Você está na página 1de 58

VOC PODE:

Copiar, distribuir, criar obras derivadas e exibir a obra.

Licena

COM AS SEGUINTES CONDIES:

Dar crdito ao autor original e a Revista Segurana Digital, citando o nome do autor (quando disponvel) e endereo do projeto.

Voc no pode utilizar esta obra como fonte comercial. Este direito de total exclusividade do titular responsvel por manter o site Segurana Digital.

Compartilhamento pela mesma Licena. Se voc alterar, transformar, ou criar outra obra com base nesta, voc somente poder distribuir a obra resultante sob uma licena idntica a esta.

O Projeto Segurana Digital apia o compartilhamento gratuito de informaes e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade voc dever citar a fonte original desta, dando assim crdito ao seu autor. Esta revista no poder ser comercializada sem au torizao prvia do responsvel Fbio Jnio Lima Ferreira. O Projeto Segurana Digital garante a gratuidade desta edio. A mesma poder ter uma verso impres sa paga, porm a verso digital no poder, em hiptese alguma, ser comercializada. S ser permitida uma verso impressa para cunho comercial sobre autorizao prvia do titular da comunidade. A comercializa o da verso impressa desta revista sem autorizao prvia constitui crime previsto nas leis n 6.895 e 10.695. Pargrafo que respalda esta revista: 1 Lei n 6.895 Se a violao consistir em reproduo, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorizao expressa do autor ou de quem o represente, ou consistir na reproduo de fonograma ou videograma, sem autorizao do produtor ou de quem o represen te. Cada autor responsvel por seu artigo, desta forma o Projeto Segurana Digital no se responsabiliza por quebra de direitos autorais, por qualquer colaborador.

|02

Maio 2012 segurancadigital.info

As guerras sempre fizeram parte da histria da humanidade. Teria sido a primeira o homicdio de Caim, que matou seu prprio irmo Abel por cimes? Os sculos passaram e o homem continuou (e continua) a guerrear pelas mais variadas razes (religiosas, tnicas, ideolgicas, econmicas, territoriais, de vingana, ou de posse). A necessidade de defenderse dos inimigos, fez com que as tcnicas de defesa fossem criadas e aprimoradas. Uma das mais antigas e utilizadas a construo de um muro que serviria como barreira fsica para afastar invasores, demarcar territrios e evitar as derrotas. Vrios muros caram, uns viraro atrao turstica e outros permanecem de p. Nos fim dos anos 80, foi criado o conceito de firewall (muro de fogo) devido a necessidade de criar restries de acesso entre redes. Naquela poca, o perigo era externo, o medo principal era que um vrus derrubasse toda a rede, como alis aconteceu por diversas vezes. O permetro era a referncia de defesa. A internet cresceu e hoje o cenrio bem diferente. Hoje, as ameaas virtuais esto em qualquer lugar, o antigo permetro j no existe mais. Foi necessria uma evoluo nos firewalls e voc tambm precisa acompanhar essa mudana. Seus usurios querem usar o Skype, Google Docs, Facebook e muitos outros servios que agregam valor ao trabalho deles. A estratgia de negar tudo j no funciona mais. Neste ms como matria de capa abordamos os Firewalls de Nova Gerao. Eles mudam o abordagem do tudo ou nada. Hoje o lema liberdade com controle. Ser que finalmente os profissionais de Segurana da Informao passaro a ser vistos com outros olhos e no mais sero chamados de Doutor No. A Revista Segurana Digital te convida a conhecer essa nova tecnologia cuja adoo cresce a cada dia. E esse ms temos algumas novidades. No ainda perca o super desconto que a editora Brasport est oferecendo aos leitores.H ainda sorteios de livros e convite para o OWASP Floripa Day. Envie seu comentrio, sugesto, reclamao, e at mesmo o seu artigo, caso tenha interesse em colaborar conosco.

DIRETOR E DIAGRAMADOR Fbio Jnio Lima Ferreira fabiojanio@segurancadigital.info EDITORESCHEFE Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hlio Jos Santiago Ferreira COLUNISTAS Augusto Pannebecker Fernandes augustopan@gmail.com Bruno Salgado, Henrique Soares, Jarcy Azevedo e Rafael Ferreira contato@seginfo.com.br Jaime Porto Pinto Jnior jaimeportop@gmail.com Laerte Costa Leonardo Pereira Guimaraes leonardo.pereira.guimaraes@gmail.com Lgia Barroso ligiabarroso@hotmail.com Ngila Magalhes nagilamagalhaes@gmail.com Paulo Moraes prg.moraes@gmail.com Roberto Henrique roberto@abctec.com.br Ronielton Rezende Oliveira ronielton@ronielton.eti.br Thiago Fernandes Gaspar Caixeta thiago.caixeta@gmail.com

Editorial

Proteo! Preveno! Deteco! Deteno! Boa Leitura!

REVISO Andressa Findeis findeis.andressa@gmail.com Mauro Jnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br http://twitter.com/_SegDigital www.facebook.com/segurancadigital

Por Luiz Felipe Ferreira

www.youtube.com/segurancadigital www.segurancadigital.info

|03

Maio 2012 segurancadigital.info

ndice
Artigo
Anlise de Risco Apple e Flashback Fatores e constataes para todos os SO's Liberao De Registro De Nomes De Domnio Top Level Retrocesso Ou Evoluo? A tendncia de cloud computing nas organizaes Firewall de Nova Gerao Proteo! Preveno! Deteco! Deteno! OWASP Floripa OWASP Sorteio Hacktivismo Anonymous viles ou mocinhos? Criptografia simtrica e assimtrica (parte 2 final) Lan House Corporativa IDS/IPS onde utilizar? Mapeamento de redes com nmap PSI Politica de Segurana da Informao Percia digital em ambientes de cloud computing

Dica / Tutorial 05 08 11 13 15
Brasport Auditoria Como Windows Server pode te ajudar

45

Parceiros Able Security


4Linux 52

53 54 55 56

17 18 19 21 25 28 30 36 41

HostDime Kryptus

12 Agenda TI
Confira o calendrio dos profissionais de TI

56 Coluna do leitor
Emails, sugestes e comentrios. Envie o seu e, contribua para com o nosso projeto

50 Notcias
Fique informado quanto ao que acontece no mundo virtual.

|04

Maio 2012 segurancadigital.info

Anlise de Risco

s riscos esto em toda a parte e geram os mais diversos impactos e danos aos ativos da empresa, porm, a grande questo, a forma como as em presas identificam, avaliam, controlam e mitigam os ris cos. No existe qualquer dvida que aqueles que gerem melhor os seus riscos, so beneficiados de uma grande vantagem competitiva perante o mercado, podendo inclu sivamente usufruir de melhores relaes com os investi dores e acionistas, alm de atender s rigorosas legislaes e requisitos do mercado internacional. Essas empresas esto melhor posicionadas e preparadas para as sumir riscos de forma calculada, baseados no conheci mento que tm das ameaas e oportunidades. A partir da gesto de risco as empresas desfrutam de relaes facilita das com os subscritores dos seus riscos, controlando os riscos e reduzindo os custos podem ver os seus prmios de seguro e custos de recuperao de incidentes reduzidos.

Antes de definirmos o que a anlise de risco e seu objetivo importante conhecer um pouco sobre a norma ISO 27002. A norma 27002 foi desenvolvida pela ISO (Internal Organization Standardization), a maior organizao para desenvolvimento e publica o de normas do mundo. A ISO responsvel por realizar o alinhamento e padronizao das normas e boas prticas dos rgos de normatizao de diversos pases, fazem parte da ISO mais de 160 pases, in cluindo o Brasil que representado pela Associao

Brasileira de Normas Tcnicas ABNT. A NBR ISO/IEC 27002:2005 foi desenvolvida a partir da norma BS 77991:1999 e consiste em cdi gos de prtica para a gesto de segurana da infor mao, tendo como objetivo estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. A norma fornece um conjunto completo de controles de segurana divididos em 11 captulos, nos quais esto descritos 39 objetivos de controle e 133 controles de gesto de SI. De acordo com a ISO 27002:2005 o gerenciamen to de risco o processo que trata de ameaas, riscos e medidas de segurana. O gerenciamento de riscos conta com vrias ferramentas de suporte e sua prin cipal a anlise de risco, de forma a levantar e vali dar todos os riscos e quais os impactos na SI da empresa. O propsito da anlise de risco identificar quais ameaas so relevantes aos processos do neg cio e quais os riscos associados a essas ameaas, de forma a garantir um nvel de segurana apropriado, com controles de risco adequados e com uma boa re lao custobenefcio.

Objetivos da anlise de risco:


Identificar ativos e seus valores Determinar vulnerabilidades e ameaas
Maio 2012 segurancadigital.info

|05

ARTIGO Segurana Digital

Determinar o equilbrio entre custos de um in cidente e custos das medidas de segurana Determinar os riscos e as ameaas que podem realmente causar dano aos processos operacionais. Existem dois mtodos de anlise de risco: anlise quantitativa e qualitativa. A Anlise de risco quantitativa baseada no im pacto do risco com relao perda financeira e a pro babilidade de que uma determinada ameaa se torne um incidente. So levantados e categorizados os va lores de todos os elementos que fazem parte do pro cesso operacional, esses valores podem ser com relao ao valor do ativo ou despesa que o incidente possa acarretar. A Anlise de risco qualitativa baseada em cen rios e probabilidades de ocorrncia de que incidentes ocorram. feito uma anlise com relao maturida de do processo e sentimentos dos envolvidos e, a par tir das informaes, realizada uma anlise com o intuito de levantar as ameaas e medidas de seguran a para mitigar o risco. O ideal realizar na empresa uma anlise mista de forma a garantir que, em caso de incidente, seja pos svel identificar o prejuzo financeiro e as medidas de represso e reduo do dano.

cesso. Ameaa: A partir do levantamento da vulnera bilidade o passo seguinte a anlise das ameaas intrnsecas vulnerabilidade, a melhor forma de proteo conhecer as ameaas existentes e seu potencial. Probabilidade: Saber a probabilidade de uma ameaa explorar uma vulnerabilidade fundamen tal para identificar riscos. Esta caracterstica ob tida de forma qualitativa atravs do conhecimento do ambiente e ocorrncias de falhas anteriores. Risco: O risco a anlise qualitativa do valor x probabilidade da falha se concretizar. Por ser uma anlise qualitativa depende muito do valor do ativo para o processo, um exemplo um ativo de valor baixo com uma probabilidade alta de falha poderia ser considerado com risco baixo ou mdio. Para a classificao dos temas acima, geralmente utilizada uma combinao de cores relativa ao nvel analisado. Neste exemplo usaremos a seguinte pa dronizao: Impacto de nvel Alto (VERMELHO): Resulta na perda catastrfica de recursos tangveis ou principais. Pode significativamente violar ou im pedir a continuidade do negcio. Impacto de nvel Mdio (AMARELO): Resulta na perda significativa de recursos tang veis, podendo prejudicar a operao de negcio. Impacto de nvel Baixo (VERDE): Resulta na perda de algum recurso tangvel, no afetando ou afetando de forma branda a operao do negcio. Probabilidade de nvel Alto (VERMELHO): Os controles para prevenir o risco no so efetivos ou no existem controles de preveno do risco. Probabilidade de nvel Mdio (AMARELO): Os controles para prevenir o risco so efetivos, porm no so monitorados ou so monitorados es poradicamente. Probabilidade de nvel Baixo (VERDE): Os controles para prevenir o risco so efetivos e monitorados constantemente. De forma a exemplificar a elaborao de uma Matriz de Risco selecionamos dois ativos e os classi ficamos a partir dos conceitos abordados anterior mente, o resultado a matriz seguinte:
Maio 2012 segurancadigital.info

Matriz de Risco
Aps o levantamento e anlise dos riscos dos pro cessos o segundo passo a ser realizado a matriz de risco dos ativos da empresa. De acordo com a norma 27002 uma Matriz de Risco uma matriz criada du rante o processo de anlise de risco e utilizada para definir os diversos nveis de risco a partir das catego rias de probabilidade de danos e categorias de severi dade dos danos. A matriz de risco possibilita uma maior visibilidade dos riscos de forma a auxiliar a to mada de deciso e gesto dos ativos e processos. A elaborao da matriz de risco trata dos seguin tes temas: Impacto: O valor do ativo avaliado com base nos critrios de segurana da informao (Integri dade, Disponibilidade e Confidencialidade), nessa avaliao estimado o impacto do ativo para o processo no caso de falha de segurana. Vulnerabilidade: Este item trata de caractersti cas que podem acarretar em uma falha de seguran a da informao para o processo no qual o ativo est relacionado, normalmente um ponto passvel de falha fsica, tcnica ou organizacional do pro

|06

ARTIGO Segurana Digital

Devem ser levantados e classificados todos os ativos considerados relevantes ao negcio, um processo que pode ser demorado e demandar uma grande equipe de apoio, dependendo do tamanho e complexidade do ambiente tecnolgico da empresa.

Fonte:
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informa o. ABNT, 2005.

Jaime Porto Pinto Jnior


Graduado em Engenharia da Com putao, atua na rea de auditoria dos controles de Tecnologia da In formao e consultoria fundamen tada nas melhores prticas dos frameworks de gesto de TI e segu rana da informao. Certificado COBIT 4.1 Foundation e ISO 27002 Foundation.

Linkedin: http://br.linkedin.com/in/jaimeppinto Email: jaimeportop@gmail.com Blog: www.auditi.com.br

|07

Maio 2012 segurancadigital.info

Apple e Flashback - Fatores e constataes para todos os SO's


Fazer um sistema 100% seguro o sonho de qual quer desenvolvedor, imagina ento desenvolver, nes se molde, um Sistema Operacional e por ele ser a base para que outros sistemas sejam executados a questo de segurana fica ainda mais crtica, pois alm de ter que cuidar de suas prprias questes de segurana, ainda tem que ver a questo de segurana dos outros e basta uma falha em um desses softwares para toda uma histria de sistema operacional seguro ir por gua abaixo. Mas por que estou falando isso? Todo mundo fi cou sabendo do vrus Flashback que segundo especi alistas infectou mais de 600 mil MACs neste ms de Abril.OK, o que isso ainda tem a ver com o assunto? Para responder isso vamos ao fato que a Apple sem pre vendeu, principalmente pelos seus usurios, que um sistema 100% seguro, que no era possvel ter qualquer ameaa relacionada a segurana. O Flash back mostrou a eles que estavam errados e que de senvolver um sistema 100% seguro continua sendo uma tarefa muito difcil, para no dizer impossvel. Mas quem defende a ideia de que os sistemas da Apple so totalmente seguros podem contraatacar, mas a falha que o vrus explora no no sistema e sim em um aplicativo, ento o SO continua sendo se guro! Ento vamos a mais alguns fatos: a falha real

mente no foi no sistema, mas sim do aplicativo Java, porm ela j tinha sido corrigida em Fevereiro desse ano, ou seja, a falha foi explorada dois meses depois da correo, tempo mais do que necessrio para a correo ser publicada e avisada aos seus usurios para se atualizarem, uma ao que a empre sa no fez, j que a verso que roda nos MACs in fectados de Outubro do ano passado. Ento a falha est ligada sim ao sistema, pois se existe uma falha conhecida e nada foi feito para re solvela, voc est sendo conivente com ela, logo se algo acontece relacionada a ela, a culpa ser sua. Uma velha mxima da segurana da informao diz O seu sistema to seguro quanto ao seu elo mais fraco, ou seja no adianta voc ter um cofre com segurana mxima e a chave ser escondida debaixo do tapete. Porm outro fato tambm est atrelado ao evento Flashback que : as falhas nos sistemas aparecem quase que proporcionalmente ao uso do software. E isso que acontece atualmente com a Apple com o bo om dos Is (Iphone, Ipad, Itouch ...), muitos usuri os comearam a comprar os seus produtos e com isso, as pessoas mal intencionadas do mundo digital, comearam a ver uma oportunidade nesse novo mundo que surgiu e comearam a procurar falhas

|08

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

que pudessem uslas. Eles procuraram e acharam. Um fato parecido com isso acontece com o Win dows, est certo que as brechas que ele possui so BEM maiores que as da Apple e que muitas delas ainda nem possuem correes, porm se formos olhar o nmero de usurios que os MACs possuem e os de Windows a diferena gigantesca, ento se voc es colhesse algo para ter uma chance maior de sucesso o que voc escolheria onde sua chance seria maior ou menor? No caso dos vrus, onde tem mais usurios ou menos usurios para atingir? No estou defenden do, s pedindo para refletir. Outro caso que podemos colocar alinhado a todos os fatos citados acima o Android. Vamos colocar que ele est na ativa a mais ou menos um ano e meio, e de cincia de todos que ele hoje est em grande parte dos smartphones e seguindo a linha de malwa res encontrados por nmero de usurios, podemos ver que segue uma lgica, pois o nmero de malwa res para Android absurdo, so mais de 10000 divi dindo pela data acima, um ano e meio (cerca de 548 dias) isso d quase 20 dessas pragas sendo criadas por dia, muita coisa. No caso do Android pode se usar a defesa de que no o sistema que possui falhas, pois so aplicati vos que so instalados nele que possibilitam os ata ques, ento pergunto e se o sistema no deixasse esses aplicativos serem instalados? Isso ocorreria? Com isso a falha chega a ser do sistema sim, por ter que pelo menos emitir um alerta que outro programa est sendo instalado, tcnicas para isso existem, mas tem que serem bem executadas, porm se ele possuir e no exibir a falha mais grave ainda, pois quem vai usar o sistema ser um usurio que no quer sa ber de segurana, quer somente usar o seu celular, porm esse assunto usurio x segurana complica do e foge do contexto desse artigo. Ento o que o Flashback nos mostrou o que j sabamos, no existe um sistema 100% seguro, mas sim um sistema no explorado e temos que ficar atentos a isso, pois a segurana comea com ns.

mais usurios, ento o caso o seguinte, ser que se o Linux se popularizar o evento Flashback tambm no ir ocorrer? A comunidade Linux na questo de corrigir erros bastante eficiente, mas ser que nesse caso ela conseguir dar uma resposta melhor que a da Apple? No sei somente o tempo dir e quando o Li nux se popularizar.

Ambos os sistemas acima j tiveram momentos negros onde foram comprometidos.

Laerte Costa
Formado em Sistemas de Informa o e certificado MCSA 2003, tra balho com administrao de redes, tanto windows quanto linux, a mais de 5 anos e escrevo artigos para o site www.cooperati.com.br. Sou um buscador incessante de informao pois acredito que ela que faz a dife rena entre um ser bem ou mal su cedido.. Twitter: @laerte_hc Site: www.cooperati.com.br

PS:
Vou colocar um PS aqui na questo do Linux, pois assim como os usurios Apple, umas das ideias ven didas pelos usurios, eu me incluo nessa, que o sis tema seguro, se formos olharmos a questo de usurios de questo notria que o Windows possui

|09

Maio 2012 segurancadigital.info

Liberao De Registro De Nomes De Domnio Top Level - Retrocesso Ou Evoluo?

tica lem ob A pr

eira rasil eb lidad ea da r

nte rece ea

a. sitan o lu ra libe

Desde que o Brasil ingressou no processo de democratizao do acesso rede mundial de com putadores, iniciado em meados da dcada de 90, a problemtica relativa aos conflitos entre nomes de domnio s tem crescido. O registro de nomes de domnios no Brasil disciplinado pela Resoluo n 001/98 do Comit Gestor da Internet (CGI), a qual adotou a regra do first to file, ou seja, o direito ao nome de dom nio ser conferido a aquele que primeiro o reque rer1. A resoluo, porm, estabelece algumas restri es (art. 2, III, b do Anexo I) quanto ao registro de domnios, que em tese, livre no Brasil, dentre essas restries, elencamos as seguintes: a) Palavras de baixo calo b) Palavras reservadas pelo Comit Gestor c) Marcas de alto renome ou notoriamente co nhecidas, quando no requeridas pelo prprio titu lar Diante desse cenrio, surgem, no Brasil, diver sos conflitos relacionados ao registro de nomes de domnio, referentes a marcas registradas, nomes
1 Art. 1 Resoluo n 001/98 do Comit Gestor da Internet.

empresariais, indicaes geogrficas, dentre ou tros. Como no Brasil o registro de marcas efetuado no Instituto Nacional da Propriedade Industrial (INPI) leva em considerao o princpio da espe cialidade das marcas, uma marca, portanto, s protegida dentro do ramo de atividades reivindi cado, comportando algumas excees, tais como as marcas de alto renome ou notoriamente conhe cidas. Ao contrrio do princpio aplicado ao registro de marcas, o registro de domnios no tem a pos sibilidade de possuir vrios domnios homnimos registrados sob classificaes diferentes. Nesse caso, portanto, o princpio aplicado o first to file. No entanto, relativamente s marcas, existe a possibilidade de haver duas marcas homnimas, registradas sob classificaes diferentes (ex.: Veja revista e Veja produtos de limpeza) e somente uma delas poder ser titular do domnio www.ve ja.com.br. Ser titular do domnio quem primeiro registrlo. Diante dos inmeros conflitos gerados a partir desta situao, uma vez que a prova da titularidade

|10

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

da marca s requisito para registro de domnios de marcas de alto renome ou notoriamente conhe cidas, a exemplo das marcas CocaCola, Mc Do nalds, Pepsi, etc. H doutrinadores no Brasil que defendem a exi gncia de titularidade das marcas para registro de domnios, muitas vezes argumentando que em al guns pases da Europa tal prtica era adotada. Ocorre que, na Europa, tendncia inversa vem se mostrando nos ltimos anos, culminando com a liberalizao do registro de domnios Top Level sem que haja a exigncia da comprovao da titu laridade da marca. Isso ocorreu em Portugal, com a liberao do registro de domnios a partir de 1 de maio de 2012. Essa mudana nas regras lusitanas devese ao fato de que vrios pases membros da Unio Euro pia (UE) j no possuem tais exigncias para o registro de domnios Top Level. Alm disso, ar gumentase que a liberao fomenta o desenvolvi mento da internet nacional, alm de manter no pas os recursos provenientes de tais registros.2 A informao de que com essa nova abertura, o n mero de registros de domnios .pt dobrou. Diante de tal cenrio, considerando que este o modelo que desde o incio do processo de demo cratizao do acesso internet, foi adotado, no Brasil, e que possui os problemas que possui, co mo os previamente apontados alm, ainda, da questo dos registros de domnios com fins de es peculao. Seguindo uma tendncia mundial, Portugal aboliu as exigncias de titularidade de marca para registros de domnios Top Level nacionais, de monstrando as vantagens advindas de tal processo. No Brasil, as questes relativas a conflitos de nomes de domnio tem sido resolvidas no judici rio. A sada mais adequada para os problemas ad vindos da possibilidade de registro livre est no investimento em uma estrutura de resoluo de conflitos em matria de nomes de domnio que oferea a celeridade necessria resoluo de tais questes, atendendo aos interesses de todos no rit mo exigido pela Sociedade da Informao.

Alguns exemplos so a arbitragem j realizada no mbito da Organizao Mundial da Propriedade Intelectual3, e tambm no Centro de Arbitragem para a Propriedade Industrial, Nomes de Domnio, Firmas e Denominaes ARBITRARE, em Portugal.4

Figura 1 "Registrou primeiro, seu".

Lgia Barroso

t t h

// : p

Advogada, atuante em Direito Eletrnico e Propriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Uni versidade de Lisboa (FDUL), Especialista em Direito Eletrnico e Tecnologia da In formao pelo Centro Universitrio da Grande Dourados (UNIGRAN).

Email: ligiabarroso@hotmail.com Twitter: @ligiaabarroso

2 http://clix.exameinformatica.pt/noticias/internet/2012/02/14/registodeenderecosem.pttotalmenteliberalizadoa1maio 3 http://www.wipo.int/amc/en/domains/ 4 https://www.arbitrare.pt/index.php

|11

Maio 2012 segurancadigital.info

Eduardo Fedorowicz (Agenda TI) MBA Gerenciamento de Projetos pela FGV graduado em Cincia da Computao pela UGF. Mais de 14 anos de experincia em TI, atuando nos ltimos 9 anos na rea de Segurana de TI. Mantm desde 2011 o site www.agendati.com.br que rene em um s lugar os principais eventos, congressos e workshops de Segurana da Informao, Inovaes Tecnolgicas e Tendncias de TI. Email: eduardo@fedorowicz.com.br Site : http://www.agendati.com.br Twitter: @fedorowicz @agendati

|12

Maio 2012 segurancadigital.info

A tendncia de cloud computing nas organizaes

cada dia percebo que a compreenso e o amadu recimento do conceito de cloud computing est mais rpido e potencialmente um transformador das diretrizes de TI dentro das organizaes, a tal ponto de alterar os seus processos, as alocaes de budget e a forma de trabalho dos profissionais em geral.

Quando analisamos com detalhes os processos de TI das empresas percebemos que muitas de suas apli caes no so estratgicas e no demandam tanto por segurana ou disponibilidade a tal ponto de que sejam realizados fortes aportes de capitais para su portar tal operao com recursos de alta capacidade e sem de fato utilizarem totalmente o seu potencial. Es se investimento mal realizado acaba afetando as re as que realmente so crticas e essncias para o negcio da companhia. E as organizaes esto sempre sob a presso por reduo de custos e paralelamente, a complexidade do ambiente de negcios demanda respostas mais r pidas de TI e solues cada vez mais complexas. Analisando todo o potencial de cloud computing, po demos fazer com que essas duas vertentes andem juntas e de forma harmoniosa. E o que Cloud? Como entender os seus concei tos e utilizlos de forma produtiva e efetiva no pla nejamento estratgico das companhias? Entendo cloud como sendo a organizao de re

cursos computacionais armazenados em poderosos Data Centers que oferecem servios com alta escala bilidade, acessibilidade e disponibilidade, interliga dos e acessveis de qualquer ponto da rede mundial de computadores (internet). O gerenciamento facili tado e os baixos custos tambm so inerentes aos conceitos de cloud computing. So muitos os recursos que compem a simplici dade que cloud computing representa para essa nova viso da reestruturao de TI nas empresas e nossa viagem comea justamente pelo ambiente onde toda essa organizao desenvolvida e preparada para nos atender: O Data Center. O que falar dos Data Centers modernos, lugares fantsticos repletos de alta tecnologia, complexidade, redundncia, monitorao, sustentabilidade, backup, segurana, ufa... so muitos os ingredientes que fa zem desses lugares um fantstico mundo de tecnolo gia pouco conhecido de todos ns, usurios de redes sociais, servios online, emails e tudo mais que acessamos no mundo digital de forma simples e prtica. A todo o instante em que estamos conectados, es tamos gerando informao ou recebendo informao. Esse conjunto de dados est armazenado em algum lugar e justamente a est a responsabilidade dos Da ta Centers em manter esses dados sempre ntegros,
Maio 2012 segurancadigital.info

|13

ARTIGO Segurana Digital

disponveis e acessveis o tempo todo, para que o cli ente no fique sem a sua informao, ou em termos prticos, no fique sem acesso ao seu feed de notci as, ao seu timeline, aos seus emails, aos seus aplicati vos, a sua cloud, etc. Toda essa massa de informao est armazenada dentro de equipamentos conhecidos como storages, de diferentes fabricantes e tecnologias, para atender a necessidade do negcio do cliente. So equipamentos que possuem alta redundncia e escalabilidade para atender ao crescimento das informaes armazena das. Vamos mais adiante e nos deparamos com a virtu alizao, essa fantstica capacidade de alocao de recurso para servidores virtuais aproveitando com mais inteligncia o poder dos servidores fsicos, oti mizando o seu uso e seu processamento. Essa tecno logia nos permite provisionar e criar servidores de acordo com a ne cessidade real de negcio, maximizando resultados e reduzindo custos drasticamente. E por que no juntar a fora dos storages com a maestria da virtualizao dentro de poderosos Data Centers e fazer com que tenhamos uma poderosa fer ramenta de TI para alavancar o sucesso do seu neg cio? Chegamos ao ponto de nossa viagem onde esses trs recursos combinados compem o cerne da com putao em nuvem (cloud computing) agregando es calabilidade, acessibilidade e disponibilidade da sua aplicao. Podemos encontrar um nmero razovel de solu es de empresas como Amazon, que oferecem solu es de cloud para todos os tipos de gosto e bolso, ou seja, no importa o tamanho da sua TI e de suas ca pacidades financeiras, h oportunidades para todos. Alm disso, essas empresas oferecem poderosas ferramentas web que possibilitam o gerenciamento remoto de toda sua cloud sem interveno humana direta nos equipamentos para atender a sua necessi dade. Tudo est ao seu alcance atravs de um ponto de internet e um bom staff de TI para alavancar o seu sucesso. No menos importante e de fundamental relevn cia est uma efetiva poltica de segurana que vai re gulamentar e direcionar o uso da sua cloud bem como uma boa monitorao dos servios e como sempre no poderia ficar de fora, uma robusta polti ca de backup para garantir a recuperao e a conti nuidade do seu negcio em casos crticos de perda de

dados ou falhas humanas. Normalmente esses recur sos tambm so fornecidos pelas solues de cloud, mas importante que fiquemos atentos e adequemos a nossa realidade e necessidade. Neste ponto, voc deve estar se perguntando: Tudo muito interessante, mas por onde eu come o?. Primeiramente imprescindvel que saibamos o custo total de nossa operao de TI e o quanto ela importante e representativa para seu negcio. Segun do, avaliar os processos que regem o uso da TI e sua adequao a sua operao. E por ltimo, comprome timento da alta diretoria para a importncia que TI exerce na empresa e o valor que isso pode represen tar na reduo de custos operacionais e para maximi zao de lucros. Por fim, cloud no deve ser questionado como vivel ou no, mas sim de que forma iremos utiliz la dentro de nossa organizao para transformar TI em um gerador de receita alinhado com o negcio da companhia e seu planejamento estratgico. O mo mento crucial e transformador, pois vai definitiva mente qualificar a rea de TI como essencial para as organizaes e sua existncia ser premissa para qualquer novo negcio.

Leonardo Pereira Guimaraes


Graduado em Cincia da Computao e MBA em Gesto Empresarial pela FGV, iniciou a carreira como especialista em sistema operacional Solaris e infraestrutura de redes. Ao longo de 13 anos de experincia agregou conhecimentos de segurana e operao de Data Center. Atualmente Gerente de Operaes de Data Center de uma das maiores Autoridades Certificadoras Brasileiras. Email: leonardo.pereira.guimaraes@gmail.com Twitter: @leoguimainfo.

|14

Maio 2012 segurancadigital.info

Proteo! Preveno! Deteco! Deteno!

Firewall de Nova Gerao

um passado no to distante, os usurios corpo rativos passivamente acessavam as informaes da empresa em seus terminais e estaes de tra balho. Com a chegada dos notebooks, foi possvel ter uma maior mobilidade, que cresceu exponencialmente com a adoo dos smartphones e tablets pessoais, alm de au mentarem a produtividade, trazem a to sonhada liberda de, livre das polticas restritivas de segurana das empresas.

Trazendo Ordem ao Caos!


A tecnologia cresceu, os computadores e os usu rios evoluram e a internet mudou. Essa mudana trouxe vrios benefcios: servios nas nuvens, redes sociais, comunicao entre pessoas, compras online, transaes bancrias, dentre outros. Tudo isso no s no computador pessoal, mas tambm no ambiente corporativo. Algumas dessas aplicaes se tornaram indispensveis no nosso dia a dia, so elas: Skype, Google Docs, Facebook, Youtube, Twitter e muitos outros servios. Mas como controlar tudo isso? Solues separa das tm vises limitadas do trfego, ou at mesmo a utilizao de tecnologias antigas/atuais com o con ceito do tudo ou nada no so mais eficientes. No h mais como simplesmente bloquear o aces so corporativo a todas estas aplicaes, porm permi

tir o acesso no inspecionado mesmo que para grupos especficos, como normalmente realizado hoje em dia, representa uma sria ameaa seguran a das redes corporativas. Surgem ento novas exigncias para um Firewall: Identificar aplicaes independentemente de por ta/protocolo, ttica evasiva ou SSL, identificar usu rios. Proteo em tempo real contra ameaas embutidas em aplicaes. Visibilidade granular e controle de acesso de aplicaes/funcionalidades. Por fim, utilizar os recursos de controle de aplicao e preveno de intruso sem degradao de desempe nho da soluo.

Um Pouco de Histria
Para entender o que um Firewall de Nova Gera o necessrio entender um pouco das geraes an teriores. Em seu conceito original um sistema ou dispositivo projetado para bloquear acessos no au torizados. uma tecnologia antiga, do final da dca da de 80, o que explica suas limitaes. Nos badalados anos 90 a tecnologia evoluiu e com ela a chegada do conceito de stateful inspection, que vinha a se tornar um padro de mercado. Com o passar do tempo tornouse item obrigatrio, uma commodity em todas as empresas e acabou virando para leigos sinnimo de proteo.
Maio 2012 segurancadigital.info

|15

ARTIGO Segurana Digital

Toda essa evoluo no resolveu sua caracterstica e limitao conceitual: tomar decises a partir de portas e protocolos. Ao mesmo tempo as tcnicas de invaso utilizadas por hackers evoluram gerando ou tros sistemas de segurana complementares os conhe cidos helpers. O mais importante deles o IPS (intrusion prevention system), item indispensvel no ambiente corporativo. Para o Gartner (www.gartner.com), o Firewall de Nova Gerao deve incorporar, alm do IPS, as fun cionalidades de identificao de aplicaes, integra o com usurios e filtros web. Um Firewall de Nova Gerao precisa ter todas as caractersticas das solues atuais, incluindo as fun cionalidades do IPS integradas com as funes do Fi rewall, de forma que problemas detectados no IPS possam gerar regras automticas ou uma sugesto pa ra crilas. Identificar o trfego de cada aplicao in dependentemente da porta/protocolo, uso de criptografia ou de endereo de destino utilizado. Inte grar servios de diretrio para permitir a aplicao granular de regras com base nos usurios ou grupos de usurios relacionados ao trfego inspecionado na borda da rede.

Fornecer assinatura de reputao baseada em fil tragem para bloquear aplicativos maliciosos

Concluso
Uma lio que podemos tirar de tantas mudanas que precisamos realmente pensar a frente do nosso tempo, investir em solues no s para suprir as ne cessidades do momento, mas sim investir em solu es que venham agregar valor para o ambiente atual e futuro. Conforme matria publicada na nossa pri meira edio de 2012, no precisamos ser videntes pra saber realmente o que vem pela frente. Ameaas mais sofisticadas, acessos mais intensos e com tudo isso precisamos garantir a to sonhada segurana no ambiente corporativo. Na prxima atualizao das solues de segurana na sua empresa, procure informaes mais detalhadas sobre essas tecnologias de Nova Gerao, que no s vo aumentar seu controle como tambm vo ga rantir a visibilidade e melhorar sua Segurana.

O que realmente um Firewall de Nova Gerao?


Se h uma maneira simples de descrever as dife renas entre a gerao atual e a nova gerao, so os controles mais detalhados. Ao contrrio dos tradicio nais Statefull Firewall, que trata porta e protocolo, a nova gerao foi projetada para identificar e contro lar principalmente aplicaes. Vejamos o que o NSSLabs (www.nsslabs.com) diz a respeito: Firewall de Nova Gerao ou NextGene ration Firewall (NGFW) integra preveno de intru so, controle e identificao de aplicao e criao de regras por usurios e grupos.

Johnantan Pereira (Editor Chefe)

Principais Caractersticas
Aplicar as normas da empresa Controlar o acesso a websites e aplicativos onli ne Decifrar, inspecionar e reestabelecer a conexo SSL criptografada. Isso elimina a criptografia como um mtodo de esconder malware Incorporar inspeo profunda de pacotes (IPS) So capazes de autorizar o uso do aplicativo com base em perfis de usurios individuais ou grupos

Analista de Segurana, Graduado em Redes de Computadores pela Facul dade Estcio do Cear, com Extenso em Percia Forense Computacional. Apaixonado por Tecnologia, Admira dor e Pesquisador da Cultura Hacker.

Email: johnantan.pereira@gmail.com Twitter: @johnantan

|16

Maio 2012 segurancadigital.info

Sobre o OWASP
O Open Web Application Security Project (OWASP) um projeto open source voltado para promover a segurana de aplicaes no uso por em presas, entidades educacionais e pessoas em todo o mundo. Todos os membros so voluntrios que dedi cam seu tempo e energia para a organizao. Os membros da OWASP, com apoio de organizaes educacionais e comerciais formam uma comunidade de segurana que trabalha em conjunto para criar me todologias, documentao, ferramentas e tecnologias para a segurana das aplicaes web. Toda essa estru tura fomentada por patrocinadores. Existem duas principais formas de patrocinar a fundao: associan dose como empresa ou individualmente ou por meio de patrocnio de projetos. Entre seus patrocinadores empresariais esto nomes como: Amazon, Adobe, Qualys, Nokia, IBM, (ISC)2, Oracle entre outras grandes empresas.

tidos pela rea com palestrantes amplamente respei tados pela comunidade de segurana da informao nacional e internacionalmente.

OWASP Floripa Day


A primeira edio do OWASP Floripa Day ser realizada entre os dias 15 e 16 de setembro de 2012, em Florianpolis. Sero dois dias de palestras espe cficas na rea de segurana de aplicaes ministrada por profissionais do Brasil e exterior. OWASP FLO RIPA DAY o nico evento realizado em Florian polis totalmente dedicado a segurana de aplicaes e que ir se consolidar como um encontro nico de pesquisadores, arquitetos de sistemas, lderes e ges tores tcnicos de empresas. Este tipo de evento sem pre atrai uma audincia mundial interessada em conhecer as tendncias e caminhos futuros da segu rana em aplicaes e alm da cobertura proporcio nada pela mdia local divulgado em canais dedicados segurana que atingem profissionais de todo o mundo. Quem dever atender ao OWASP FLORIPA DAY 2012: desenvolvedores de aplicati vos, testadores de aplicativos e de qualidade, geren tes de projetos de aplicativos e funcionrios, associados e membros da OWASP, auditores, e pes soas responsveis pela segurana de TI e compliance, gerentes de segurana e pessoal, executivos, gerentes e pessoas responsveis pela governana de TI, pro fissionais de TI interessados em aprofundar seus co nhecimentos em segurana.

Sobre o captulo de Florianpolis


Florianpolis est se consolidando, no cenrio na cional e internacional, como um polo de empresas de base tecnolgica. Possui cerca de 600 empresas de software, hardware e servios de tecnologia. Por esta razo um captulo da OWASP foi aberto em Floripa para despertar a conscientizao das pessoas envolvi das com tecnologia da informao em relao segu rana das aplicaes. O captulo do OWASP em Florianpolis busca educar a comunidade, empresas, professores, e pessoas interessadas nesta rea sobre a importncia da segurana de aplicaes. O captulo de Floripa tambm procura capacitar e aperfeioar os profissionais, atravs de lista de discusso, mini cur sos realizados nos meios acadmicos, encontros para debates e eventos com palestras focadas nas mais avanadas tcnicas e nos assuntos mais atuais discu

http://www.owasp.org https://www.owasp.org/index.php/Florianopolis OWASP Floripa Day: https://www.owasp.org/index.php/OWASP_Floripa_D ay_2012


Maio 2012 segurancadigital.info

|17

Voc gostaria de ir ao evento Floripa Day nos dias 15 e 16 de setembro? Ento publique em seu perfil no twitter: @_SegDigital eu quero ir ao @owasp_floripa E concorra a 1 convite sorteado por nossa equipe... O sorteio ser realizado no dia 16/06

|18

Maio 2012 segurancadigital.info

Qual sua opinio?

Hacktivismo - Anonymous viles ou mocinhos?


Hacktivismo, nome dado as aes realizadas pela modalidade de hackers que utilizam a via digital para promover invases como meio de protesto contra al guma situao pelo qual prejudicam a populao em geral, que envolvam assuntos de politica, liberdade de expresso e direitos humanos por exemplo. No h como falar em hacktivismo sem citar o fa moso grupo conhecidos como Anonymous, quem nunca ouviu falar no mesmo? Resguardados por traz de uma mascara de Guy Fawkes, eles vem ga nhando repercusso ultimamente pela mdia ao de fender causas em prol da sociedade. Diversos sites como os governamentais, de bancos entre outros j foram alvos de ataques promovidos por eles, geralmente depois de anunciar o site alvo em rede social, momento depois ele acaba ficando in disponvel para acesso devido ataque de negao de servio ou simplesmente DDoS. Mas como eles so vistos pela sociedade, viles ou mocinhos? Bem claro que existem pessoas que so contra e outras j so a favor em relao as suas atitudes, para as organizaes atingidas e ameaadas, os Anony mous so visto como viles dessa histria, agora para quem quer fazer justia, no caso os mocinhos passam a fazer papel na cena. Uma coisa que se pode notar com facilidade que

o grupo Anonymous gosta de chamar ateno, no s do poder pblico e empresas privadas, mas de toda a populao, de fato este grupo esta no centro das atenes, no topo de pesquisas realizadas no Google e nos trending topics do Twitter. Aconteceu recentemente no dia 21 de abril um grande movimento social em vrias cidades brasilei ras organizadas atravs das redes sociais (Facebook e Twitter), o Dia do Basta Corrupo uma srie de protestos realizados nas ruas contra a corrupo, en tre os protestos os objetivos eram: O voto aberto no congresso Pelo fim do foro privilegiado dos polticos Corrupo seja considerada crime hediondo

Evento esse que teve como aliado o Anonymous. Nas manifestaes era comum encontrar algo que os simbolizassem. No h poder sem informao, sem dvida algu ma essa frase faz parte do undergound, o intrigante mundo dos hackers. A eterna busca de mais dados, mais informaes, mais sabedoria e mais conheci mento o que motiva membros que fazem parte des te universo virtual, motiva criminosos, profissionais, entusiastas e curiosos. O entendimento completo de
Maio 2012 segurancadigital.info

|19

ARTIGO Segurana Digital

uma tecnologia fundamental, o conhecimento com pleto de todas s tecnologias um sonho! Trecho da publicao realizada no link [1].

Acesso em: 30 de abr. 2012 Crimes pela Internet. Disponvel em: < [3] > Acesso em: 28 de abr. 2012

Podemos falar que esta mascara o smbolo registrado do grupo Anonymous.

Links
[1] http://fabiojanio.com/?p=224 [2] http://www.diadobasta.tk O ciberespao um lugar perigoso, cheio de curi osos, criminosos e espies. No mundo moderno os crimes esto se dando por meio da rede mundial de computadores onde um criminoso pode ir de um can to a outro do pas em questo de segundos. Cada vez mais jovens se veem influenciados por este ambiente curioso e digital, eles so atrados pela fantasia de serem livres e terem o poder em seus de dos. Pode ter certeza que muitos "adolescentes" so nham em fazer parte de um grupo de hacktivistas como o Anonymous, por muitas vezes essas pessoas no fazem ideia do quo perigoso entrar no sub mundo dos hackers. [3] http://www.crimespelainternet.com.br/ hackersdemarginaisaheroisdaeradigital

Ngila Magalhes
Graduada em Tecnologia em Redes de Computadores pela FCAT e Ps graduanda em Segurana Computacional pelo IESAM. Apaixonada por tecnologia e ciberespao, tenho em especial conhecimento nas reas de segurana computacional e computao forense pelo qual tenho enorme interesse e admirao. Atualmente atuando como colu nista na rea computacional.. Email: nagilamagalhaes@gmail.com Twitter: @netnagila

Referncias
Dia do Basta Corrupo. Disponvel em: < [2] >

|20

Maio 2012 segurancadigital.info

Conhea os principais algoritmos de cifragem

Criptografia simtrica e assimtrica (parte 2 - final)


Este artigo uma continuidade da edio passada...
5. Assinatura digital
O sistema de criptografia assimtrica ou de chave pblica tambm utilizado como um meio de assina tura digital. A pessoa que assina usa sua chave priva da para criptografar uma mensagem conhecida, e o texto cifrado pode ser decifrado por qualquer um usando a chave pblica desta pessoa, assim como uma assinatura em papel, consiste em um bloco de informao adicionado mensagem que comprova a identidade do emissor, confirmando quem ele diz ser. O processo se baseia em uma inverso do sistema, onde o funcionamento da assinatura digital pode ser descrito como: o emissor cifra (ou seja, atesta auten ticidade) a mensagem com sua chave privada e a en via, em um processo denominado de assinatura digital. Cada um que receber a mensagem dever ve rificar a validade da assinatura digital, utilizando pa ra isso a chave pblica do emissor, reconhecendo de Tabela 3 Principais algoritmos de assinatura digital Algoritmo
RSA

fato, que a mensagem no foi adulterada. Como a chave pblica do emissor apenas decifra (ou seja, verifica a validade) mensagens cifradas com sua chave privada, obtmse a garantia de autentici dade, integridade e norepudiao da mensagem, o que apoiado pela funo hashing, pois se algum modificar um bit do contedo da mensagem ou se outra pessoa assinla ao invs do prprio emissor, o sistema de verificao no ir reconhecer a assinatu ra digital dele como sendo vlida. importante perceber que a assinatura digital, como descrita, no garante a confidencialidade da mensagem. Qualquer um poder acessla e verific la, mesmo um intruso, apenas utilizando a chave p blica do emissor, assim, ao empregar o uso da tcnica de assinatura digital o que se busca a garantia de autenticidade, integridade e norepudiao da men sagem.

Descrio
Como j mencionado, o RSA tambm comutativo e pode ser utilizado para a gerao de assinatura digital. A ma temtica a mesma, h uma chave pblica e uma chave privada, e a segurana do sistema baseia se na dificuldade da fatorao de nmeros grandes. Como o RSA, o ElGamal tambm comutativo, podendo ser utilizado tanto para assinatura digital quanto para ge renciamento de chaves assim, ele obtm sua segurana da dificuldade do clculo de logaritmos discretos em um corpo finito. Maio 2012 segurancadigital.info

ElGamal

|21

ARTIGO Segurana Digital


Inventado pela NSA e patenteado pelo governo americano, o Digital Signature Algorithm (DSA), unicamente desti nado a assinaturas digitais, foi proposto pelo NIST em agosto de 1991, para utilizao no seu padro Digital Signa ture Standard (DSS). Adotado como padro final em dezembro de 1994, trata de uma variao dos algoritmos de assinatura ElGamal e Schnorr.

DSA

6. Funo hashing
A assinatura digital obtida atravs do uso da crip tografia assimtrica ou de chave pblica infelizmente no pode ser empregada, na prtica, de forma isola da, necessrio o emprego de um mecanismo funda mental para o adequado emprego da assinatura digital. Este mecanismo a funo hashing. Assim, na prtica invivel e contraproducente utilizar puramente algoritmos de chave pblica para assinaturas digitais, principalmente quando se deseja assinar grandes mensagens, que podem levar precio sos minutos ou mesmo horas para serem integral mente cifradas com a chave privada de algum, ao Tabela 4 Principais funes hashing Algoritmo

invs disso, empregada uma funo hashing, que gera um valor pequeno, de tamanho fixo, derivado da mensagem que se pretende assinar, de qualquer ta manho, para oferecer agilidade nas assinaturas digi tais, alm de integridade confivel. Serve, portanto, para garantir a integridade do contedo da mensagem que representa, por isto, aps o valor hash de uma mensagem ter sido calculado atravs do emprego de uma funo hashing, qualquer modificao em seu contedo mesmo em apenas um bit da mensagem ser detectada, pois um novo clculo do valor hash sobre o contedo modificado resultar em um valor hash bastante distinto.

Descrio
O Secure Hash Algorithm (SHA2) por outro lado significativamente difere da funo hash SHA1, desenhado pelo NSA uma famlia de duas funes hash similares, com diferentes tamanhos de bloco, conhecido como SHA256 e SHA512. Eles diferem no tamanho, o SHA256 utiliza 256 bits e o SHA512 utiliza 512 bits. H tambm verses truncadas de cada padro, conhecidos como SHA224 e SHA384. O ICPBrasil em suas mudanas anunciadas adotadas para o novo padro criptogrfico do sistema de certificao digital, esta implantando em 2012, o uso do SHA512 em substituio ao seu antecessor, o SHA1. Um novo padro proposto de funo de hash ainda est em desenvolvimento, pela programao do NIST a competio que apresentar esta nova funo hash tem previso de termino, com a seleo de uma funo vencedora, que ser dado o nome de SHA3, ainda em 2012. O Secure Hash Algorithm (SHA1), uma funo de espalhamento unidirecional inventada pela NSA, gera um valor hash de 160 bits, a partir de um tamanho arbitrrio de mensagem. O funcionamento interno do SHA1 muito pa recido com o observado no MD4, indicando que os estudiosos da NSA basearamse no MD4 e fizeram melhorias em sua segurana. De fato, a fraqueza existente em parte do MD5, descoberta aps o SHA1 ter sido proposto, no ocorre no SHA1. Em 2005, falhas de segurana foram identificados no SHA1, ou seja, que uma fraqueza mate mtica pode existir, o que indica que o uso de uma funo hash mais forte recomendvel, o que motiva o uso pre ferencial de SHA2. uma funo de espalhamento unidirecional inventada por Ron Rivest, do MIT, que tambm trabalha para a RSA Data Security. A sigla MD significa message digest. Este algoritmo produz um valor hash de 128 bits, para uma mensagem de entrada de tamanho arbitrrio. Foi inicialmente proposto em 1991, aps alguns ataques de criptoan lise terem sidos descobertos contra a funo hashing prvia de Rivest: a MD4. O algoritmo foi projetado para ser rpido, simples e seguro. Seus detalhes so pblicos, e tm sido analisados pela comunidade de criptografia. Foi descoberta uma fraqueza em parte do MD5, mas at agora ela no afetou a segurana global do algoritmo. Entre tanto, o fato dele produzir uma valor hash de somente 128 bits o que causa maior preocupao prefervel uma funo hashing que produza um valor maior. O MD4 o precursor do MD5, tendo sido inventado por Ron Rivest. Aps terem sido descobertas algumas fraque zas no MD4, Rivest escreveu o MD5. O MD4 no mais utilizado. O MD2 uma funo de espalhamento unidire cional simplificada, e produz um hash de 128 bits. A segurana do MD2 dependente de uma permutao aleatria de bytes. No recomendvel sua utilizao, pois, em geral, mais lento do que as outras funes hash citadas e acreditase que seja menos seguro.

SHA2

SHA1

MD5

MD2 e MD4

7. Sistemas hbridos
Em resumo, os algoritmos criptogrficos podem ser combinados para a implementao dos trs meca nismos criptogrficos bsicos: o ciframento, a assina tura e o hashing. Estes mecanismos so componentes dos protocolos criptogrficos, embutidos na arquite tura de segurana dos produtos destinados ao comr

cio eletrnico. Estes protocolos criptogrficos, portanto, provm os servios associados criptografia que viabilizam o comrcio eletrnico: disponibilidade, sigilo, con trole de acesso, autenticidade, integridade e nore pdio, usualmente apoiado por sistemas hbridos.

|22

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

Tabela 5 Protocolos com Sistemas Hbridos Algoritmo Descrio


Padro de protocolos criptogrficos desenvolvidos para o IPv6. Realiza tambm o tunelamento de IP sobre IP. composto de trs mecanismos criptogrficos: Authentication Header (define a funo hashing para assinatura digi tal), Encapsulation Security Payload (define o algoritmo simtrico para ciframento) e ISAKMP (define o algoritmo assimtrico para gerncia e troca de chaves de criptografia). Criptografia e tunelamento so independentes, e per mite Virtual Private Network (VPN) fimafim. Oferecem suporte de segurana criptogrfica para os protocolos NTTP, HTTP, SMTP e Telnet. Permitem utilizar diferentes algoritmos simtricos, message digest (hashing) e mtodos de autenticao e gerncia de chaves (assim tricos). O Pretty Good Privacy (PGP), foi inventado por Phil Zimmermman em 1991, um programa criptogrfico famoso e bastante difundido na internet, destinado criptografia de email pessoal. Algoritmos suportados: hashing: MD5, SHA1 simtricos: CAST128, IDEA e 3DES assimtricos: RSA, DiffieHellman e DSS. O Secure Multipurpose Internet Mail Extensions (S/MIME) consiste em um esforo de consrcio de empresas, li derado pela RSADSI e Microsoft, para adicionar segurana a mensagens eletrnicas no formato MIME. Apesar do S/MIME e PGP serem ambos padres para a internet, o S/MIME tem sua maior utilizao no mercado corporativo, enquanto o PGP utilizado em email pessoal. O SET um conjunto de padres e protocolos, para realizar transaes financeiras seguras, como as realizadas com carto de crdito na internet. Oferece um canal de comunicao seguro entre todos os envolvidos na transao. Ga rante autenticidade X.509v3 e privacidade entre as partes. Recomendao ITUT, a especificao X.509 define o relacionamento entre as autoridades de certificao. Faz par te das sries X.500 de recomendaes para uma estrutura de diretrio global, baseada em nomes distintos para lo calizao. Utilizado pelo S/MIME, IPSec, SSL/TLS e SET. Baseado em criptografia com chave pblica (RSA) e assinatura digital (com hashing).

IPSec

SSL e TLS

PGP

S/MIME

SET

X.509

8. Concluso
Qual o modelo de criptografia que devemos utili zar, simtrico ou assimtrico? A resposta simples, devemos utilizar os dois, em um modelo denominado hbrido. Um exemplo de combinao de emprego encontrado ao utilizar o PGP, que combina um siste ma de chave pblica (DiffieHellmam ou RSA) com um sistema de chave privada (CAST, IDEA ou 3DES). Tabela 6 Quadro comparativo Criptografia simtrica ou chave privada Rpida Gerncia e distribuio das chaves complexa No oferece assinatura digital Em sntese, proteger a informao uma mxima que persiste a cada instante quando se incrementa di ariamente o nmero de transaes comerciais e fi nanceiras realizadas atravs de meios eletrnicos, em particular atravs da internet, neste contexto neces srio o emprego de meios e recursos para que os da dos sigilosos estejam a salvo de intrusos, por isto a importncia de conhecer as ferramentas e tcnicas oferecidas pela criptografia, afinal desde os primrdi

O algoritmo simtrico, por ser muito mais rpido, utilizado no ciframento da mensagem em si, en quanto o algoritmo assimtrico, cerca de 1.000 vezes mais lento, permite implementar a distribuio de chaves e a assinatura digital, permitindo garantir a autenticidade de quem envia a mensagem, associada integridade do seu contedo, complementado com a utilizao do mecanismo de hashing para assegurar a integridade da assinatura digital.

Criptografia assimtrica ou chave pblica Lenta Gerncia e distribuio das chaves simples Oferece assinatura digital os dos tempos o homem vem trabalhando de maneira persistente na elaborao de rotinas, que se transfor maram em algoritmos poderosos, e bem empregados propiciam a proteo desejada informao, aumen tando a segurana dos dados e minimizando o im pacto dos ataques submetidos s informaes que trafegam atravs das redes de computadores, pelos seus inmeros dispositivos conectados e muitas ve zes vulnerveis.
Maio 2012 segurancadigital.info

|23

ARTIGO Segurana Digital

9. Referncias Bibliogrficas
COSTA, Celso Jos da e FIGUEIREDO, Luiz Manoel Silva de. Criptografia Geral. 2 ed. Rio de Janeiro : UFF / CEP EB, 2006. 192p. (Curso de Criptografia e Segurana em Redes). FIGUEIREDO, Luiz Manoel Silva de. Nmeros primos e criptografia de chave pblica. Rio de Janeiro : UFF / CEP EB, 2006. 180p. (Curso de Criptografia e Segurana em Redes). OLIVEIRA, Ronielton Rezende. Criptografia tradicional simtrica de chave privada e criptografia assimtrica de chave pblica: anlise das vantagens e desvantagens. Niteri : Trabalho da ps graduao Criptografia e Segurana em Redes da UFF, 2006. 20p.

Ronielton Rezende Oliveira


MBA Executivo Internacional pela Ohio University/USA MBA Gerencia mento de Projetos pela FGV psgra duado Criptografia e Segurana em Redes pela UFF graduado Cincia da Computao pela UninCor. Certificado PMP, CobiT, ITIL. Carreira direcionada em Governana de TI, Segurana da In formao e Gerenciamento de Projetos. Site: http://www.ronielton.eti.br Email: ronielton@ronielton.eti.br Twitter: @ronielton

|24

Maio 2012 segurancadigital.info

Lan House Corporativa

icas infalveis para criar uma Lan House Corpo rativa, acessvel a todos os seus usurios, ofere cendo o que h de melhor para o sucesso do seu negcio.

Todos conhecem uma Lan House e o seu conceito de funcionamento. Lan House um espao comercial que normalmente disponibiliza aos seus clientes uma srie de servios por meio de recursos tecnolgicos, como acesso Internet por banda larga, pacotes de softwares para edio de arquivos de texto, planilhas, apresentaes ou fotos, mais servios de impresso, digitalizao, cpia de arquivos, seleo de jogos, entre outros entretenimentos. Estes servios so cobrados, sendo que em sua maioria por tempo de uso. At aqui nenhuma novida de, certo? Agora imagine um lugar onde tudo isso possa estar a seu inteiro dispor, 8 horas por dia, com a melhor infraestrutura, incluindo alm de um com putador exclusivo, transporte, caf, almoo e o que mais interessante: Alm de no pagar nada por isso, voc ainda recebe mensalmente um salrio sem qual quer desconto pelo uso destes servios. melhor do que se fosse de graa. Sensacional!!! Sarcasmo? Pode parecer a princpio, mas essa na verdade a realidade de muitas empresas em nosso pas, especialmente no universo das pequenas e m

dias empresas (PMEs), onde mal h direcionamento adequado para investimentos em infraestrutura em tecnologia, quanto menos para gesto e segurana da informao. E esta falta de maturidade, muitas vezes originadas por parte do corpo diretivo da organiza o, mas tambm algumas vezes vindo diretamente dos prprios gestores de TI, acaba por transformar a empresa em uma Lan House Corporativa. E pior, uma Lan House remunerada para os usurios! Com a expanso dos servios oferecidos pelo ad vento da Internet a todos os setores de nossa socieda de, seja em uma empresa, em uma instituio de ensino ou mesmo em nossa casa, podemos tudo atra vs dessa incrvel rede mundial. Trabalhar, estudar, comprar, nos relacionar e por que no, nos divertir e muito. Mas como somos ensinados desde pequenos, pra tudo h sua hora e seu lugar tambm, e talvez o que muitas pessoas tm dificuldade distinguir quando a hora e o lugar para brincar. Inmeras pesquisas indicam que um funcionrio chega a passar at 2 horas/dia do seu expediente de trabalho realizando tarefas particulares. S com o uso improdutivo da Internet se gasta cerca de 1,7 ho ra/dia, sendo que o restante gasto com telefonemas e sadas para fumar um cigarro ou tomar um cafezi nho. Fazendo um clculo bem simples, este funcio

|25

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

nrio passa em mdia 8 horas por semana tratando de assuntos pessoais utilizando a Internet. Na viso de um empresrio, melhor deixar este funcionrio em casa 1 dia por semana, pois assim a empresa poderia economizar com transporte e alimentao. Parece bobagem, mas quando o empresrio come a a passar para o papel estes nmeros, o resultado alarmante. A BRConnection, empresa especializada em solues para gesto e monitoramento de Internet disponibilizou uma calculadora em uma pgina com o seguinte ttulo: QUANTO CUSTA O MAU USO DA INTERNET EM SUA EMPRESA?. Nela obtemos um clculo com valores que passam despercebidos quan do no fazemos um bom uso dos recursos em nossa empresa. Depois que voc inserir algumas informa es, perceber o tamanho do prejuzo. Como mencionei logo no incio, boa parte destas empresas no tm a cultura de fazer TI parte inte grante do negcio, ela quase sempre vista como uma rea que s apresenta custos operacionais e no solues estratgicas. Quando a direo tem essa vi so, ela acaba transferindo essa imagem a toda orga nizao, deixando a TI em uma situao delicada. E ai que comea a surgir na prtica uma Lan House Corporativa. Trabalhando na implantao de sistemas de moni toramento de Internet e na criao de polticas de acesso e de segurana da informao, tenho me acos tumado a ver os departamentos de TI passarem por dois distintos momentos. O primeiro momento da im plantao marcado por uma certa desconfiana por parte dos usurios que rapidamente se transforma em um tipo de dio velado contra os colaboradores res ponsveis pelo suporte de TI e s vezes at contra ns mesmos, quando fazemos parte do projeto. O se gundo momento s ocorre em organizaes que in vestem em TI, no somente com Ferramentas, mas tambm em Processos e principalmente Pessoas. Neste segundo momento vemos TI ganhar respaldo no a base da fora, mas no apoio dos demais depar tamentos quando estes entendem as razes para tal controle no acesso aos recursos da empresa, em espe cial a Internet. Normalmente eu me deparo com a primeira situa o devido o fato de como a poltica de controle de acesso Internet implantada, que a base do 8 ou 80, ou seja, ou bloqueiase tudo ou permitese tudo. Isso ocorre pela falta de planejamento em definir cla

ramente quais so as regras do jogo, ou melhor, do negcio. E quem define as regras, o departamento de TI? A resposta no! O departamento de TI um se tor estratgico para a organizao, mas no o nico setor responsvel pela criao da poltica de acesso. Quando o departamento de TI opta por bloquear qua se tudo achando que est fazendo algo positivo pela empresa, acaba sendo visto como um inimigo pelos demais departamentos, pois devido essa limitao de viso do negcio como um todo, sem perceber impe de o desenvolvimento e a evoluo dos processos do negcio e ainda cria um ambiente de insatisfao ge ral, que acaba afetando a produtividade de toda a equipe de colaboradores. Por outro lado tambm nos deparamos com aque las empresas com um ambiente de trabalho agrad vel, onde no h regras limitando os colaboradores, pois tudo baseado na confiana e nas metas que ca da um deve atingir. Aqui pode ser um excelente ce nrio para propagao de malwares, degradao da rede, vazamento de informaes e ainda uma boa parcela de improdutividade. Um excelente case para um modelo de Lan House Corporativa. Com a exploso da Web 2.0, hoje temos a dispo sio inmeras ferramentas e servios que podem tanto colaborar como interferir diretamente nas ativi dades da organizao. O uso de redes sociais relacio nadas ao negcio um requisito hoje em dia, porm cabe avaliar se todos devem ter este acesso dispon vel dentro da organizao. O uso de servios como Facebook, Google+, Twitter e Linkedin, pode ser fundamental para departamentos de Marketing, Re cursos Humanos e Atendimento ao Cliente, porm pode no trazer os mesmos benefcios se disponvel em um departamento Financeiro, Fiscal ou ainda se tores como Produo, Portaria e Vigilncia. Assim tambm com servios multimdia como Youtube, Skype, MSN entre tantos outros podem ser interes santes para a rea Comercial ou um departamento voltado a Treinamentos, mas se disponveis a todos os usurios sem controles que restrinjam horrios de acesso e banda de consumo, podem degradar a per formance da rede destinada ao uso de sistemas cor porativos, sem falar nos demais riscos j citados. Diante dessa quantidade de variveis, bvio que o departamento de TI no tem condies de avaliar sozinho o que melhor para a organizao. Muito

|26

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

menos o corpo diretivo, que em algumas empresas tm por hbito empurrar as regras ao estilo up down, sem realizar qualquer consulta, nem mesmo ao departamento de TI. s vezes nos deparamos com situaes que dei xam claro que TI s est preocupada com a Ferra menta que ser utilizada para controlar os acessos, porm esquece de que sem um Processo bem defini do e sem Pessoas treinadas e conscientizadas, no haver tecnologia que traga algum benefcio para a organizao. No adianta adquirir o melhor filtro de contedo de internet do mercado se no houver re gras de acesso e bloqueios bem definidos, escritos e divulgados a todos na organizao, ou ainda o me lhor firewall se eu no tiver um processo escrito de toda sua operao e manuteno. No adianta ter a melhor infraestrutura de TI se no houver pessoas treinadas para fazer o uso correto do recurso tecnol gico, como tambm conscientizadas sobre as razes que levaram a empresa a definir quais sites so per mitidos e quais so proibidos, por que no posso ou vir rdio online enquanto trabalho, por que fulano pode acessar o Facebook e o Twitter e eu no posso ou ainda por que eu no posso conectar o meu pen drive e um simples estagirio do departamento de TI pode? Ns que trabalhamos fornecendo solues para gesto e segurana da informao devemos alinhar o discurso aos nossos clientes de que no importa a marca do firewall, o fabricante de antivrus ou a solu o de monitoramento de rede sem o apoio de proce dimentos de operao bem escritos e analistas tcnicos capacitados a administrar a ferramenta. Tambm no devemos nos esquecer dos usurios, pois estes so a razo de todo este investimento. E como fazemos isso? Ouvindo todas as partes atravs da formao de um comit, onde setores es tratgico da organizao sejam representados pelo seus gestores de forma que nenhum controle interfira nas atividades de seu departamento e que nenhuma deciso seja tomada de forma unilateral. Todos de vem ser corresponsveis pelas regras criadas, caben do a TI somente a tarefa adicional de apliclas com os devidos recursos tecnolgicos. bvio que isso no uma tarefa fcil e muito menos rpida de ser aplicada, porm se continuarmos ignorando a trade Ferramentas, Processos e Pesso as, podemos esquecer a possibilidade de um dia ver

TI como um departamento modelo a ser seguidos pe los demais em uma PME.

Roberto Henrique
Roberto Henrique Analista de Se gurana da Informao na ABCTec, com 14 anos de experincia na rea de TI (Suporte, Gesto, Consulto ria), especializado em anlise de vulnerabilidades e no tratamento de incidentes de segurana da infor mao. Formado em Anlise e De senv. de Sistemas, possui as certificaes ISFS ISO/IEC 27002 Certified, DLink DBC, FSecure Certified Sales Pro fessional FCSP, Microsoft MCP/MCDST. Membro do Co mit Tcnico ABNT/CB21:CE27 sobre Segurana daInformao e membro do Ncleo de TI do CIESP So Bernardo do Campo. Email: roberto@abctec.com.br Site: www.abctec.com.br

|27

Maio 2012 segurancadigital.info

IDS/IPS onde utilizar?

preocupao com a segurana e a integridade do ambiente corporativo cada vez maior entre os gestores de TI. Com o crescente aumento dos ataques e o grande nmero de vulnerabilidades existentes, h cada vez mais a necessidade de utilizar dispositivos que auxiliem na proteo do ambiente.

Dentre os diversos dispositivos existentes no mer cado, podese utilizar um IDS (Intrusion Detection System) sistema de deteco de intruso, ou um IPS (Intrusion Prevention System) sistema de pre veno de intruso. Conceitualmente, a atuao destes equipamentos subdividese em: NIDS (Network IDS) e HIDS (Host IDS), onde suas caractersticas resumemse em prote o de rede e proteo de host respectivamente. Entretanto, aps dispender tempo e dinheiro para adquirir uma soluo de IDS/IPS, podem ocorrer d vidas, como qual o melhor ponto para instalar o equi pamento de maneira a proporcionar uma melhor proteo ao ambiente? Esta questo muito particular e depende de al guns fatores como: caractersticas da rede, custo, tipo de proteo, etc. Algumas sugestes so apresentadas de acordo com o nvel de proteo, vantagens e desvantagens:

1 IPS na borda da rede: Nesta opo o IPS instalado logo aps o ro teador de borda e antes do firewall da rede. A vanta gem que o mesmo atua antes do trfego chegar ao Firewall, protegendo todo o ambiente. A desvanta gem que sem a proteo do firewall, o IPS est su jeito a um ataque direto ao prprio dispositivo, sem qualquer filtro. fato que este o propsito do equi pamento, mas um ataque massivo pode indisponibili zar o mesmo e consequentemente inviabilizar o acesso externo da rede. Outro ponto importante, que neste cenrio, o equipamento, se mal configura do, pode gerar alertas do tipo falsopositivo e blo quear trfego limpo. Alm disso, seus logs podem gerar grande volume de dados tendo em vista todo o trfego que o mesmo recebe e inspeciona, tambm pelo mesmo motivo pode ocorrer latncia no trfego.

A Figura 1 mostra esta sugesto de uso.

|28

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

Figura 1 - IPS na borda da rede

2 IPS aps o firewall: Neste cenrio, o IPS utilizado aps o firewall do ambiente. Dessa forma tem o propsito de inspecio nar o trfego interno da rede de modo a detectar ata ques internos e o uso abusivo da rede por parte dos usurios. O mesmo fica protegido pelo firewall, po rm o prprio firewall fica sujeito a um ataque exter no direto, apontando uma desvantagem de uso em relao sugesto anterior. Salientase que nesta op o de implementao, pode ocorrer uma reduo de alertas do tipo falsopositivo devido ao trfego ser filtrado antes pelo firewall e, consequentemente, iso lamento da rede externa, praticamente inviabilizando ataques externos diretos ao equipamento, maior van tagem deste cenrio. A figura 2 apresenta este mode lo de uso.

alertando sobre tentativas de ataques, mas tambm tomando aes de bloqueio das mesmas. Uma maneira simples de entender o funcio namento de um IDS/IPS, utilizar os conceitos de falha, erro e defeito para explicar. O IDS conhece a falha (vulnerabilidade), detecta o erro (ataque) e alerta da possibilidade de ocorrer um defeito. J o IPS, conhece a falha (vulnerabilidade), detecta o erro (ataque) e impede o mesmo, evitando assim um de feito. A figura 3 mostra uma sugesto de uso concor rente das tecnologias descritas neste artigo.

Figura 3 - Uso concorrente de IPS e IDS no ambiente

O uso de ambas as tecnologias est diretamente ligado relao custo benefcio para determinar qual ou quais dispositivos utilizar. Para alcanar o nvel de proteo desejado, necessria uma anlise de custo, de risco e de necessidade de proteo, para de finir a melhor topologia a adotar, garantindo assim a integridade do ambiente. Gostaria de agradecer o apoio da minha famlia em especial da minha querida esposa, que sempre me apoiaram incondicionalmente para alcanar meus objetivos

Figura 2 IPS interno na rede

Porque at este ponto, ainda no foi citado o uso de um IDS para proteo do ambiente, como est presente no ttulo do artigo? A resposta simples: no errado o uso con corrente das duas tecnologias na rede, pois no h restrio operacional para uso de ambos. Como um IDS apenas apresenta as tentativas de invaso atravs de alertas, onde seu mtodo de trabalho outline, realizando um processo de sniffer, escutando o trfe go da rede, seu uso pode ser em qualquer ponto da mesma. Diferentemente, do IPS que tem um propsi to mais abrangente, atuando de forma mais completa, com um mtodo de trabalho inline, onde o trfego necessariamente passa pelo equipamento, no apenas

Augusto Pannebecker Fernandes


Tcnico em Eletrnica e Informtica Industrial, superior em Anlise e De senvolvimento de Sistemas, psgra duando em Especializao em Segurana da Informao 18 anos de experincia na rea de TI atualmente atuando em Suporte de Redes/Tele com, Administrador de IDS/IPS, Analista e consultoria de segurana. Email: augustopan@gmail.com Twitter: @AugustoPan

|29

Maio 2012 segurancadigital.info

Mapeamento de redes com nmap

ferramenta de cdigo aberto com diversas funcionalidades


Introduo
O nmap (reduzido de Network Mapper) uma ferramenta livre, de cdigo aberto, utilizada para ma peamento de redes e inclui diversas funcionalidades como: varredura de portas, deteco de verso de ser vios, identificao remota de sistemas operacionais (OS fingerprinting), etc. Esta ferramenta foi criada por Gordon Fyodor Lyon, que ainda hoje participa ativamente do desenvolvimento da mesma. O nmap uma ferramenta verstil que muito utilizada, entre outros, em auditorias teste de invaso, teste em fi rewalls e testes de conformidade. O nmap, em geral, opera nas camadas de rede e transporte. Entretanto, tambm capaz de manipular dados da camada de enlace (endereas MAC e requi sies ARP, por exemplo) e de interpretar dados da camada de aplicao para inferir informaes interes santes a respeito de seu alvo (verses de servios e sistemas operacionais, por exemplo). A verso mais nova do nmap por ser obtida atra vs do site oficial [1]. Informaes adicionais s apresentadas neste artigo podem ser encontradas na documentao oficial [2] ou no livro de autoria do prprio Fyodor dedicado ferramenta [3], que inclu sive tem uma verso traduzida em portugus (ptBR) [4]. Parte deste livro est disponvel gratuitamente na Internet para leitura e consulta [5]. Nos exemplos de alvo apresentados neste artigo, so utilizados apenas faixas de endereos IP privados definidos na RFC 1918 [6], a saber 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16, e o endereo scanme.nmap.org, que um host preparado pelos prprios desenvolvedores da ferramenta para receber este tipo de varredura. Os leitores so encorajados a no executar varreduras sobre qualquer ativo que no seja de sua propriedade ou que se tenha autorizao formal para isso.

Especificao de Alvos
Antes de iniciar uma varredura, seja esta muito simples ou extremamente complexa, preciso dizer ao nmap quais so os alvos desta varredura. O nmap define como alvos vlidos endereos IP, faixas de endereos IP ou nomes de domnio dispostos em lista e separados por caracteres de espaamento (espao, tab, nova linha, etc). Estes alvos podem ser passados como parmetro na linha de comando ou em um ar quivo (pela opo 'iL arquivo_alvos.txt'). Assim, quando o alvo um endereo IP nico, es te deve ser especificado como quatro nmeros intei ros positivos, entre 0 e 255, separados por pontos. So exemplos de endereos IP nicos: 172.28.1.101 192.168.0.1. Quando o alvo uma faixa de endere os IP, este deve ser especificado com duas sintaxes
Maio 2012 segurancadigital.info

|30

ARTIGO Segurana Digital

distintas. A primeira delas consiste do par endereo da rede e sua mscara de subrede. So exemplos de pares endereo da rede e mscara de subrede: 10.20.0.0/16 172.16.1.32/27. A outra sintaxe aceita consiste de um endereo IP com listas de nmeros se parados por vrgulas ou intervalos especificados com hfen. So exemplos de endereo IP com listas de n meros ou intervalos: 10.0.0.0255 172.16.1,3,5,0127 (equivalente a 172.16.1.0127 172.16.3.0127 172.16.5.0.127). Finalmente, quando o alvo um no me de domnio, este deve ser especificado por sequncias de caracteres quaisquer separadas por vr gulas. So exemplos de nomes de domnio: scanme.nmap.org e www.seginfo.com.br.

"Quickstart"
A forma mais simplista de executar a varredura utilizando o nmap executar a ferramenta sem par metros sobre o alvo especificado. Esta varredura con siste de todas as opes padro tanto de descoberta quanto de varredura. nmap scanme.nmap.org Esta varredura verifica se o alvo est ativos na re de utilizando o mtodo de descoberta e faz a varredu ra utilizando o mtodo de varredura padro. O resultado esperado de uma varredura como esta : 1. Verificao de atividade do alvo na rede e 2. Listagem de portas abertas, fechadas e filtradas associadas ao nome do servio que tradicionalmente utiliza cada porta, caso o alvo esteja ativo. Isto quer dizer que se um determinado servio es tiver sendo provido em uma porta diferente da que tradicionalmente utilizada, o nmap fornecer uma resposta incorreta sobre o servio. Isto quer dizer que, por exemplo, se um servidor ssh, que tradicio nalmente utiliza a porta 22, for configurado para pro ver o servio na porta 80, tradicionalmente utilizada por servidores http, nesta varredura o nmap detectar um servidor http e no um ssh, como esperado. Nas prximas sees, Descoberta de hosts e Tcnicas de Varredura de portas respectivamente, discutido do que consistem estes mtodo de desco berta e de varredura padro.

ria de segurana ou projeto de mapeamento de rede reduzir uma grande faixa de endereos IP a uma lista de endereos de interesse. Este interesse pode variar dependendo do propsito da varredura. Em uma au ditoria teste de invaso caixa preta, o auditor se inte ressa por qualquer host que esteja ativo na rede, enquanto em um auditoria em aplicaes web, o au ditor se interessa somente nos hosts que provejam servios web. Assim, para cada propsito distinto h uma forma diferente realizar a descoberta de hosts. O nmap fornece diversas opes a fim de perso nalizar a descoberta de hosts para que esta se adeque aos propsitos da varredura. Estas opes sero dis cutidas a seguir. Primeiramente, pode ser interessante no fazer a descoberta de hosts. Isto ocorre quando a varredura compreende um nico endereo alvo, ou quando j se sabe que os alvos esto ativos na rede. Para estes ca sos, podem ser utilizadas as opes List scan (sL) ou No Ping (PN) como exemplificadas nos exemplos a baixo: nmap sL 10.0.0.0/24 nmap PN 10.0.0.0/24 O List scan diz ao nmap que a varredura con siste apenas em listar os alvos passados como par metro, embora o nmap ainda faa uma consulta DNS (reversa, no caso de alvos especificados como ende reos IP) sobre os alvos. Portanto no caso do List scan nenhuma varredura ativa realizada sobre os alvos especificados. No caso do No Ping, o nmap pula a faze de descoberta completamente. Verses mais antigas do nmap apontaro a opo P0 para o No Ping, mas esta opo considerada obsoleta, apesar de ainda funcionar nas verses atuais do nmap, e, a ttulo de curiosidade, esta opo foi modi ficada por ser frequentemente confundida com o IP Protocol Ping (PO). No exemplo dado acima, o nmap ainda faria a varredura utilizando o mtodo de varredura padro sobre os alvos especificados. A nica situao em que o nmap no se comportaria desta forma acontece quando os alvos especificados esto na mesma rede que o host que faz a varredura. Neste caso, o nmap faria um ARP Ping, ignorando a opo do No Ping. Uma vez que se queira fazer uma descoberta de hosts, esta deve ser ativada com a opo sP. Quando esta opo esta ativada, o nmap no realiza varreduras, mas apenas realiza a descoberta de hosts,
Maio 2012 segurancadigital.info

Descoberta de Hosts
Frequentemente, o primeiro passo de uma audito

|31

ARTIGO Segurana Digital

se no houverem outras opes comandando que a varredura seja feita. Neste caso, o nmap utiliza o m todo de descoberta de hosts padro, que o ARP Ping (PR) para alvos localizados na rede interna e o ICMP Echo Ping (PE) para os demais. O ARP Ping (PR) sempre o mtodo de desco berta de hosts escolhido pelo nmap quando o alvo en contrase na mesma rede que o host de onde a ferramenta executada. Mesmo que outro mtodo de descoberta de host seja explicitamente especificado o nmap ir realizar o ARP Ping sobre endereos da rede interna. Para forar o nmap a utilizar outro m todo de descoberta de hosts sobre endereos na rede interna necessrio utilizar a opo adicional sendip. Outro adendo importante que esta opo no funciona nos sistemas da famlia Microsoft Win dows, pois os mesmo no oferecem suporte a sockets brutos (no vinculados a protocolos). Assim, consi derando que a faixa de endereos IP 192.168.1.0/16 seja a rede interna, os comandos abaixo so equiva lentes: nmap sP 192.168.1.0/16 nmap sP PR 192.168.1.0/16 O ICMP Echo Ping (PE) o mtodo de desco berta padro para endereos que no esto localiza dos na mesma rede que o host de onde a ferramenta executada. Este mtodo faz parte da famlia de mto dos ICMP Ping, que ainda inclui os mtodos ICMP Timestamp Ping (PP) e ICMP Address Mask Ping (PM). Todos estes mtodos funcionam de maneira semelhante, pois detectam a atividade em um host pelo envio de pacotes ICMP de diferentes ti pos. Assim como os comandos abaixo tambm so equivalentes para a rede externa: nmap sP scanme.nmap.org nmap sP PE scanme.nmap.org Outros mtodos de descoberta de hosts interessan te so o TCP SYN Ping (PS lista_de_portas) e o UDP Ping (PU lista_de_portas). Estes mtodos so teis, pois alguns hosts podem no respondem re quisies ICMP, seja por restries no firewall ou do prprio sistema operacional. Assim, estes mtodos de descoberta enviam pacotes TCP ou UDP a uma porta que pode estar aberta ou fechada. Se a porta estiver aberta, o host certamente ir responder, denunciando a atividade do host. No entanto, se a porta estiver fil

trada, nenhuma resposta ser enviada (bloqueada pe lo mesmo firewall que impediu descoberta via ICMP). Assim, a desvantagem destes mtodos, alm de serem mais lentos que o ARP Ping e o ICMP Ping, est na escolha das portas utilizadas, pois se todas as portas escolhidas estiverem filtradas, no ser possvel detectlo, ainda que o host esteja ativo. So exemplos de descobertas de host por TCP SYN Ping e UDP Ping: nmap sP PS22,80,443 scanme.nmap.org nmap sP PU53,631 scanme.nmap.org

Varredura de Portas
Esta seo trata da principal funcionalidade do nmap, a varredura de portas. Mesmo quando estava em suas primeiras verses, o nmap sempre foi capaz de fazer a varredura de portas de forma rpida e efi ciente. O nmap fornece diversos mtodos para reali zar varreduras de portas e a escolha de qual mtodo utilizar depende do objetivo que se pretende atingir. Varreduras de portas podem ter por objetivo detectar servios providos por um host alvo, verificar se um firewall est filtrando requisies de forma adequada ou ainda confirmar se a pilha TCP foi implementada conforme especificado na RFC 793 [7]. importante frisar que embora hajam diversos mtodos de varre dura de portas disponveis, s possvel utilizar um por vez. Outro adendo importante que a maioria dos mtodos de varredura de portas exige altos privi lgios de usurio. Isto necessrio, pois algums pa cotes so veiculados por sockets brutos (no vinculados a protocolos) que exigem este tipo de pri vilgios. Outra parte importante na varredura de portas a listagem de portas (p). A listagem de portas a serem consideradas separadas por vrgulas e, assim como as faixas de endereos IP, possvel especificar faixas de portas utilizando um hfen. As podem ser associa das a um protocolo manualmente ou automaticamen te pelo nmap dependendo do contexto da varredura. Quando os protocolos so especificados manualmen te, a listagem de portas sempre precedida por uma letra que identifica o protocolo utilizado (T para TCP e U para UDP) e quando so especificados au tomaticamente, basta informar a listagem de portas. Tambm possvel se utilizar todas as portas atravs da opo p ou limitar por uma determinada quan tidade de porta mais utilizadas atravs da opo topports qtd_portas e se esta quantidade for 100
Maio 2012 segurancadigital.info

|32

ARTIGO Segurana Digital

possvel utilizar o Fast Scan (F), que equivalente a topports 100. Assim, so exemplos de listagem de portas: p2225,80,443 pT:22,80,U:53,631. A varredura de portas sempre feita para cada execuo do nmap, exceto para o caso do Ping Scan (sP), quando necessrio escolher um mtodo de varredura de portas para que esta seja executada. Quando nenhum mtodo de varredura de portas ex plicitamente especificado, o nmap executa o TCP SYN Scan, caso tenha sido executado por um usu rio com privilgio de criar sockets brutos (no vincu lados a protocolos), e o TCP Connect Scan, caso contrrio. O TCP SYN Scan (sS) considerado pelos de senvolvedores da ferramenta como o mtodo de var redura de portas mais popular. Esta varredura consiste em enviar pacotes TCP com a flag SYN ati vada para as portas alvo. Esta flag ativada para se iniciar uma nova conexo TCP entre os hosts, no en tanto o nmap no completa o processo de abertura da conexo (ThreeWay Handshake, explicado na se o 3.4 da RFC 793 [7]) e por isto considerado um mtodo bem furtivo e difcil de se detectar. Nesta varredura, uma porta considerada aberta se a res posta recebida for um pacote com as flags SYN e ACK ativadas. Se a resposta for um pacote com a flag RST ativada a porta classificada como fechada e se nenhuma resposta for recebida, a porta classifi cada como filtrada. Assim, considerando que a faixa de endereos IP 192.168.1.0/16 seja a rede interna, os comandos abaixo so equivalentes (considerando que um usurio privilegiado esta executando as varredu ras): nmap 192.168.1.0/16 nmap sP sS 192.168.1.0/16 nmap sP PR sS 192.168.1.0/16 De forma semelhante, os comandos abaixo tam bm so equivalentes para a rede externa: nmap scanme.nmap.org nmap sP sS scanme.nmap.org nmap sP PE sS scanme.nmap.org O TCP Connect Scan (sT) funciona de forma muito semelhante ao TCP SYN Scan. Esta varredu ra consiste em tentar criar conexes entre os hosts na porta alvo. Isto feito atravs da execuo completa do Aperto de Mo em Trs Vias (ThreeWay

Handshake, explicado na seo 3.4 da RFC 793 [7]) executado pela chamada de sistema connect() [8]. Este mtodo de varredura de portas mais lento e menos furtivo que o TCP SYN Scan, pois a cone xo , de fato, estabelecida, no entanto, por usar a chamada de sistema, esta varredura pode ser executar por um usurio sem privilgios. Nesta varredura, uma porta considerada aberta se a conexo for es tabelecida com sucesso. Se a conexo for rejeitada a porta classificada como fechada e se o tempo limite para estabelecer a conexo expirar, a porta classifi cada como filtrada. Assim, considerando que a faixa de endereos IP 192.168.1.0/16 seja a rede interna, os comandos abaixo so equivalentes (considerando que um usurio sem privilgios esta executando as varre duras): nmap 192.168.1.0/16 nmap sP sT 192.168.1.0/16 nmap sP PR sT 192.168.1.0/16 De forma semelhante, os comandos abaixo tam bm so equivalentes para a rede externa: nmap scanme.nmap.org nmap sP sT scanme.nmap.org nmap sP PE sT scanme.nmap.org Outros mtodos de varredura de portas sobre o protocolo TCP interessante so o TCP ACK Scan (sA), TCP NULL Scan (sN), o TCP FIN Scan (sF) e o TCP Xmas Scan (sX). Estes mtodos so teis, pois permitem explorar falhas de configurao de um firewall stateless ou roteador que filtre paco tes, que estejam dificultando uma varredura direta. Estas varreduras enviam pacotes TCP com a flag ACK ativada para o TCP ACK Scan, com nenhu ma flag ativada para TCP NULL Scan, com a flag FIN ativada para o TCP FIN Scan e, finalmente, as flags FIN, PSH e URG ativadas para o TCP Xmas Scan. Estas varreduras, em geral, so executadas para agregar informao a outras varreduras j exe cutadas, visto que nem sempre oferecem resultados confiveis. Isto acontece, pois nem todos os sistemas operacionais implementam sua pilha TCP em confor midade com a RFC 793 [7] e respondem de maneiras inesperadas a requisies como as utilizadas para es te tipo de varredura. Outro adendo importante que as solues mais modernas de IDS/IPS so capazes de detectar e bloquear este tipo de varredura, tornan
Maio 2012 segurancadigital.info

|33

ARTIGO Segurana Digital

doas ineficazes. So exemplos deste tipo de varredu ra: nmap PN sN p 172.17.16.1 nmap sX p2125,53,80,443 192.168.1.0/24 nmap sP PP sA topports scanme.nmap.org

512

Existem tambm mtodos de varredura de portas sobre outros protocolos alm do TCP. A varredura so bre o protocolo UDP chamada UDP Scan (sU). Esta a nica varredura que pode ser executada si multaneamente com outras. Diferentemente das ou tras varreduras, um pacote UDP vazio enviado para a porta alvo. Uma porta considerada aberta se um pacote UDP de qualquer espcie for recebido. Se um pacote ICMP Port Unreachable (ICMP tipo 3, cdi go 3) for recebido, se um pacote ICMP Destination Unreachable (ICMP tipo 3, qualquer cdigo) de qualquer cdigo diferente de 3 for recebido, a porta classificada como filtrada e se nenhuma resposta for recebida, a porta classificada como aberta ou filtra da. Maiores informaes sobre os protocolos UDP e ICMP e seus tipos e cdigos podem ser encontradas nas RFC 768 [9], 792 [10] e Registro de Parmetros do ICMP disponibilizado pela IANA [11], respectiva mente. So exemplos deste tipo de varredura: nmap sP sU F scanme.nmap.org H tambm a varredura sobre o protocolo SCTP, chamada SCTP INIT Scan (sY). O SCTP um protocolo que combina caractersticas tanto do TCP quanto do UDP e introduz novas funcionalidades co mo multihoming e multistreaming. Maiores infor maes sobre o SCTP podem ser encontradas nas RFC 3286 [12] e 4960 [13]. Quanto a varredura SCTP, ela muito similar TCP SYN Scan, pois nunca completa a associao SCTP e relativamente furtiva e pouco intrusiva. So exemplos deste tipo de varredura: nmap PN sY p 172.17.16.1

um servio detectado do que somente a porta em que este est sendo executado, uma vez que estes servi os podem ser executados em, virtualmente, qualquer porta. Sendo assim, o nmap fornece uma opo para aferir o servio e a verso do software provendo este servio atravs da opo sV. Esta opo tenta ob ter, atravs do envio de pacotes construdos com este propsito, descobrir qual servio est sendo provido de fato e sua verso aproximada. Vale ressaltar que se o nmap for compilado com suporte a OpenSSL, a ferramenta tentar aferir servio provido e sua verso aproximada mesmo com a camada extra de cripto grafia. Maiores informaes sobre a deteco da ver so de servios e aplicaes podem ser encontradas no captulo 7 do livro do prprio autor da ferramenta, disponibilizado gratuitamente em [14]. nmap sP sS scanme.nmap.org sV topports 256

Assim como so publicadas vulnerabilidades para servios providos em uma rede, o mesmo acontece com sistemas operacionais, portanto tambm im portante detectar qual sistema executado por uma alvo na rede. O nmap tambm fornece uma opo para aferir o sistema operacional e sua verso apro ximada atravs da opo O. Esta operao tam bm conhecida como OS Fingerprinting. Esta opo tenta obter, atravs do envio de pacotes cons trudos com este propsito, descobrir qual sistema operacional est sendo executado e sua verso apro ximada. Maiores informaes sobre a deteco re mota do sistema operacional podem ser encontradas no captulo 8 do livro do prprio autor da ferramenta, disponibilizado gratuitamente em [15]. nmap sP sS sV O p scanme.nmap.org

Concluso
O nmap uma ferramenta que oferece uma gama de opes teis e de grande valia para obteno de informao para diversas atividades, como auditorias de segurana em geral, mapeamento de redes intei ras, teste em firewalls, etc. Este artigo discutiu ape nas as funcionalidades principais, no entanto ainda h muitas outras que no foram, se quer, menciona das, como: o Nmap Scripting Engine (NSE), opes de controle de desempenho, opes de evaso de fi rewalls/IDS/IPS, opes de spoofing, e muitas ou tras. O leitor encorajado a buscar mais informaes
Maio 2012 segurancadigital.info

Deteco de Servio, Verso e Sistema Operacional


As vulnerabilidades publicadas em entidades es pecializadas, em geral, so eficazes somente sobre determinadas verses de uma dada aplicao. Assim, interessante obter uma leitura mais especfica sobre

|34

ARTIGO Segurana Digital

na documentao oficial [2], no livro oficial [3] [4] [5] e outras fontes, como o Webinar #4 da Clavis so bre "NMAP Software Livre para Explorao de Re de e Auditorias de Segurana" [16]. Vale mencionar que, apesar de no haver legisla o especifica que tipifique como crime o ato de exe cutar varreduras de qualquer tipo em redes de qualquer espcie, o objetivo deste artigo no incen

tivar os leitores a fazer varreduras aleatrias em re des que no so de sua propriedade ou que no se tenha autorizao para fazlo, mas informar quanto a que tipo de informao relevante pode ser extrada destas varreduras e como estas podem ajudar em au ditorias teste de invaso, depurao de firewalls ou administrao de servidores, etc.

Referncias
[1] Nmap Free Security Scanner For Network Exploration & Security Audits: http://nmap.org/ [2] Nmap Official Documentation: http://nmap.org/docs.html [3] Nmap Network Scanning, Gordon Fyodor Lyon, Insecure.com LCC Publishings. ISBN: 9780979958717 [4] Exame de Redes com NMAP, Gordon Fyodor Lyon, Editora Cincia Moderna. ISBN: 9788573938654 [5] Nmap Network Scanning, Gordon Fyodor Lyon, http://nmap.org/book/toc.html [6] RFC 1918 Address Allocation for Private Internets: http://tools.ietf.org/html/rfc1918 [7] RFC 793 Transmission Control Protocol: http://tools.ietf.org/html/rfc793 [8] Linux Man Pages Section 2 (System Calls) connect(): http://linux.die.net/man/2/connect [9] RFC 768 User Datagram Protocol: http://tools.ietf.org/html/rfc768 [10] RFC 792 Internet Control Message Protocol: http://tools.ietf.org/html/rfc792 [11] Internet Control Message Protocol (ICMP) Parameters Registry: http://www.iana.org/assignments/icmp parameters/icmpparameters.xml [12] RFC 3286 An Introduction to the Stream Control Transmission Protocol: http://tools.ietf.org/html/rfc3286 [13] RFC 4960 Stream Control Transmission Protocol: http://tools.ietf.org/html/rfc4960 [14] Nmap Network Scanning, Gordon Fyodor Lyon, Chapter 7. Service and Application Version Detection. http://nmap.org/book/vscan.html [15] Nmap Network Scanning, Gordon Fyodor Lyon, Chapter 8. Remote OS Detection. http://nmap.org/book/osdetect.html [16] Webinar #4 NMAP Software Livre para Explorao de Rede e Auditorias de Segurana http://www.blog.clavis.com.br/webinar4softwarelivreparaexploracaoderedeeauditorias deseguranca/

Rafael Ferreira, Henrique Soares, Bruno Salgado e Jarcy Azevedo


Email: contato@seginfo.com.br Blog: http://www.seginfo.com.br Twitter: @rafaelsferreira, @hrssoares, @salgado_bruno e @jarcyjr

|35

Maio 2012 segurancadigital.info

PSI Politica de Segurana da Informao

Introduo
Com o atual crescimento e expanso do uso de re cursos tecnolgicos e computacionais, as corpora es mostram a necessidade de um padro definido por regras e procedimentos para o uso dos mesmos afim de manter o controle e o monitoramento, visan do otimizar o investimento em tecnologia e evitar gastos desnecessrios devido ao uso indevido dos ati vos de TI e acesso a informaes no permitidas. De tectar vulnerabilidades do ambiente tecnolgico e criar aes para eliminlas so alguns dos atuais de safios dos profissionais ligados rea de segurana da informao. Neste artigo vou descrever como formular e im plementar uma poltica de segurana da informao de forma simples e eficiente para mantermos o con trole a um nvel adequado visando proteger os recur sos da corporao de forma a termos um ambiente menos vulnervel e consequentemente mais seguro e produtivo, mantendo os usurios informados sobre a politica de segurana da informao. Disseminar a poltica de segurana da informao essencial, pois atravs dela estabelecemos padres, responsabilidades e critrios para o manuseio, arma zenamento, transporte e descarte das informaes. Cada poltica personalizada para cada caso, pois te

mos ambientes, recursos, pessoas e aes diferentes para cada modelo de negcio.

Poltica de Segurana da Informao (PSI)


O que isso e para que serve? Esse um tema bastante polmico no cenrio em presarial, onde temos corporaes que independentes do tamanho e porte, utilizam cada vez mais os recur sos tecnolgicos como um diferencial para agiliza rem e ganhar eficincia nos processos, mas que se no forem utilizados de maneira controlada, acarre tam em desperdcio de tempo, dinheiro, credibilidade e reputao no mercado devido falta de um conjun to de regras e padres sobre o que deve ser feito para assegurar que as informaes e servios importantes para a empresa recebam a proteo necessria de for ma a garantir os trs princpios bsicos da segurana da informao: confidencialidade, integridade e dis ponibilidade, chamada de Poltica de Segurana da Informao (PSI). Sua funo bsica consiste em estabelecer pa dres, responsabilidades e critrios, para o correto funcionamento da rotina empresarial. extremamen te recomendvel a criao da poltica antes da ocor rncia do(s) primeiro(s) incidentes relacionados

|36

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

segurana da informao. Ela pode ser usada para documentar o processo de controle de qualidade e tambm para evitar problemas legais com o mau uso dos recursos disponveis. Devido a sua abrangncia ela subdividida em trs blocos designados: diretrizes, normas, procedi mentos e instrues, sendo destinadas s reas estra tgica, ttica e operacional. A importncia de expressar o valor que a empresa atribui para suas in formaes e disseminao da cultura organizacional so partes das diretrizes, o que algo bem estratgi co, conforme mencionado anteriormente. Quando entramos na subdiviso ttica, estamos li gados diretamente s normas, detalhamento de ambi entes, situaes, processos e orientaes para o uso adequado do que a empresa tem de maior valor, a in formao. Para uma maior eficincia deve ser basea da na verso mais atual da BS 7799 ou ISO 27001. A parte de procedimentos e instrues dever conter o maior nmero de situaes possveis com o a ao correta em determinada situao.

Informativa: Possui carter informativo. Nenhu ma ao desejada e no existem riscos, caso no seja cumprida. Caractersticas bsicas: Pode contemplar observaes importantes e advertncias severas, o item mais importante da PSI a especificao, que deve ser breve, vocabu lrio simples, e formalizar o que esperado dos funcionrios na utilizao dos recursos tecnolgi cos. Deve ser bem completa e suficiente para saber se aplicveis para eles ou no. Agora que temos a definio bsica da nossa PSI, precisamos saber o que proteger e at onde a poltica de segurana da informao tem a sua abrangncia. Para isso precisamos levar em conta alguns elemen tos do nosso ambiente, como Hardware, Software, Informao, Acesso Fsico e a Documentao do am biente a ser coberto. Podemos citar alguns: Hardware: servidores, estaes, switches, im pressoras, roteadores Software: sistemas operacionais, editores de texto, planilhas, mensageiros. Informao: armazenamento, manuseio, des carte, backup, logs. Acesso fsico: entrada em ambientes crticos, cmeras, roletas, crachs. Documentao: todos os itens anteriores e ex tras pertinentes organizao. Com base no levantamento acima precisaremos saber de quem proteger estes elementos. Abaixo mostramos uma tabela simples e bsica como exem plo: Propriedade Intelectual Atribuio de fontes de informao A informao um bem da empresa. Armazenamento, salva e descarte de dados. Salva: o qu, quando, como, frequncia e perio dicidade da reviso. Armazenamento: onsite ou offsite? Perodo? Recuperao? Incidentes Determinar de quem a responsa bilidade Notificao a rgos responsveis e autorida des. Penalizao perante as leis e investigaes de evidncias (Forense).
Maio 2012 segurancadigital.info

PSI Tipos de Politica


O tipo de poltica varia de acordo com o modelo de negcios e inteno do controle e punio no des cumprimento da mesma. Podemos citar trs tipos mais conhecidos: Regulatria: definida como se fosse uma srie de especificaes legais. implementada devido s necessidades legais que so impostas organizao. Caractersticas bsicas: Prover conforto organizao na execuo de suas atividades Assegurar que a organizao est seguindo os procedimentos e normas padres para o ramo em que ela atua. Consultiva: Apenas sugere quais aes e mtodos devem ser utilizados para a realizao de uma deter minada tarefa ou atividade. Caractersticas bsicas: Falhas no processo de comunicao com a Al ta Administrao Perda de prazos de compromissos importan tes Aumento da possibilidade de omisso de in formaes importantes para a tomada de decises crticas.

|37

ARTIGO Segurana Digital

Acima temos alguns itens nesse vasto levantamen to que ter que ser criado.

ma modificao.

Dificuldades na Implementao
Em uma nova organizao temos a noo de que a implementao ocorre de maneira simples e silenci osa, pois novos funcionrios assumiro estas res ponsabilidades e estaro cientes da poltica desde o primeiro dia de expediente tendo que assinar o Termo de Concordncia das Condies de Uso dos Recursos Computacionais Corporativos, assim assumindo toda a responsabilidade sobre as regras a ele impostas. Em organizaes j existentes, onde aps analisar mos e classificarmos como um ambiente catico, a implementao tende a ser mais complexa e baru lhenta, devido aos vcios, comodismos, e mtodos incorretos de trabalho, o que acaba prejudicando a organizao como um todo. A frase abaixo demonstra o item fundamental nessa implementao de modo a superar todas as barreiras que possam retardar ou de sativar a implementao da PSI: A poltica de segurana da informao deve con tar como o total comprometimento da alta direo da organizao, incluindo a assinatura do mais alto executivo da mesma, explicitando assim o seu total apoio implementao da poltica.

Penalidades da violao das polticas de segurana da informao


O estabelecimento e aplicao das punies a to dos os funcionrios pelo descumprimento da PSI tor namse necessrio com o objetivo de dar respaldo jurdico a organizao e como uma forma de incenti vo para todos aderirem, isso claro de acordo com a cultura de cada organizao. A seguir temos um ex emplo de implementao prtica e um termo de acei tao da nossa PSI de forma a orientar ao leitor desse artigo e explorar sua criatividade na criao da mes ma. Esses documentos devem ser anexados a pasta de dados contratuais de cada funcionrio.

P S I E x e m p l o b s i c o p a r a u s o n a e m presa
Segue abaixo o modelo bsico de uma PSI para uso na empresa. A mesma pode ser adaptada para o perfil da corporao em que a mesma for aplicada. NOME OU LOGO DA EMPRESA XXX Poltica de Uso do Acesso Corporativo Internet A informao contida neste documento confi dencial e de propriedade da Empresa XXX. Este do cumento no para ser reproduzido ou distribudo fora da Empresa XXX. 1. OBJETIVO Estabelecer regras para o uso apropriado da Inter net na empresa XXX. O propsito da empresa em conceder o direito de acesso Internet aos seus fun cionrios , nica e exclusivamente, permitir que os mesmos obtenham as informaes necessrias ao de sempenho das atividades corporativas de modo a atingir os objetivos de negcio da empresa. 2. MBITO Esta poltica abrange todos os funcionrios auto rizados a acessar a Internet atravs da rede corporati va da empresa XXX. 3. DEFINIES Usurios funcionrios da Empresa XXX autori zados a acessar a Internet atravs da rede corporati va. Internet rede mundial de computadores.
Maio 2012 segurancadigital.info

Publicao e divulgao
Para conseguir a aderncia da PSI de forma sin cronizada entre os funcionrios, preciso utilizar os mais diversos meios de publicao e divulgao da PSI. Podemos sugerir a elaborao de materiais pro mocionais, palestras de conscientizao, jornais e fo lhetos internos, disponibilizar um manual bsico na intranet e internet em locais onde todos possuam acesso, mas que no possam modificar o contedo mantendo assim o conceito de integridade e disponi bilidade.

Atualizao e reviso da PSI


A poltica deve ser constantemente revisada e atu alizada, de forma a cobrir o maior nmero possvel de ativos na organizao e objetos de valor ex: infor mao, hardware, software etc. A atualizao torna se importante caso uma norma seja descumprida, ela tem que ser a mais recente e refletir o atual cenrio de trabalho da empresa. Costumase usar no final da poltica o controle da verso, autor (es) e data da lti

|38

ARTIGO Segurana Digital

Intranet rede corporativa de computadores. Acesso Internet inclui, mas no se limita, o acesso a web sites, o envio e recebimento de emails, a transmisso e o recebimento de arquivos e a execu o de aplicativos de Internet, atravs de computado res da rede corporativa. 4. POLTICA 4.1 USO ACEITVEL O acesso Internet concedido pelo escritrio aos seus funcionrios tem como objetivo ser utilizado co mo ferramenta para auxiliar os usurios na realizao das tarefas corporativas dirias e a obter vantagens competitivas relacionadas aos negcios da empresa. A Empresa XXX tem o direito de monitorar e controlar o acesso Internet a partir da sua rede cor porativa. Os usurios no devem ter qualquer expec tativa de privacidade no que diz respeito informao transmitida e/ou recebida atravs do(s) acesso(s) e recursos corporativos disponibilizados pela organizao. Devido existncia na Internet de pessoas e/ou organizaes com intenes hostis, os usurios de vem estar cientes da importncia e da obrigatorieda de do correto uso dos requisitos de segurana disponveis nos recursos corporativos que utilizam. Envolverse na observao ou na troca de mate riais que tenham contedo de natureza odiosa, obscena, discriminatria, ofensiva ou visando as sdio sexual Envolverse em qualquer tipo de negcios pri vados para obter lucros ou ganhos pessoais Envolverse em qualquer atividade ilegal, in cluindo jogos de azar, carregar ou baixar softwares sem a permisso dos detentores de seus direitos de copyright e/ou softwares que esto sujeitos ao con trole de exportao de seus pases de origem Interferir intencionalmente nas operaes nor mais dos equipamentos da rede corporativa com a Internet (gateway de Internet), ou de qualquer ou tro site Acessar materiais no relacionados aos negci os do escritrio, tais como o acesso a rdios, a sites que distribuam imagens, udio e/ou vdeo (strea ming vdeo), dirios eletrnicos (blogs) e etc. Baixar materiais no relacionados ao desempe nho das atividades corporativas, como arquivos de

imagens, udio e vdeo e/ou programas de uso pes soal, mesmo que gratuitos (freewares) Tentar ganhar acesso noautorizado a outros servios disponveis na Internet Enviar e/ou receber, mesmo que esporadica mente, emails excessivamente grandes ou mensa gens de correntes eletrnicas Envolverse em atividades que violem polticas de outras empresas e/ou que possam ser contrrias aos interesses do escritrio Abrir ou baixar arquivos de sites da Internet, grupos de notcias (newsgroups), contas de emails externas ou de outras fontes, sem as devidas pre caues para a deteco de vrus Revelar informaes confidenciais ou de pro priedade da organizao para destinatrios no au torizados, atravs de qualquer meio Transmitir informaes confidenciais ou pro prietrias para destinatrios autorizados, localiza dos fora da rede corporativa, sem os devidos cuidados relativos integridade das informaes Usar o aplicativo de mensagem instantnea cor porativo (Messenger), para divulgar informaes confidenciais ou de propriedade da organizao para destinatrios que no sejam usurios da rede corporativa Divulgar contas, identificadores, senhas de acesso e/ou de usurio ou qualquer outro tipo de identificao corporativa pessoal, com pessoas ou programas localizados fora da rede corporativa.

4.2 USO INACEITVEL Os usurios no podem usar seus privilgios de acesso Internet para: 5. SANES Qualquer usurio que, comprovadamente, venha a violar a presente poltica corporativa estar sujeito, dependendo da gravidade da infrao, a: Ter seu acesso Internet restringido ou mesmo cancelado Ter rescindido o seu contrato de trabalho ou de prestao de servios Responder a processo criminal.

|39

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

6. CONTROLE DE VERSO Verso: 01 Data: 24/04/2010 Autor: PAULO MORAES / Rio de Janeiro Termo de Concordncia das Condies de Uso dos Recursos Computacionais Corporativos A informao contida neste documento confidencial e de propriedade da Empresa XXX. Este do cumento no para ser reproduzido ou distribudo fora da Empresa XXX. Declaro ter lido o documento Poltica de Uso do Acesso Corporativo Internet de 03/04/2011, disponveis na rede interna e im presso, e atesto que: Entendi e compreendi completamente o contedo das polticas Estou plenamente ciente de que, em caso de violao das referidas polticas, estarei sujeito a aes disciplinares e legais. Data: __ / __ / 20____ Nome: _________________________________________________ Assinatura: _____________________________________________ IMPORTANTE: Este documento deve ser anexado pasta corporativa do funcionrio.

Referncias Bibliogrficas
MARTINS, Jos Carlos Cordeiro Gesto de Projetos de Segurana da Informao Editora Brasport FERREIRA, Fernando nicolau Freitas Segurana da Informao Websites www.modulo.com.br

Paulo Moraes

profissional de TI com mais de 10 anos de experincia, com formao em Redes de Computadores e Especializao em Segurana da Informao, possuindo as certificaes MCSO (Mdulo Security), Security + (Comptia), ISO 27002/ITIL (EXIN) , MCTS e MCSA (Microsoft). Autor do livro Mente Antihacker Protejase (Brasport Abr/2011). Atua no mercado como Consultor de Segurana da Informao. Email: prg.moraes@gmail.com Twitter: @paulosec

|40

Maio 2012 segurancadigital.info

A investigao nas nuvens traz novos obstculos que os profissionais devem ter cincia para um trabalho bem sucedido.

Percia digital em ambientes de cloud computing


Introduo
A Cloud Computing ou computao nas nuvens j uma realidade para as empresas que procuram, principalmente, reduo de custos com sua infraes trutura e garantia de disponibilidade de acesso aos seus servios localizados em diversos datacenters dispersos geograficamente. No mais necessrio um investimento alto caso se adote uma soluo "nas nuvens", mas devese preocupar ainda mais com fa tores tais como a segurana, as responsabilidades so bre uma fraude, o vazamento de informaes, os aspectos legais envolvidos, como e onde buscar por respostas em caso de incidentes que possuem uma abordagem diferente com relao infraestrutura convencional. Nosso objetivo aqui proporcionar a voc o entendimento sobre as questes relativas pe rcia digital na cloud computing e os fatores impor tantes que do um toque particular neste novo cenrio. A forense digital em ambientes de cloud compu ting tambm conhecida como Cloud Forense (Cloud Forensics) e pode ser entendida como um subconjunto da anlise forense em redes de computa dores, uma disciplina cruzada entre a Cloud Compu ting e a percia forense digital, que por sua vez fazem parte deste ltimo grupo:

Como citado anteriormente, a cloud forense pos sui algumas particularidades que iro influenciar di retamente no ato investigativo. A busca por disponibilidade constante nos servios oferecidos pe los provedores de servios em nuvem (CSPs), por espao para hospedagem de dados e reduo de ris cos falhas, alinhados a um bom custo benefcio, que oferea um produto final de qualidade com valo res competitivos trazem ainda mais complexidade no cenrio da percia em cloud computing. Desta forma, definise duas caractersitcas que afetam diretamente a percia, principalmente com re lao aos aspectos legais: a mltipla jurisdio e a mltipla locao. O primeiro referese s vrias ju risdies existentes provenientes dos mais variados locais onde esto localizados os datacenters dos CSPs, cada qual com sua prpria legislao. O se

|41

Maio 2012 segurancadigital.info

ARTIGO Segurana Digital

gundo item denomina a capacidade da nuvem de te rem seus recursos utilizados por vrios usurios ao mesmo tempo. Conforme veremos mais adiante, es tes dois tens formam os primeiros obstculos ou fa tores que iro dificultar a percia nas nuvens: a necessidade de cooperao internacional, devido ine xistncia de uma legislao unificada e o acesso si multneo aos recursos nas nuvens, que iro exigir grande colaborao dos provedores e seus clientes. Diante deste contexto complexo, Ruan et al. (2011) prope a anlise da percia na nuvem sob trs dimen ses (Marcelo Magalhes Ferreira, 2011):

A cloud forense possibilita vrias abordagens po dendo ser empregada com finalidade investigativa, a fim de se constatar que determinado delito fora co metido formando provas vlidas para determinado processo judicial. Pode ser aplicada na resoluo de problemas ou para fins de segurana, podendo ser utilizada na recuparao de arquivos apagados aci dentalmente. Vale lembrar que apesar da possibilida de de aplicao nos mesmos moldes de uma percia convencional, seu grau de dificuldade muito supe rior e demanda ainda mais capacidade do perito, contando ainda com grandes obstculos diferente mente de uma anlise convencional. Em um cenrio em que um delito ocorreu em uma empresa que possui grande parte de seu acervo com putacional disposto em Cloud Computing, de nada ir adiantar o perito ter acesso a computadores inter nos, hardwares e informaes internas, dependendo do foco em que ir atuar, se o objeto principal da pe rcia estiver nas nuvens e constatada a impossibilida de de acesso aos mesmos. Ainda mais difcil pode se tornar a identificao do criminoso. Geralmente os provedores possuem registros de identificao de acesso pouco confiveis e se esconder neste vasto ambiente pode ser tarefa fcil. Mtodos, tcnicas e procedimentos tradicionais da percia digital podem se mostrar pouco eficientes neste novo contexto.

1. A dimenso tcnica: Envolve os procedimentos e as ferramentas para realizar o processo pericial em ambientes de cloud computing. 2. A dimenso organizacional: Com relao ao ambiente organizacional, este ir contemplar ao me nos duas partes: a provedora dos servios em nuvem e os seus clientes. Este item ainda pode se extender em vrios aspectos, principalmente se houver a ter ceirizao de algum servio. importante ressaltar que este possui vrios detalhes e desdobramentos, mas como no objeto de nosso estudo neste mo mento no aprofundaremos nestes detalhes. 3. A dimenso legal: Os aspectos legais envolven do a mltipla jurisdio e locao dos servios em nuvem formam as principais preocupaes idenfica das pelos peritos digitais. Estas caractersitcas j nos do uma breve noo do grau de complexidade deste novo campo e que os cuidados devero ser redobrados quando o assunto for a cloud forense.

Principais obstculos e dificuldades


Existem grandes dificuldades na cloud forense. necessria uma lei ou tratado de cooperao interna cional com relao aos aspectos jurdicos envolvendo a cloud computing, de modo a possibilitar uma in vestigao colaborativa em casos onde seja necess ria uma percia digital. Isso ser de extrema importncia quando se tratar de uma investigao em que estaro envolvidas mltiplas jurisdies. Outro fator que devemos citar o acesso aos da dos. Este acesso pelo perito pode ser muito dificulta do em funo do modelo utilizado pelos usurios destes servios. Usurios do modelo IaaS (infraes trutura como um servio) tem acesso relativamente fcil aos dados enquanto usurios do modelo SaaS (software como um servio) tem acesso a pouco ou a nenhum dado. De acordo com Marcelo Magalhes Ferreira apud RUAN, "os provedores de SaaS podem no prover acesso aos logs de IP dos clientes os pro vedores de IaaS podem no prover os dados forenses tais como as recentes mquinas virtuais e imagens de disco. Na nuvem, os clientes tm acesso reduzido a
Maio 2012 segurancadigital.info

|42

ARTIGO Segurana Digital

arquivos de log e metadados relevantes em todos os nveis, assim como a habilidade de auditar operaes da rede dos seus provedores e conduzir o monitora mento em tempo real nas suas prprias redes". O acesso aos dados pelo perito fator chave para a percia. Desta forma, alguns procedimentos da per cia poderiam ser comprometidos em caso da impossi bilidade do acesso aos mesmos. O trabalho em cpias, verificao de integridade por gerao de hash poderiam se comprometidos tornando facilmen te anulveis as provas construdas, uma vez que no se conseguir comprovar a integridade da cpia efe tuada. Somado a isto, a instabilidade dos servidores e a possibilidade de acesso aos dados por terceiros du rante a realizao das cpias de segurana para anli se, levanos a um contexto em que a cadeia de custdia poderia ser comprometida, no sendo poss vel garantir que apenas os peritos tiveram acesso quela determinada informao. Outro fator a ser analisado com relao aos logs de auditoria. Mais uma vez h a necessidade de leis que estabeleam critrios relativos ao tempo de guar da dos logs, ips e metadados que em vrios casos so elementos essenciais para a resoluo de um caso. Em conjunto poderiase verificar uma forma de acesso a estes logs de maneira que o acesso a nvel fsico no comprometesse outras instncia instaladas no mesmo meio. Em suma, isto quer dizer que, numa mquina servidora em que tmse vrias instncias de hospedagem utilizandose de recursos como vir tualizao por exemplo, seus logs a nvel fsico esti vessem separados a tal ponto que uma anlise forense em um deles no comprometesse o outro que compartilha a mesma infraestrutura, garantindo e va lidade da evidncia. De qualquer forma, somente reter e identificar unicamente esses logs no o suficiente, para que o trabalho do perito seja facilitado. Seria necessria uma unificao dos formatos dos arquivos de log. Sa bemos que este item no fcil de ser aplicado mas tem de ser colocado para avaliaes futuras. Falando sobre a virtualizao, podemos ter vrias instncias em funcionamento atravs de hypervisor uma tcnica de virtualizao na qual permitida que vrios sistemas operacionais compartilhem os mes mos recursos fsicos, sendo que problemas ocorridos neste nvel podem danificar os recursos que este ge rencia e consequentemente comprometer a investiga o. Relacionado aos logs temos tambm a reconstru

o de eventos. A sincronizao dos tempos ou hor rios de ocorrncias dos fatos fundamental para a reconstruo e correlacionamento das datas aos fatos, o que permite o desenvolvimento da linha de tempo do caso em questo. Esse sincronismo extrema mente difcil, uma vez que temos um grande nmero de recursos interligados nas nuvens e nos mais diver sos formatos, como por exemplo terminais fixos e mveis espalhados em vrias regies geogrficas. Sabemos tambm que na percia digital uma fonte de busca importante, onde podese encontrar evidn cias, so arquivos e/ou dados apagados. Mas nas nu vens, diante de toda a complexidade vista at ento, como recuperar estes dados, identificar suas proprie dades como por exemplo, quem o proprietrio, for matos, datas de acesso, modificao, etc e utilizlos na reconstruo de eventos? Como ter acesso a este dados?

Concluso
Podemos observar que ainda existe muito a se de senvolver quando se tratar de investigao nas nu vens. A cloud computing ainda uma disciplina relativamente nova, mas vem crescendo a passos lar gos, de modo que muitas vezes este avano no acompanhado por maturidade legal e questes relati vas segurana da informao. As dificuldades resi dem na variedade dos servios ofertados, em que dependendo do tipo de servio, os controles de segu rana podem se perder lentamente, pois as responsa bilidades podem ir sendo terceirizadas. Solucionar casos em que este ambiente est en volvido pode ser complicado e no haver tempo hbil para tanto, pois hoje existem prazos estabelecidos na base legal e que tm que ser cumpridos. Existe gran de burocracia envolvida com relao investigao na cloud computing. Mesmo com tantas dificuldades, abrese tambm um leque de oportunidades para aqueles que possuem interesse pela rea. H muito que se desenvolver em termos de ferramentas, aspectos legais, novas tcni cas e servios para atuao especfica neste meio e isto pode se tornar um negcio vantajoso para quem deseja ingressar neste cenrio. Devese, para tanto, observar que todo trabalho neste contexto dever ser realizado com ainda mais empenho do que a forense digital nos moldes convencionais, pois h mais difi culdades inseridas que devem ser transpostas com muita eficincia e eficcia. Contudo, um trabalho bem realizado sinnimo de retorno garantido a to
Maio 2012 segurancadigital.info

|43

ARTIGO Segurana Digital

das as partes envolvidas.

Bibliografia
CAIXETA, Thiago Fernandes Gaspar. PERCIA FORENSE DIGITAL A tecnologia da informao co mo ferramenta estratgica no combate ao crime. FERREIRA, Marcelo Magalhes. Percia Forense Computacional em Cloud Computing Um Breve Re lato. Disponvel em: < http://pt.scribd.com/doc/86893935/MarceloMagalhaesFerreiraPericiaForen seComputacionalEmCloudComputingUmBreveRelatoMonografia >. Acesso em: 01 maio. 2012. LIMA, Caio Csar Carvalho. Aspectos legais da Percia Forense Computacional em um cenrio de Cloud Computing. Disponvel em: < http://caiolima.me/wp content/uploads/2010/09/CaioC%C3%A9sarCar valhoLimaICCyber2010.pdf >. Acesso em: 22 abr. 2012. RAMOS, Robson da Silva, ESES, Nicholas Istenes. O Impacto do Cloud Computing no Processo de Pe rcia Digital: < http://pt.scribd.com/doc/55358724/OImpactodoCloud ComputingnoProcessodePe riciaDigital >. Acesso em: 24 abr. 2012. VERDI, Fbio Luciano. Cloud Computing, Data Centers e Governo: desafios e oportunidades. Dispon vel em: < http://www.ppgccs.net/verdi/csbc_wcge10.pdf >. Acesso em: 28 abr. 2012. KEYUN Ruan, Ibrahim Baggili, Prof Joe Carthy, Prof Tahar Kechadi . Survey On cloud forensics and critical criteria For cloud forensic capability: A preliminary analysis. Disponvel em: <http://www.cloud forensicsresearch.org/publication/Survey_on_Cloud_Forensics_and_Critical_Criteria_for_Cloud_Fo rensic_Capability_6th_ADFSL.pdf >. Acesso em: 01 maio. 2012. KEYUN Ruan, Prof. Joe Carthy, Prof. Tahar Kechadi, Mark Crosbie. Cloud forensics: An overview. Dis ponvel em: <http://cloudforensicsresearch.org/publication/Cloud_Forensics_An_Overview_7th_I FIP.pdf>. Acesso em: 01 maio. 2012.

Thiago Fernandes Gaspar Caixeta

Graduado em Cincia da Computao e MBA em Gesto da Segurana da Infor mao pela Universidade Fumec, atua na rea de TI como Analista de Sistemas e Segurana da Informao. Entusiasta da forense computacional.

Email: thiago.caixeta@gmail.com Twitter: @tfgcaixeta

|44

Maio 2012 segurancadigital.info

Auditoria - Como Windows Server pode te ajudar


As informaes, com certeza, so os bens mais valiosos que podemos ter no nosso mundo, pois uma das poucas coisas que quando conseguimos no nos podem ser retiradas. No mundo empresarial elas possuem um nvel ainda maior, que podem determinar um caso de su cesso ou no, ou um diferencial entre as concorren tes, o chamado knowhow. E proteglas cada dia que passa uma tarefa de suma importncia. Tcnicas para isso que no faltam, entre elas es to as mais simples como definir permisso de aces sos atravs do sistema de arquivos ou por permisso de compartilhamentos, que de uma forma rpida defi ne quem pode e quem no pode acessar os arquivos, ou definir os nveis de permisso de acesso a arqui vos tais como leitura e escrita, mas tambm existem as tcnicas mais avanadas como criptografia de da dos usando chaves assimtricas, onde somente quem possui as chaves apropriadas podem acessar os da dos. Para a proteo dessas informaes implementar essas tcnicas um dos princpios da segurana da informao, mas no o suficiente, no adianta voc implementlas sem monitorar, pois quem pensa que uma vez que esteja executando e em produo o pro cesso est perfeito, na verdade est perfeitamente

enganado. Aps todo o processo de implementao necessrio verificar se tudo corre conforme o progra mado e uma tcnica para ver se as tarefas esto sendo executadas da maneira como foram projetadas rea lizar uma auditoria. A auditoria de uma forma resumida uma tarefa onde se realizam testes para verificar se tudo est sendo executado d maneira correta, mas quando vo c fala em auditoria muitas pessoas pensam em algu ma empresa indo a outra e realizando esses testes e no final gera um relatrio sobre o que est certo e normalmente o que est errado, mas uma auditoria pode ser realizada internamente e como estamos fa lando de acesso a informaes a famlia Windows Server fornece uma ferramenta embutida nela, para realizar essa funo e de rpida implementao e isso que ser abordado nesse artigo. A seguir ser implementado uma auditoria de fa lha de acesso a arquivos e verificao de quem apa gou um arquivo.

Configurando o seu servidor para realizar auditoria de arquivos


O primeiro passo para realizar uma auditoria em um Windows Server habilitla e para isso crie uma GPO na OU do servidor em que ela ser executada

|45

Maio 2012 segurancadigital.info

DICA / TUTORIAL Segurana Digital

ou definaa nas polticas locais. Nota: Para um melhor gerenciamento melhor criar uma GPO, pois assim voc pode configurla sem ter que logar localmente alm de poder ter um relatrio do que est habilitado ou no. Ao criar a GPO v at a seguinte configurao: Computer Configuration (Configurao de Compu tador) > Policies (Politicas) > Windows Settings (Configuraes do Windows) > Security Settings (Configurao de Segurana) > Local Policies (Poli ticas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em Audit Object Access (Au ditoria de Acesso a Objetos). Obs: A politica acima para ser criada no Win dows Server 2008 no 2003 o caminho diferente: Computer Configuration (Configurao de Compu tador) > Windows Settings (Configuraes do Win dows) > Security Settings (Configurao de Segurana) > Local Policies (Politicas Locais) > Au dit Policies (Politicas de Auditoria) e clique duas ve zes em Audit Object Access (Auditoria de Acesso a Objetos). Na janela que aparecer marque as opes Suc cess (Sucesso) e Failure (Falha), isso para poder termos a opo de selecionar as opes de falha e su cesso na auditoria, conforme a imagem abaixo:

Pronto j habilitamos o servidor para que ele pos sa realizar auditorias, mas ele no est auditando na da ainda, para isso precisamos definir o que ser auditado no nosso caso queremos que ele audite os acessos indevidos a pastas e os arquivos apagados com sucesso. Para isso logue com uma conta com direitos ad ministrativos no servidor onde a auditoria foi habili tada, v at a pasta onde ela ser realizada e clique com o boto direito nela e depois em Properties (Propriedades) e aps na aba Security (Segurana), em seguida em Advanced (Avanado).

Clique na aba Auditing (Auditoria), aparecer uma tela perguntando se voc est logado com um usurio com direitos administrativos e pergunta se quer continuar ento clique em continue. Obs: No Windows Server 2003, esse passo no existe.

|46

Maio 2012 segurancadigital.info

DICA / TUTORIAL Segurana Digital

dos com sucesso e os arquivos com falha de leitu ra(sem acesso), ento marque a opo delete na coluna Successfull (sucesso) e List Folder/ Read Data (Listar Pasta / Ler Dados) na coluna Failed (Falha).

Na tela seguinte clique em add (adicionar) para definir as regras da auditoria, ou seja o que deve ser auditado.

A seguir aparecer uma tela pedindo qual usurio ser auditado, no nosso caso queremos que ele faa uma auditoria de todos os usurios, ento digite o no me everyone (todos) e clique em Ckeck Names (Checar nomes) e depois em OK

Dica: No marque todas as opes, pois a visuali zao da auditoria ficar comprometida, isso ser ex plicado mais a frente. Pronto agora a auditoria j est habilitada e confi gurada o prximo passo e visualizar.

Visualizando os logs de auditoria


Agora que o seu servidor est preparado para auditar, como podemos visualizar os dados que necessitamos? A ferramenta simples de usar e todos ns conhecemos que o: Event Viewer ou Visualisador de Eventos, com ele basta ir nos logs de segurana (security) para verificar o que precisamos, porm uma tarefa difcil verificar essas informaes por ele, por um simples motivo que mostrarei na imagem abaixo:

Aps, aparecer uma tela pedindo o que quer ser auditado, no nosso caso os arquivos que so deleta

|47

Maio 2012 segurancadigital.info

DICA / TUTORIAL Segurana Digital

Notaram que ele gera inmeras informaes e at voc achar o que precisa, tendo que verificar entrada por entrada para descobrir o que quer chato. Se vo c j sabe o que procura, voc pode fazer um filtro e ele j te retorna os valores que quer, no nosso caso queremos descobrir quem deletou um arquivo e quem tentou acessar um arquivo no permitido. Nota: Quando foi falado acima para no marcar todas as opes foi justamente por causa das inme ras informaes que so gravadas nos logs, se caso deixasse tudo habilitado seu log ia estourar rapida mente. Para verificar o arquivo deletado basta filtrar pelo evento 4663 e ele te informar quem deletou o arqui vo e que horas, conforme imagem abaixo:

Neste caso o usurio Teste2 tentou acessar a pasta teste e no conseguiu por no ter acesso. Informao contida onde est marcado de vermelho na imagem. Nota: No Windows Server 2003 o evento o numero 560. Nota: Tanto no Windows Server 2008 quanto no 2003 a auditoria apresenta em falha.. Isso uma forma de voc visualizar, a outra atravs do Powershell, prefervel uslo quando quer colocar em um relatrio fica bem mais simples, pois voc pode transformar a sada em um HTML. Abaixo segue os dois scripts em powershell para os nossos dois casos: Arquivo deletado Windows Server 2008 $a = geteventlog logname security instanceid 4663 |converttohtml property timegenerated, message $a = $a| foreachobject {$_ replace "<table>", "<table border 2>"}
Maio 2012 segurancadigital.info

Nota: No Windows Server 2003 o evento o 560. Neste caso o usurio suporte deletou o arquivo Documento Teste no dia 07/04 as 22:09 E para verificar acesso indevido, tem que filtrar dois eventos o de nmero 4656 e 5145, o primeiro fa la de acesso indevido via acesso local e o segundo via rede, mas ambos do os mesmos detalhes como mostra a imagem abaixo:

|48

DICA / TUTORIAL Segurana Digital

$a|OutFile local do arquivo HTML Na primeira linha do script ele coleta as informa es dos eventos de segurana onde o eventID 4663 e converte a sada para HTML armazenando so mente a Hora Gerada e a Mensagem e coloca o resul tado na varivel $a. Na segunda linha ele pega a varivel $a e procura pela tag HTML <table> ao achala ele troca colocan do uma borda nela. (Essa parte importante pois ao converter a sada do comando para HTML ele vem sem borda e a visualizao no arquivo fica ruim.) Na terceira linha o resultado dentro de $a grava do dentro de um arquivo. (Onde est escrito local do arquivo HTML coloque o local onde quer armaze nar o arquivo, por exemplo C:\resultado\auditoria.html Windows Server 2003 $a = geteventlog logname security instanceid 560 message *Delete* |converttohtml property timegenerated, message $a = $a| foreachobject {$_ replace "<table>", "<table border 2>"} $a|OutFile local do arquivo HTML Na primeira linha do script ele coleta as informa es dos eventos de segurana onde o eventID 56 e a mensagem do evento possui a palavra Delete e converte a sada para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na varivel $a. Na segunda linha e terceira linha a mesma coisa do script acima. Acesso indevido Windows Server 2008 $a = geteventlog logname security entrytype failureaudit message "*file*" |converttohtml property timegenerated, message $a = $a| foreachobject {$_ replace "<table>", "<table border 2>"} $a|OutFile local do arquivo HTML Na primeira linha do script ele coleta as informa es dos eventos de segurana onde os tipos so Fa lhas de Auditoria e na mensagem existe a palavra file (comum em ambos os eventos falados acima) e converte a sada para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na varivel $a.

Windows Server 2003 $a = geteventlog logname security entrytype failureaudit instanceid 560 |converttohtml property timegenerated, message $a = $a| foreachobject {$_ replace "<table>", "<table border 2>"} $a|OutFile local do arquivo HTML Na primeira linha do script ele coleta as informa es dos eventos de segurana onde os tipos so Fa lhas de Auditoria e o eventID o 560 e converte a sada para HTML armazenando somente a Hora Ge rada e a Mensagem e coloca o resultado na varivel $a. Na segunda linha e terceira linha de ambos a mesma coisa do script de arquivo deletado. Lembrese: Para criar um script em Powershell voc tem que salvar o arquivo com a extenso .ps1. Nota: Geralmente os scripts de powershell no so habilitados para execuo por padro para isso antes de executar os scripts acima, rode o comando SetExecutionPolicy Unrestricted Lembrete: O Powershell na vem instalado no Windows Server 2003, para isso tem que baixar e instalar o mesmo. Com isso verificamos como habilitar, configurar uma auditoria no Windows Server 2003 e 2008 e ve rificarmos como anda o acesso a arquivos em nossa rede, porm a auditoria de arquivos somente uma parte das ferramentas de auditoria no Windows, exis tem outras tais como a auditoria de logon em mqui na, para mais informaes acesso o link: http://technet.microsoft.com/pt br/library/cc779526(v=ws.10).aspx

Laerte Costa
Perfil: Formado em Sistemas de In formao e certificado MCSA 2003, trabalho com administrao de redes, tanto windows quanto li nux, a mais de 5 anos e escrevo ar tigos para o site www.cooperati.com.br. Sou um buscador incessante de informao pois acredito que ela que faz a dife rena entre um ser bem ou mal sucedido.. Twitter: @laerte_hc Site: www.cooperati.com.br

|49

Maio 2012 segurancadigital.info

NOTCIAS
ONU vai advertir pases membros sobre ris cos do vrus Flame A agncia da Organizao das Naes Unidas (ONU) encarre gada em ajudar os pases mem bros a manter em segurana seus projetos nacionais de infra estrutura vai emitir um alerta sobre o risco do vrus Flame, recentemente descober to no Ir e em outras regies do Oriente Mdio. A criao do vrus de espionagem Flame e sua re cmdescoberta difuso em pases como Israel, Ir, Sria e Egito foram bancadas por governos, disse a empresa de segurana digital Kaspersky Labs BBC. >> http://migre.me/9iyne >> http://migre.me/9iynT Nuvem fora profissional de TI a entender mais de negcios Pesquisas recentes mostram que o uso de computao em nuvem cada vez mais co mum nas empresas brasileiras e, de acordo com especialistas, este novo cenrio exige que CIOs e CEOs mudem seu comportamento. As aplicaes na nuvem so usadas especialmente para economizar dinheiro e reduzir o tempo gasto com a implantao e gesto de ferramentas de TI. Se gundo Erick Vils, fundador da empresa WebSoftwa re, ao optar pelo uso de servios de nuvem a empresa muda tambm o perfil do profissional exigido para fazer parte da equipe. >> http://migre.me/9iyoz >> http://migre.me/9iyvJ Polcia captura menor que postou fotos de Carolina em site da Cetesb A Polcia Civil de So Paulo apreendeu nesta manh, em Carapicuba, cidade da Gran de So Paulo, o cracker que publicou fotos da atriz Caro lina Dieckmann no site da Companhia de Tecnologia de Saneamento Ambiental (Cetesb). O cracker um adolescente de 17 anos que trabalha como professor de informtica. >> http://migre.me/9iypm Especialista detalha brecha que permitia que bra de sigilo do voto O Tribunal Superior Eleitoral (TSE) realizou em maro um evento que deu a especialistas chamados pelo tribunal de "investigadores" a oportuni dade de testar a segurana da urna eletrnica. Uma equipe da Universidade de Bra slia (UnB) conseguiu descobrir um problema na for ma como a urna embaralhava o registro dos votos. Na prtica, isso significa que, se algum soubesse a ordem de votao por exemplo, que voc foi o 5 a votar , era possvel determinar, tambm, em quem voc votou. E a urna no precisava ser violada para isso. >> http://migre.me/9iysS 40% dos perfis em redes sociais so spam Assim como ocorreu com o e mail, o sucesso de redes soci ais como Facebook e Twitter chama a ateno de spammers interessados em monetizar suas aes. Segundo a empresa de segurana Impermium, os spammers so os responsveis por criar 40% dos perfis em redes sociais como Facebook, Twitter e Pinterest com o intuito de disseminar golpes por meio de links maliciosos compartilhados.

Contribua com nosso projeto? Envie um email para nossa equipe! contato@segurancadigital.info
Maio 2012 segurancadigital.info

|50

Parceiros

Venha fazer parte dos nossos parceiros, que apoiam e con tribuem com o Projeto Segu rana Digital.

|51

Maio 2012 segurancadigital.info

www.ablesecurity.com.br

|52

ANNCIO AbleSecurity

Maio 2012 segurancadigital.info

PARCEIRO 4Linux

Segurana em Servidores Linux

Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de pre servar o valor que possuem para um indivduo ou uma organizao. So caractersticas bsicas da segu rana da informao os atributos de confidencialida de, integridade, disponibilidade e autenticidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de prote o de informaes e dados. O conceito de Seguran a Informtica ou Segurana de Computadores est intimamente relacionado com o de Segurana da In formao, incluindo no apenas a segurana dos da dos/informao, mas tambm a dos sistemas em si. O curso Segurana em Servidores Linux ensina o aluno a utilizar ferramentas de segurana FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, possibi litando ao profissional de TI propr modelos de segu rana com ferramentas consagradas no mundo do software livre. O curso fortemente focado na criao de proce dimentos de segurana psinstalao, fazendo com que o sistema se torne mais seguro e conscientize o aluno sobre a importncia desses procedimentos e da sua obrigatoriedade em todas as implementaes.

Para mais detalhes acesse: http://www.4linux.com.br/cursos/cursosseguranca. html#curso508

Quem deve fazer este curso e por que


O curso Segurana em Servidores Linux indica do para o profissional de TI que: > Se preocupa com a segurana dos servidores da sua empresa > Deseja identificar e registrar comportamentos que podem afetar o desempenho dos servidores es tando em produo ou em ambientes de testes > Quer minimizar ou eliminar os principais pro blemas e riscos com a segurana da sua infra > Quer se tornar especialista em segurana da in formao e obter a certificao LPIC 3 Exam 303

|53

Maio 2012 segurancadigital.info

PARCEIRO Brasport

|54

Maio 2012 segurancadigital.info

PARCEIRO HostDime

Desafios da Gesto de Segurana em Servidores Compartilhados (Final)


profissionais de segurana devemos cada vez mais orientlos sobre os riscos e benefcios de uma sim ples senha.

O que podemos fazer para evitar isto?

Atualmente no raro encontrar em sistemas gra tuitos ou pagos a exigncia de senha complexa e acredito que esta seja uma boa sada para que os usurios sejam conscientizados. Alm disto, como

|55

Ho
Artigo escrito por Thiago Brando. Thiago especialista em segurana e faz parte do ti me de analistas de SI da HostDime Brasil.
Maio 2012 segurancadigital.info

Esta coluna tem como objetivo esclarecer um pou co sobre o desafio que enfrentamos todos os dias pa ra manter servidores compartilhados livres de ameaas, que teimam em importunar a operao de toda e qualquer empresa que lida diretamente com a hospedagem de sites. Nos dois artigos anteriores fa lamos sobre as aplicaes, que fazem parte de um grande nmero de portas de entrada muito exploradas por invasores. Alm da preocupao com os siste mas, segurana e outros aspectos, h uma proteo em praticamente todos os sistemas que pode ser de masiadamente vulnervel: A SENHA. Voc pode achar que este artigo ser redundante, mas infelizmente no . Quanto maior o nmero de usurios de internet, maior o nmero de senhas que so vulnerveis a ataques, j que alguns usurios ain da no tm a conscincia de que a senha que eles possuem no segura, a menos que voc as formate de um modo seguro. Alm da complexidade da senha, existem dois er ros muito comuns que tambm podem fazer com que uma senha seja vulnervel: Usar a mesma senha em todos os sistemas e/ou utilizar a mesma senha por anos. Na ocorrncia de uma situao ou outra, sua se nha mesmo sendo considerada forte poder estar to vulnervel quanto uma senha fraca (ex.: 123456), e no raro que ambos aconteam principalmente em ambiente compartilhado de servidores, onde uma parte considervel dos usurios possuem conheci mentos bsicos de informtica. Acredito que a senha evolui juntamente conosco, a cada vez que voc tem mais conhecimento, conhe ce novas pessoas e vive novas experincias, voc possui mais informaes para compilar uma senha mais poderosa e segura. Isto pode parecer estranho, mas se voc utiliza uma senha segura e sabe ela de cor e salteado, provavelmente voc no gerou atravs de um algoritmo e cada caractere faz algum sentido para voc ou seno o conjunto deles fazem sentido.

F i m d a S r i e D e s a f i o s d a G e s t o d e S e gurana em Servidores Compartilhados


Hoje ns encerraremos nossa srie que contou com trs artigos sobre as principais vulnerabilidades as quais servidores compartilhados esto suscetveis nvel de usurio. No entanto, no o fim da nossa participao na Revista Segurana Digital. Traremos outros assuntos relacionados nossa experincia, mas no limitados operao de servidores compar tilhados. A segurana muito ampla e, mesmo que falemos tudo, ainda no ser o suficiente. At a pr xima edio!

stD

im

PARCEIRO Kryptus

MAS Malware Analysis System


Instalao e manuteno: Fcil instalao e ge renciamento, configurao mnima, alta vazo e es calabilidade. Uso simples, mas completo: Interface de gerenci amento simples e intuitiva. Proviso de relatrios ge renciais e tcnicos com diversos nveis de informao. Contramedidas: Defesa prativa da rede atra vs da proviso de tendncias de ataque e listas de bloqueio de endereos infectados de forma automti ca, configurando IPSs. Anlise comportamental de malwares: Extrai mais informaes de cada malware ajudando a en tendlos e a combatlos de forma mais efetiva. Alto desempenho: Capaz de analisar mais de 1000 aterfatos por dia, sejam malwares, sejam aplicaes web maliciosas.

A ameaa dos cdigos maliciosos tem aumentado consideravelmente e centenas de novos exemplares surgem diariamente e com caractersticas cada vez mais complexas. O crescimento na quantidade de no vos malwares e a utilizao de mecanismos que eva dem sistemas de segurana fazem com os produtos para defesa comercializados atualmente tenham uma difcil tarefa na deteco de infeces e ataques nas redes que visam proteger. O kryptusMAS foi desenvolvido para preencher essa lacuna, analisando malware e aplicaes web de forma dinmica e eficiente, independente da existn cia de assinaturas de deteco ou vacinas. O Kryptus MAS identifica mudanas em arquivos, processos, chaves de registro e interaes de rede em ambientes MSWindows prconfigurados, tornando possvel a tomada de contramedidas defensivas rpida e efeti vamente, mitigando as ameaas e protegendo a rede antes que uma infeco se espalhe. O kryptusMAS, atravs de suas anlises automa tizadas, retira a sobrecarga dos responsveis pela se gurana e gerncia da rede, fazendo com que seu foco seja direcionado s medidas defensivas prati vas. Alm disso, o kryptusMAS gera relatrios ge renciais e tcnicos, dando visibilidade das ameaas para os administradores da rede. Sua escalabilidade permite a gerao de centenas ou at milhares de anlises dirias, dependendo da vazo requisitada, aumentando assim o nvel de proteo da rede e a ba se de conhecimento sobre as tendncias de ataque e ameaas correntes.

Sobre a Kryptus (http://www.kryptus.com/)


Empresa 100% brasileira, fundada em 2003 na ci dade de Campinas/SP, a Kryptus j desenvolveu uma gama de solues de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desde semicondutores at aplicaes criptogrficas de alto desempenho, se estabelecendo como a lder brasileira em pesquisa, desenvolvimento e fabricao de hardware seguro para aplicaes crticas. Os clientes Kryptus procuram solues para pro blemas onde um alto nvel de segurana e o domnio tecnolgico so fatores fundamentais. No mbito go vernamental, solues Kryptus protegem sistemas, dados e comunicaes to crticas como a Infraestru tura de Chaves Pblicas Brasileira (ICPBrasil), a Urna Eletrnica Brasileira e Comunicaes Gover namentais.

Caractersticas funcionais
Alta Eficcia: Produz resultados efetivos para mais de 91% dos artefatos, contra 54% do Anubis e 27% do CWSandBox. Falsos negativos menores que 19%, 4 vezes melhor que o JSand. Proteo: Anlise dinmica automatizada de ar quivos suspeitos (inclusive zeroday). Funciona at mesmo com malwares especficos para Windows 7. Tempo real: Anlise em tempo real de sites mali ciosos, enquanto os usurios navegam na internet, com alertas imediatos. Catalogao: Cataloga exemplares de malware, relatrios de anlise e o comportamento intrusivo apresentado durante sua execuo. Relatrios expor tveis em XML, HTML e PDF.

|56

Maio 2012 segurancadigital.info

COLUNA DO LEITOR

EMAILS, SUGESTES E COMENTRIOS


Esta seo foi criada para que possamos compartilhar com voc leitor, o que andam falando da gente por a... Contribua para com este projeto: (contato@segurancadigital.info).
Elexsandro (por E mail) Parabns pela iniciativa e pelo excelente trabalho, espero e toro que d tudo certo para que continue mos tendo o privilegio de ter de forma clara, limpa e objetiva todo esse mundo de informao sobre Se gurana Digital. Carlos (por E mail) Quero parabenizar a equipe pelo bom trabalho que est realizando, acompanho todas as edies. Para bns! Gostaria de propor como temas futuros que o fortalecimento de servidores Windows e Linux. Mi nha ideia , cada edio da revista ser apresentado aos poucos tcnicas de hardening. Tenho dificulda de no mesmo e acredito ser muito importante no mundo da segurana! Renato (por E mail) Assim que fico sabendo do lanamento de mais uma edio corro para fazer download. Parabns a todos os colaboradores e que continuem assim. Gostei da sua iniciativa Fbio, parabns meu camarada. Julho santos (por E mail) Futuramente quero contribuir com este projeto ma ravilhoso de vocs. Uma revista de to alto nvel e que no possui fins lucrativos como a de vocs di fcil de achar se no impossvel. Confesso que gostei da ideia de vocs realizarem sorteios para os leitores. Parabns! Waldony (no Site) Parabens pelo material, no conhecia. mas agora vai para os favoritos. Leandro Dourado (no Site) Realmente a revista est muito boa! E s melhora a cada edio. Parabns a todos!! Aloisio Sousa (no Twitter) @_SegDigital Quero parabenizar a 5 edio muita boa mesmo.... o artigo SSH com DenyHosts. Para bns Fbio Jnio Lima. Reinaldo Guevara (no Twitter) @_SegDigital Grato pelo trabalho na quinta edio, artigos interessantes, no aguardo da prxima Marcos T. Silva (no Twitter) @_SegDigital a revista show de bola. Parabns a todos envolvidos. Tem muita revista paga que nao tem o contedo q a de vcs tem. Renato (no Site) Um amigo me indicou est revista como uma boa opo de leitura para o final de semana. Olha que ele acertou em cheio! Estou na expectativa para o lanamento da 6 edio...

|57

Maio 2012 segurancadigital.info

Segurana Digital
6 Edio Maio de 2012

www.segurancadigital.info
@_SegDigital segurancadigital