conceitos básicos de seguranca
130 pág.

conceitos básicos de seguranca


DisciplinaOrganização de Computadores4.933 materiais85.714 seguidores
Pré-visualização43 páginas
prejudica de forma indireta a sua segurança, a 
longo prazo. 
 
 
Regra básica número 1 de segurança em sistemas operacionais: 
 
\u201cMantenha todo o sistema, e, principalmente os serviços de rede que nele são executados, atualizados ao 
máximo \u2013 principalmente se a atualização for relativa a algum problema de segurança\u201d. 
 
Regra básica número 2 de segurança em sistemas operacionais: 
(seguindo o \u201cTeorema Fundamental dos Firewalls\u201d) 
 
\u201cExecute somente serviços necessários. Qualquer programa, serviço, código de algum tipo que não seja 
necessário, deve ser tirado do ar, e, se possível, removido da instalação, ou impossibilitado de ser executado\u201d. 
 
Regra básica número 3 de segurança em sistemas operacionais: 
 
\u201cSenhas ou contas de administrador ou equivalente NÃO devem ser usadas (ou apenas em algum caso onde a 
tarefa EXIJA tal privilégio), bem como não devem ser de conhecimento público\u201d. 
 
Regra básica número 4 de segurança em sistemas operacionais: 
 
\u201cSegurança física é tudo. Somente permita ter acesso à console do servidor, aqueles que detenham acesso de 
administração. A grande maioria dos exploits de segurança somente funcionarão se o hacker possuir acesso 
físico / local à console do computador. Evite ao máximo compartilhar um computador e, se for impossível 
evitar, nunca digite, use ou acesse nada confidencial neste computador / servidor\u201d. 
 
Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material 
para maiores detalhes. 
Regra básica número 5 de segurança em sistemas operacionais: 
 
\u201cSe um servidor for invadido, e uma conta de administrador ou equivalente for comprometida, não há forma 
de medir o estrago causado. Um invasor com poderes de administração poderá realizar qualquer tarefa no 
ambiente. Portanto, o tempo que se levará para apurar os danos será muito maior que o suportável. Colete 
todos os dados que achar pertinente, para apurar posteriormente a invasão, e comece do zero: reinstale o 
servidor\u201d. 
 
 
Plataforma Windows: Windows 9x / ME 
 
 O Windows 9x / ME (95, 98 ou ME) não foi concebido com segurança em mente. Contudo, a Microsoft 
esqueceu que, com o advento da Internet, alguma segurança deveria existir por padrão no sistema para evitar 
ataques, para usuários deste sistema. De qualquer forma, existem alguns procedimentos que qualquer um 
pode adotar para tornar seu computador Windows 9x mais seguro. Obviamente, é praticamente impossível ter 
uma funcionalidade de servidor de algum tipo, exposto à Internet, aliada à segurança, com este sistema 
operacional. 
 
 Existem várias vulnerabilidades documentas e bastante exploradas nesta família de sistemas 
operacionais. Tentar manter um computador Windows 9x/ME seguro, é relativamente possível, desde que: 
 
1. Não existam programas \u201cservidores\u201d rodando no mesmo, principalmente se forem \u201cMicrosoft\u201d, 
incluindo o compartilhamento de arquivos e impressoras para redes Microsoft, ou Novell; 
2. Não seja possível obter acesso a console do computador. Caso o computador seja compartilhado, 
esqueça qualquer tipo de segurança. Caso o computador esteja em um quiosque, cybercafé ou 
semelhante, devemos partir do princípio de que ele já está comprometido; 
3. Caso o computador não esteja compartilhado, que possua um personal firewall instalado; 
4. Caso o computador não esteja compartilhado, que possua um antivírus instalado. 
 
Programas \u201cservidores\u201d 
 
 Por padrão, uma instalação default do Windows 9X não possui nenhum programa \u201cservidor\u201d de rede 
instalado. É necessária a intervenção do usuário para efetuar a instalação de algum. Neste caso, este sistema 
operacional não possui nenhuma segurança local, ou através de sistema de arquivos, o que torna impossível 
manter uma configuração segura, caso algum programa seja usado para acessar os arquivos do computador. 
 
 
 
 
 Como podemos ver ao lado, os sistemas de arquivos que o Windows 9x 
suporta são o FAT12, FAT16 e FAT32, além do CDFS (presente apenas em CDs). 
Nenhum destes sistemas de arquivos suporta definir permissões de acesso. Isto é 
uma limitação dos sistemas de arquivos, o que torna impossível definir uma \u201cACL\u201d 
(Access Control List \u2013 lista de controle de acessos) baseada em uma lista de 
usuários válidos ou não. 
 Aliado a este fato, o Windows 9x não possui contextos de segurança 
associados a usuários. A funcionalidade de definição de usuários que o Windows 9x 
possui é apenas para diferenciar as configurações individuais de cada um, como 
cores, papel de parede, Menu Iniciar, etc. Baseado nisto, podemos concluir que, 
para o Windows 9x, a regra básica no. 5 sempre se aplica: qualquer um que tenha 
acesso ao sistema localmente é considerado um administrador. 
Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material 
para maiores detalhes. 
 
 Muitos usuários deste sistema instalam componentes \u201cservidores\u201d, como Web Server (A Microsoft 
possui um para esta plataforma: chama-se Personal Web Server), servidor FTP (como o SERV-U), e o próprio 
Compartilhamento de arquivos e Impressoras para Redes Microsoft. 
 
 Se formos definir graus de periculosidade para estes componentes, diria que o Personal Web Server 
ganha disparado. Além de ser um componente que exige um conhecimento diferenciado para operar, possui 
diversas vulnerabilidades que tornam o computador susceptível a ataques. 
 
 Em segundo lugar, temos o Compartilhamento. Este componente de rede não é instalado por padrão, 
mas é muito comum usuários com pequenas redes domésticas, ou na empresa, instalá-lo para permitir a troca 
de arquivos na rede local. 
 
 Para instalá-lo, existem dois métodos, que resultam no mesmo efeito. 
 
 
 
 
 
 
 
 
 O primeiro deles, é indo às propriedades do ambiente 
de rede, e adicionando o serviço \u201cCompartilhamento de 
Arquivos e Impressoras para redes Microsoft\u201d, como podemos 
ver ao lado, através do botão \u201cAdicionar\u201d, opção \u201cServiço\u201d / 
\u201cMicrosoft\u201d, onde o componente pode ser encontrado. 
 
 
 
 
 
 
 
 
 
 
 
 O segundo método é clicando no botão \u201cCompartilhamento de arquivos e impressoras\u201d, que pode ser 
visto na imagem acima... 
 
 
... e selecionando algumas das opções ao lado. 
 
 Em qualquer um dos casos, o componente 
será instalado. Porém, a instalação deste 
componente NÃO torna o computador vulnerável em 
uma rede, pelo menos não a uma invasão; apenas a 
ataques do tipo DoS (vide secção \u201cOutros Tipos de 
Ataques\u201d / DoS (Denial of Service Attack), pois este 
componente tem se provado susceptível a este tipo 
de ataque. 
Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa \u2013 http://www.rmc.eti.br, agosto de 2001. Vide \u201cDistribuição / Cópia\u201d neste material 
para maiores detalhes. 
 Uma vez instalado esse componente fará com que o sistema operacional torne disponível, no menu de 
click secundário do mouse, sobre qualquer pasta ou unidade de disco, a opção \u201cCompartilhamento\u201d, que pode 
ser vista abaixo: 
 
 
 
 
 
 Através desta opção, o usuário poderá acessar o menu 
ao lado... 
 
 ... Que permite que o usuário compartilhe a pasta ou 
disco em questão para a rede. 
 
 Contudo, ao clicar em \u201cOK\u201d, a pasta será 
compartilhada para toda a rede, sem distinção de usuário ou 
senha. Desta forma, potencialmente qualquer outro 
computador que tenha contato através de qualquer tipo de 
rede a este computador, e que possua funcionalidades de rede 
Microsoft, poderá acessar a pasta. 
 
 
 
 
 
 Neste caso, a única forma