações confidenciais) é muito maior do que se ele estiver em uma rede isolada. Considere o uso de firewalls internos. Em alguns casos, é possível identificar na rede interna grupos de sistemas que desempenham determinadas tarefas comuns, tais como desenvolvimento de software, webdesign e administração financeira. Nestes casos, recomenda-se o uso de firewalls internos para isolar estas sub-redes umas das outras, com o propósito de aumentar a proteção dos sistemas internos e conter a propagação de ataques bem-sucedidos. Um Firewall Físico é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. A combinação de Firewall Físico e Lógico Essa combinação é chamada tecnicamente de "APPLIANCE". A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado. Firewall Stateless - Filtros de Pacotes Estes sistemas analisam individualmente os pacotes à medida que estes são transmitidos, verificando apenas o cabeçalho da camada de rede (camada 3 do modelo ISO/OSI) e da camada de transporte (camada 4 do modelo ISO/OSI). As regras podem ser formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão. http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf Prof. Cid Marques de Carvalho Noções de Informática – Segurança Firewall Statefull - Firewall de Estado de Sessão; São firewall que tem a função de testar a velocidade de conexão em determinado segmento de rede, filtrando os dados de envio e recebimento. Firewall de Servidor Proxy Os firewall do tipo servidor proxy verifica o fluxo na conexão de rede, através de método de tratar requisições como uma aplicação e posteriormente originando um novo pedido sob sua responsabilidade para o servidor que recebeu tal requisição. A resposta do pedido, enviada pelo servidor é recebida pelo firewall proxy e este é analisado antes de ser liberado para o cliente que solicitou a comunicação. Sua consequência é bloquear IP de entrada e saída. Firewall de Aplicação. Com a explosão do comércio eletrônico, percebeu-se que mesmo a última tecnologia em filtragemde pacotes para TCP/IP poderia não ser tão efetiva quanto se esperava. Com todos os investimentos dispendidos em tecnologia de Stateful Firewalls, os ataques continuavam a prosperar de forma avassaladora. Somente a filtragem dos pacotes de rede não era mais suficiente. Os ataques passaram a se concentrar nas características (e vulnerabilidades) específicas de cada aplicação. Percebeu-se que havia a necessidade de desenvolver um novo método que pudesse analisar as particularidades de cada protocolo e tomar decisões que pudessem evitar ataques maliciosos contra uma rede. Sistema de Prevenção de Intrusos – IDS / IPS Os sistemas de prevenção de intrusões, do inglês Intrusion Prevention Systems (IPS), evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que ao menos aquele pacote malicioso trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP. O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host. A vantagem de um sistema de prevenção de intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativo, baixa. IDS – Intrusion Detection System (Sistema de Detecção de Intrusão) Trabalha como uma câmera ou um alarme contra as intrusões. Capaz de detectar e alertar os administradores quanto a possíveis ataques. Capaz de detectar ataques a DMZ. O FW libera conexões e o IDS detecta, notifica e responde a tráfegos suspeitos. HIDS -Host-based Intrusion Detectin System (Base de Acolhimento – Sistema de Detecção de Intrusão) Faz o monitoramento do sistema, baseado em informações de arquivos de logs ou de agentes de auditoria. Capaz de monitorar acessos e alterações em importantes arquivos do sistema, modificações nos privilégios dos usuários, processos do sistema, programas que estão sendo executados, uso da CPU, etc. Checa integridade dos arquivos do sistema. Pode detectar tentativas de portscanning. NIDS - Network-based Intrusion Detection System (Base de Rede - Sistema de Detecção de Intrusão) Monitora o tráfego do segmento da rede. Eficiente contra ataques como portscanning, IP Spoofing, SYN flooding, buffer overflow, etc. Alguns utilizam o algoritmo assimétrico RSA. Detecta ataques na rede em “tempo real”. Honeypot É uma ferramenta que tem a função de propositalmente simular falhas de segurança e colher informações de um invasor. Interage com um hacker em potencial. Prof. Cid Marques de Carvalho Noções de Informática – Segurança Os detalhes da técnica utilizada e do ataque podem ser capturados e estudados. Honeynet Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. IPS – Intrusion Prevention System (Sistema de Prevenção de Intrusão) IDS inline, capaz não apenas de detectar os ataques, mas também de preveni-los, pois os pacotes do ataque não chegam aos servidores. Envia mensagem de “drop” das conexões. CRIPTOGRAFIA Criptografia nada mais é do que um método matemático para "esconder" a informação que um determinado tipo de dado (uma mensagem de texto ou um arquivo, por exemplo) pode transmitir. Esse dado é "embaralhado", "transformado", de forma que só quem conheça o método utilizado possa entender, "desembaralhar" o dado criptografado, tendo acesso às informações desejadas. A criptografia, palavra que tem origem nos termos gregos kryptós (escondido) e gráphein (escrita) é uma área de estudo que analisa princípios e técnicas para transformar uma informação, como um arquivo de texto, em um código cifrado, que não possibilita a leitura, pois é ilegível, sendo lida apenas pelo seu emissor e receptor, que são os elementos que detém as chaves (códigos) para criptografar e reverter a criptografia, garantindo com isso a confidencialidade, pois se for interceptada por outra pessoa, não poderá ser lida. O conceito de criptografia parece novo, algo ligado a muita tecnologia e aos tempos modernos da computação, porém foi nos impérios de Júlio César que tudo começou. O grande imperador não confiava em seus mensageiros, para enviar mensagens aos generais, Júlio César substituía toda letra A por D, B por E, e assim por diante, ou seja, cada letra era deslocada em 3 posições no alfabeto. Assim, somente os generais (que conheciam o algoritmo utilizado) poderiam compreender as mensagens. O Conceito de Chaves Apesar de muito engenhoso para a época, o método de Júlio César não era tão eficiente, pois qualquer um que descobrisse ou desvendasse o método de criptografia utilizado pelo imperador teria acesso ao conteúdo das mensagens. Durante muito tempo a criptografia funcionou desta maneira, diferentes métodos eram utilizados, porém ambos os lados (quem emite e quem recebe a mensagem) deviam conhecer o algoritmo para ter acesso as informações. Novas tecnologias foram surgindo, até que o conceito de chaves foi introduzido. A criptografia baseada em chaves utiliza determinados métodos matemáticos que embaralham os dados baseados em uma espécie de senha (chave) que é fornecida por quem criptografa os dados. Assim, mesmo conhecendo o método utilizado, é preciso conhecer a chave para ter acesso às informações. Os dados criptografados poderiam então ser transmitidos por um meio menos seguro, mas a chave ainda sim deveria ser passada com segurança para não ser interceptada por pessoas não autorizadas. Uma nova forma de criptografia surgiu para sanar este problema, a criptografia baseada em duas chaves: A chave pública (public key) e a chave particular (private key). A chave pública é utilizada para criptografar dados que só serão decriptografados através da chave particular, ou seja, cada usuário possui uma chave pública que deve ser distribuída a todos que desejem enviar dados criptografados a este usuário, e estes dados só poderão ser decriptografados com a posse da chave particular, assim, mesmo que as informações sejam interceptadas por um intruso, não há nada nela que possa dizer como decifrar as mensagens, pois a chave particular não é transmitida, fica em posse somente do usuário que receberá as mensagens. Este novo conceito na criptografia permiti que dados importantes sejam transmitidos com segurança. Neste sentido, este ramo da matemática visa o estudo dos métodos para garantir o sigilo da informação, através da utilização de duas chaves possíveis, a pública e a privada, gerando duas formas de criptografia: Simétricas (criptografia de chave única). Uma chave única criada pelo Receptor e fornecida ao Emissor para Criptografar a informação, e a mesma chave utilizada pelo Receptor para Descriptografar a informação. Assimétricas (criptografia de chave pública). Duas chaves criadas pelo Receptor, sendouma delas fornecida ao Emissor para Criptografar a informação, e outra chave de uso exclusivo do Receptor, utilizada para Descriptografar a informação. Objetivos da Criptografia Garantir o critério da Confidencialidade – Apenas o receptor previamente autorizado e detentor da chave que descriptografa (decripta) a informação está autorizado a extrair o conteúdo cifrado. Informações prévias sobre o arquivo enviado em criptografia deve http://pt.wikipedia.org/wiki/Criptografia_Sim%C3%A9trica http://pt.wikipedia.org/wiki/Criptografia_de_chave_p%C3%BAblica Prof. Cid Marques de Carvalho Noções de Informática – Segurança ser igualmente sigiloso, para dificultar a quebra da criptografia. Garantir o critério da Integridade – A criptografia garante que o receptor se certifique que a mensagem recebida não sofreu alteração em seu envio, e não tendo alterações de conteúdo não autorizadas, é garantida a integridade da informação. Garantir o critério da Autenticidade – Quando o receptor decripta a mensagem, e esta não sofreu alterações, é garantido que o emissor é quem diz ser, com isso garantindo o critério da autenticidade da informação. Gerar o não-repúdio ou Irretratabilidade – A partir do momento em que a autenticidade é confirmada e quando a informação não sofreu alteração, garantindo com isso a integridade, o emissor perde o direito de se retratar, repudiando a mensagem. Criptografia Simétrica A criptografia simétrica usa a mesma chave tanto para criptografar como para descriptografar o conteúdo. Os algoritmos são mais básicos que a criptografia assimétrica e com isso mais fácil de ser quebrado. Na criptografia simétrica é utilizada uma mesma chave tanto para criptografar quanto para descriptografar a mensagem, esta chave, denominada chave pública, é criada pelo receptor, que a entrega para os emissores e, ao receber, descritografa com a mesma chave. Neste sentido, a criptografia simétrica é frágil, pois qualquer um que tiver a chave pode revertera criptografia, e ela só é confiável com um círculo restrito de confiança. Estrutura da criptografia simétrica – Emissor criptografa com a chave pública criada pelo Receptor e o Receptor descriptografa com a chave pública criada pelo próprio Receptor. Criptografia Assimétrica Na criptografia assimétrica existe mais segurança, pois são utilizadas duas chaves, aumentando o nível de segurança na informação compartilhada em criptografia. Nesta criptografia, o receptor cria duas chaves, uma privada e uma pública, ele envia a chave pública para o Emissor criptografar e quando recebe a mensagem, descriptografa o conteúdo com a chave privada. Estrutura da criptografia assimétrica – Emissor criptografa com a chave pública criada pelo Receptor e o Receptor descriptografa com a chave privada criada pelo próprio Receptor. ASSINATURA DIGITAL A assinatura digital é uma marca de autenticação eletrônica e criptografada sobre informações digitais, como uma mensagem de email, ou um documento eletrônico. A assinatura confirma que as informações são originárias do signatário e não foram alteradas. Tem a mesma relação da assinatura propriamente dita. A diferença é que a assinatura digital, que é criada pelo Emissor, tem como objetivo a comprovação de que o emissor de fato é quem diz ser, o que, quando confirmado impede o emissor de repudiar o conteúdo, como não sendo ele o autor, também é critério de confirmação da assinatura digital a confirmação de que o conteúdo não sofreu alteração de nenhum bit, ou seja, manteve sua integridade. Certificado de Assinatura e Autoridade de Certificação Certificado de Autenticação Para criar uma assinatura digital, é necessário um certificado de autenticação, que prova sua identidade. Ao enviar um documento assinado digitalmente, você também envia o seu certificado e sua chave pública. Os certificados são emitidos por uma autoridade de certificação e, como uma carteira de habilitação, podem ser revogados. Um certificado normalmente possui validade de um ano, após o qual, o signatário deve renovar ou obter um novo certificado de autenticação para estabelecer sua identidade. Autoridade de Certificação (CA) Uma autoridade de certificação é uma entidade semelhante a um cartório público. Ela emite certificados digitais, assina certificados para verificar sua validade e controla quais certificados foram revogados ou expiraram. Garantias da Assinatura Digital Autenticidade: O signatário é confirmado como tal. Integridade: A assinatura digital ajuda a garantir que o conteúdo não foi alterado nem violado desde que foi assinado digitalmente. Irretratabilidade / Não repúdio: Prova para todas as partes a origem do conteúdo assinado. Repúdio refere-se ao ato de um signatário negar qualquer associação com o conteúdo assinado. Reconhecimento de firma: Assinaturas em arquivos do Word, Excel ou PowerPoint, os quais recebem carimbo de data/hora por um servidor seguro, em algumas circunstâncias, têm a validade de um reconhecimento de firma. Para que essas garantias sejam fornecidas, é necessário que o conteúdo seja assinado digitalmente pelo seu Prof. Cid Marques de Carvalho Noções de Informática – Segurança criador, que deverá utilizar uma assinatura que atenda aos seguintes critérios: A assinatura digital deve ser válida. O certificado associado à assinatura digital é atual (não expirou). O signatário ou a organização signatária, conhecido como fornecedor, deve ser confiável. IMPORTANTE: Documentos assinados, que incluem um carimbo de data/hora, são considerados documentos com assinaturas válidas, independentemente da idade ou do status de revogação do certificado de assinatura. O Certificado associado à Assinatura Digital deve ser emitido ao fornecedor signatário por uma CA (autoridade de certificação) respeitável. A Assinatura Digital, apesar de ser um importante instrumento de segurança na transmissão de dados, não tem valide jurídica no Brasil, pois é uma relação entre duas pessoas (emissor e receptor) não tendo uma terceira parte independente envolvida. Aplicação da Assinatura Digital Os principais Browsers do mercado trabalham com assinatura digital, isto pode muitas vezes ser imperceptível para o usuário, mas é recorrente na navegação em diversos sites. Cada browser tem sua própria metodologia de identificação, e no caso do Google Chrome, por exemplo, a identificação segue abaixo: Cadeados verdes - Identificam certificados reconhecidos Cadeados amarelos - Identificam problemas na certificação Cadeados vermelhos - Não identificados. Funcionamento da Assinatura Digital O usuário pode se utilizar de diversos métodos para assinar um documento digital, e pela necessidade de aumentar os nível de segurança na internet, estes métodos estão em constante alteração e evolução. Centralmente, as assinaturas digitais têm dois elementos, o hash (resumo do conteúdo) e a encriptação deste mesmo hash. Na primeira ação é gerado resumo criptografado do conteúdo através de algoritmos, e estes reduzem as mensagens. Depois, este resumo, denominado hash é analisado sobre as características que seguem abaixo: Não pode haver vínculo entre a mensagem original e o hash, para que não seja encontrada facilmente a mensagem original. Mesmo que seja gerado através de um algoritmo padrão, o hash deve dar a impressão de ser aleatório, e é eficaz quando consegue identificar a alteração de um bit da mensagem original apara a que chega até o receptor. Não deve existir um hash vinculado a mais de um conteúdo com assinatura digital, por esta razão ele deve manter a característica de exclusividade. CERTIFICADO DIGITAL Ao contrário da Assinatura Digital, que não tem validade jurídica por não incluir uma terceira parte independente e confiável envolvida, o certificado digital tem validade jurídica justamente